Nelle scorse settimane, dopo lunghi mesi di pausa forzata, sono riprese le scuole di ogni ordine e grado.
Tutti gli istituti scolastici (al pari di quanto era già accaduto nei luoghi di lavoro, negli uffici pubblici, nei locali pubblici, etc.) hanno introdotto procedure per garantire la sicurezza di alunni, docenti e, più in generale, di tutti coloro che, a vario titolo, accedono alle strutture.
Tra queste misure, in particolare, spicca quella di registrazione degli accessi esterni. Arrivano, infatti, segnalazioni di diversi istituti che, al fine di poter tracciare gli accessi all’istituto scolastico (ad esempio, dei genitori che accompagnano i bambini) chiedono la compilazione di un registro nel quale vengono inseriti i dati più disparati: dati anagrafici, data e luogo di nascita, residenza, numero di telefono, ragioni dell’ingresso, etc.
In alcuni casi tale registro viene compilato da personale della scuola, in altri casi, invece, viene lasciato per l’autocompilazione da parte dei visitatori all’ingresso dell’istituto, in altri casi ancora i dati vengono raccolti su singoli fogli compilati da ciascun visitatore e immediatamente ritirati dal personale.
Non sempre le procedure adottate dagli istituti risultano conformi al Reg. 679/2016/UE (c.d. GDPR).
Ai sensi dell’art. 5, lett. c) GDPR, anzitutto, i dati che possono essere richiesti devono essere “adeguati, pertinenti, e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Orbene, non vi è dubbio che la compilazione dei predetti registri abbia la finalità di tracciare gli ingressi all’interno dei plessi scolastici così da poter ricostruire gli eventuali contatti con soggetti risultati poi positivi al Covid-19. Sotto questo profilo, quindi, risulta essenziale la raccolta dei dati anagrafici e del numero di telefono per consentire un contatto futuro.
I dati, poi, devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, lett. e) GDPR). Sotto questo profilo, quindi, dovrebbe essere stabilito un periodo massimo di conservazione dei predetti registri coincidente con i tempi individuati dall’autorità sanitaria di tracciamento dei contatti con soggetti positivi.
Se, dunque, risulta legittima l’acquisizione dei predetti dati non altrettanto può dirsi per le modalità con cui molte scuole procedono alla stessa. Il GDPR, infatti, all’art. 5, lett. f) stabilisce il trattamento deve avvenire "in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche e organizzative adeguate … (integrità e riservatezza)".
Diverse scuole (ma, invero, il discorso può essere egualmente esteso anche alle aziende) effettuano tali registrazioni su fogli di carta lasciati all’ingresso sui quali ogni visitatore deve registrare i propri dati. Questi fogli, quindi, contengono la lista di tutti gli accessi giornalieri (cosicchè il visitatore successivo prende visione di tutti i dati di chi è entrato prima di lui) e risultano privi di controllo alcuno (potendo, quindi, anche essere asportati e fraudolentemente utilizzati).
Da ultimo si segnala che in diversi casi tale trattamento non è neppure preceduto da adeguata informativa e consenso, con la conseguenza che i dati personali vengano acquisiti senza che il visitatore sia stato preventivamente informato su finalità e modalità di trattamento, nonché su misure di sicurezza e tempi di conservazione ed abbia, consapevolmente, prestato il proprio consenso.
Occorre rammentare che le sanzioni previste per le violazioni del GDPR sono notevolmente elevate e, a seconda della violazione, possono raggiungere i 10.000.000 di euro e per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente (ad es. in caso di mancata valutazione di impatto o di mancata designazione del DPO) , ovvero i 20.000.000 di euro e per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente (ad es. in caso di violazione dei principi inerenti il trattamento dei dati di cui all’art. 5 GDPR, di trattamento senza adeguata base giuridica e, in particolare, in assenza di consenso, di mancata informativa, etc.).
Tutti gli istituti scolastici (al pari di quanto era già accaduto nei luoghi di lavoro, negli uffici pubblici, nei locali pubblici, etc.) hanno introdotto procedure per garantire la sicurezza di alunni, docenti e, più in generale, di tutti coloro che, a vario titolo, accedono alle strutture.
Tra queste misure, in particolare, spicca quella di registrazione degli accessi esterni. Arrivano, infatti, segnalazioni di diversi istituti che, al fine di poter tracciare gli accessi all’istituto scolastico (ad esempio, dei genitori che accompagnano i bambini) chiedono la compilazione di un registro nel quale vengono inseriti i dati più disparati: dati anagrafici, data e luogo di nascita, residenza, numero di telefono, ragioni dell’ingresso, etc.
In alcuni casi tale registro viene compilato da personale della scuola, in altri casi, invece, viene lasciato per l’autocompilazione da parte dei visitatori all’ingresso dell’istituto, in altri casi ancora i dati vengono raccolti su singoli fogli compilati da ciascun visitatore e immediatamente ritirati dal personale.
Non sempre le procedure adottate dagli istituti risultano conformi al Reg. 679/2016/UE (c.d. GDPR).
Ai sensi dell’art. 5, lett. c) GDPR, anzitutto, i dati che possono essere richiesti devono essere “adeguati, pertinenti, e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Orbene, non vi è dubbio che la compilazione dei predetti registri abbia la finalità di tracciare gli ingressi all’interno dei plessi scolastici così da poter ricostruire gli eventuali contatti con soggetti risultati poi positivi al Covid-19. Sotto questo profilo, quindi, risulta essenziale la raccolta dei dati anagrafici e del numero di telefono per consentire un contatto futuro.
I dati, poi, devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, lett. e) GDPR). Sotto questo profilo, quindi, dovrebbe essere stabilito un periodo massimo di conservazione dei predetti registri coincidente con i tempi individuati dall’autorità sanitaria di tracciamento dei contatti con soggetti positivi.
Se, dunque, risulta legittima l’acquisizione dei predetti dati non altrettanto può dirsi per le modalità con cui molte scuole procedono alla stessa. Il GDPR, infatti, all’art. 5, lett. f) stabilisce il trattamento deve avvenire "in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche e organizzative adeguate … (integrità e riservatezza)".
Diverse scuole (ma, invero, il discorso può essere egualmente esteso anche alle aziende) effettuano tali registrazioni su fogli di carta lasciati all’ingresso sui quali ogni visitatore deve registrare i propri dati. Questi fogli, quindi, contengono la lista di tutti gli accessi giornalieri (cosicchè il visitatore successivo prende visione di tutti i dati di chi è entrato prima di lui) e risultano privi di controllo alcuno (potendo, quindi, anche essere asportati e fraudolentemente utilizzati).
Da ultimo si segnala che in diversi casi tale trattamento non è neppure preceduto da adeguata informativa e consenso, con la conseguenza che i dati personali vengano acquisiti senza che il visitatore sia stato preventivamente informato su finalità e modalità di trattamento, nonché su misure di sicurezza e tempi di conservazione ed abbia, consapevolmente, prestato il proprio consenso.
Occorre rammentare che le sanzioni previste per le violazioni del GDPR sono notevolmente elevate e, a seconda della violazione, possono raggiungere i 10.000.000 di euro e per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente (ad es. in caso di mancata valutazione di impatto o di mancata designazione del DPO) , ovvero i 20.000.000 di euro e per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente (ad es. in caso di violazione dei principi inerenti il trattamento dei dati di cui all’art. 5 GDPR, di trattamento senza adeguata base giuridica e, in particolare, in assenza di consenso, di mancata informativa, etc.).