Sezione Privacy
(Roy Lichtenstein, New York 1923 – New York 1997)
“Crying Girl” 1963, Philadelphia Museum of Art
Codice Meccanografico: RMIC8A7009 – Codice Fiscale: 90049500581 – Codice IPA: istsc_rmic8a7009 – Codice Univoco d’Ufficio: UF5D2G
Chi è il Titolare del Trattamento?
Ex art. 4 GDPR, è la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.Mentre tutti i Dirigenti scolastici certo ricordano la data del 25 maggio 2018, che i più tra loro hanno vissuto in quel vago clima di incertezza e preoccupazione che spesso accompagna le fasi di transizione verso il nuovo, forse pochi sanno che, in realtà, a quella stessa data l’oggetto delle loro ambasce, ossia il Regolamento (UE) 2016/679 meglio noto con l’acronimo GDPR (General Data Protection Regulation), era già pienamente in vigore da due anni.
Nonostante il lungo periodo transitorio stabilito dall’art. 99 affinché gli Stati membri adeguassero gli ordinamenti interni, l’Italia è arrivata a quella fatidica data in cui il GDPR ha ricevuto uniforme applicazione in tutti i 28 Paesi dell’Unione, sostanzialmente impreparata.
Questo ritardo ha imposto agli interpreti dell’ultima normativa relativa alla protezione, si badi, non di una non meglio precisata “privacy” ma, più propriamente, delle persone fisiche con riguardo al trattamento dei dati personali (art. 1), uno sforzo di gran lunga maggiore per discernere ciò che della lunga e consolidata esperienza applicativa pregressa poteva essere salvato e ciò che invece doveva, da un giorno all’altro, scomparire per dar spazio al nuovo.
Un emblematico esempio in tal senso è dato dalla definizione del ruolo che, nel passaggio dal D. Lgs. 196/2003 (noto anche come “Codice della Privacy”) al GDPR, è legittimo ed opportuno conservare al Direttore dei Servizi Generali ed amministrativi (DSGA) in vista del raggiungimento della ratio legis sopra indicata.
Nel previgente impianto normativo il legislatore italiano aveva opportunamente stabilito di frapporre tra il titolare (soggetto apicale cui competevano le decisioni fondamentali in ordine al trattamento dei dati: le finalità, le modalità, gli strumenti) e gli incaricati (meri esecutori di determinate operazioni), un rango intermedio con rilevanti funzioni sia nei confronti degli interessati che del Garante.
L’art. 29 del Codice Privacy concedeva al titolare del trattamento dei dati appunto la facoltà di individuare, sia all’interno che all’esterno della propria organizzazione, uno o più soggetti che per esperienza, capacità ed affidabilità fornivano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia, cui delegare, attraverso un atto di preposizione scritto, unilaterale e recettizio contenente le necessarie istruzioni, lo svolgimento di determinati compiti.
Date tali caratteristiche, la prassi delle istituzioni scolastiche pubbliche di ogni ordine e grado si era subito orientata e consolidata nel senso di individuare il DSGA, ossia il funzionario dell’Area D del personale a.t.a. che, in base alla Tabella A del vigente C.c.n.l. di comparto, svolge “attività lavorativa di rilevante complessità ed avente rilevanza esterna”, quale primo e naturale destinatario della nomina a responsabile del trattamento.
Anche il GDPR oggi contempla all’art. 28 un soggetto (persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati per conto del titolare) che è ancora chiamato “responsabile del trattamento”, e questa coincidenza terminologica è fonte di incertezza dato che le analogie con il passato si fermano al nome: dal confronto tra i due articoli di riferimento, quello abrogato dal D. Lgs. 101/2018 e quello in vigore, emergono infatti una serie di importanti differenze.
La prima è data dal fatto che la nomina dell’odierno responsabile non è più rimessa alla discrezionalità del titolare ma è diventata obbligatoria ogni qualvolta un trattamento debba essere effettuato da altri per suo conto.
La seconda attiene alla diversa natura del vincolo giuridico che lega il responsabile al titolare: scomparso il riferimento all’atto di preposizione, lo strumento principale e tipico che definisce i reciproci diritti ed obblighi è per l’art. 28 un “contratto” (assimilabile al contratto di mandato disciplinato dall’art. 1703 del nostro Codice civile).
A marcare ulteriormente la discontinuità rispetto al passato, vi è poi il nuovo regime di responsabilità che grava sul soggetto in esame e che, da un lato, lo chiama a risarcire in solido con il titolare (art. 82) il danno causato da una violazione degli obblighi stabiliti dal GDPR, e, dall’altro lato, lo considera passibile di autonome sanzioni amministrative pecuniarie (art. 83).
Già da sole, le macroscopiche differenze segnalate sono sufficienti a comprendere che il ruolo di responsabile del trattamento contemplato dall’art. 28 del GDPR compete ad un soggetto del tutto autonomo ed indipendente rispetto alla struttura organizzativa della istituzione cui appartiene il titolare e che pertanto non può essere affidato al DSGA, come ha peraltro riconosciuto lo stesso MIUR nella nota diffusa il 22 maggio 2018 (prot. 0000563).
Nello stesso senso depongono anche altre circostanze, come l’obbligo imposto a carico del responsabile di cancellare o restituire tutti i dati personali dopo che è terminata la “prestazione dei servizi” relativi al trattamento (art. 28, comma 3, lett. g), la possibilità che il medesimo soggetto aderisca a “codici di condotta” o a “meccanismi di certificazione” (art. 28, comma 5), la eventualità che, in base all’art. 37, commi 1 e 4, egli sia obbligato (al pari del titolare) a designare un Responsabile della protezione dei dati, o ad istituire il suo registro delle attività di trattamento (art. 30), tutte circostanze che non sono riferibili ad un lavoratore dipendente, stabilmente ed organicamente inserito nella medesima organizzazione del titolare del titolare del trattamento.
Questo risultato interpretativo non conclude però l’analisi in corso.
La consapevolezza che il DSGA non può essere legittimamente nominato responsabile del trattamento ai sensi dell’art. 28 del GDPR apre infatti ad un doppio problema: resta da individuare il soggetto cui meglio si attagliano le caratteristiche ivi delineate e resta da stabilire quale sia il diverso inquadramento del DSGA nel nuovo sistema di protezione.
Sotto il primo aspetto, calando l’art. 28 nel quotidiano delle istituzioni scolastiche pubbliche, è facile veder affiorare quei fornitori specializzati di servizi web e software gestionali – ben noti sia ai Dirigenti scolastici che ai DSGA – che allestiscono piattaforme, spesso allocate su server proprietari ed accessibili via internet, funzionali agli usi più disparati, come la gestione dei documenti informatici, dei fascicoli elettronici, la dematerializzazione, la conservazione cloud dei dati, la gestione della contabilità, degli stipendi, e coì via.
Si tratta appunto di soggetti esterni, strutturalmente e professionalmente organizzati in modo autonomo, legati all’istituzione scolastica esclusivamente da un vincolo di natura contrattuale, cui viene affidato lo svolgimento di determinati servizi esternalizzati, a titolo oneroso e pertanto con assunzione delle relative responsabilità.
Sotto il secondo aspetto, sarebbe possibile inquadrare il DSGA tra le “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare”, categoria di soggetti cui fa indirettamente cenno l’art. 4, comma 1, numero 10), che sostanzialmente coincide con quella degli incaricati come li chiamava il vecchio Codice.
Questa configurazione, tecnicamente ammissibile, non è però la migliore dato che, di fatto, equipara nella gestione della privacy il ruolo del DSGA, che nello svolgimento quotidiano delle sue mansioni ha la continua necessità di trattare dati personali (dei fornitori, del personale dipendente, di alunni o studenti e delle loro famiglie, eccetera), con quello ad esempio dei collaboratori scolastici, che invece effettuano operazioni di trattamento dati solo in modo del tutto sporadico ed occasionale.
La soluzione va pertanto ricercata altrove.
A ben guardare, l’art. 24, comma 1, del GDPR laddove stabilisce che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”, sta chiedendo – nel caso di specie, al Dirigente scolastico – di abbandonare l’approccio burocratico-prescrittivo cui era ispirato il Codice della Privacy (si pensi al suo “Allegato B”) e di affrontare con metodo manageriale (risk based approach) il problema privacy, lasciandolo libero di progettare le soluzioni che più gli aggradano.
E’ proprio questo il dato normativo che ancora consente di assegnare al DSGA un ruolo da protagonista nel sistema di gestione della protezione dei dati personali, coerente con il suo profilo professionale e con il modello organizzativo tipico delle istituzioni scolastiche pubbliche, nonché conforme all’esperienza maturata sino al 24 maggio 2018.
In una logica di divisione dei compiti del tutto naturale, legittima ed anzi funzionale allo scopo di strutturare un trattamento che rispetti le prescrizioni del GDPR e tuteli il diritto fondamentale alla protezione dei dati personali, può infatti costituire “misura organizzativa” ritenuta adeguata dal titolare la eventuale designazione da parte sua del DSGA come figura interna apicale con funzioni di supervisione degli adempimenti privacy, da svolgere secondo analitiche istruzioni.
Tale figura – la si chiami “referente interno in materia di protezione dei dati personali”, “autorizzato di primo livello”, “autorizzato coordinatore”, o, più tradizionalmente, “responsabile interno del trattamento”, poco importa – potrebbe utilmente svolgere numerosi compiti.
Si pensi ad esempio: alla implementazione del Registro delle attività di trattamento; alla amministrazione delle nomine agli incaricati, delle informative agli interessati e dei consensi, ove necessari; alla gestione dei data breaches; alla regolare tenuta della documentazione per la accountability del titolare; alla rilevazione di eventuali violazioni del Regolamento; al disbrigo delle richieste formulate dall’interessato (accesso ai dati personali; rettifica e cancellazione; limitazione di trattamento; opposizione al trattamento; portabilità dei dati).
E’ opportuno precisare che la prospettata soluzione viene offerta in via di interpretazione, dato che il GDPR non contempla siffatto responsabile interno del trattamento (ma neppure lo vieta), ed anche in base ad un orientamento subito assunto dal Garante per la protezione dei dati personali e di recente ribadito (22 gennaio 2019), che induce a ravvisare, nel passaggio dal Codice Privacy al nuovo Regolamento, una certa continuità tra vecchi e nuovi soggetti, autorizzando così l’idea che il DSGA possa continuare a svolgere questa delicata materia.
Chi è il Responsabile della Protezione dei Dati?
È il soggetto che svolge funzioni di supporto, controllo, consultazione, formazione e informazione per quanto attiene alla corretta applicazione del GDPR. Puoi rivolgerti direttamente a lui per esercitare i tuoi diritti.Atti di nomina Rpd
Informazioni sull’utilizzo dei Cookie
I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.
I cookie, solitamente presenti nei browser degli utenti in numero molto elevato e a volte anche con caratteristiche di ampia persistenza temporale, sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc.
Al fine di giungere a una corretta regolamentazione di tali dispositivi, è necessario distinguerli posto che non vi sono delle caratteristiche tecniche che li differenziano gli uni dagli altri proprio sulla base delle finalità perseguite da chi li utilizza. In tale direzione si è mosso, peraltro, lo stesso legislatore, che, in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, ha ricondotto l’obbligo di acquisire il consenso preventivo e informato degli utenti all’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l’art. 122 del Codice).
Al riguardo, si individuano pertanto due macro-categorie: cookie “tecnici” e cookie “di profilazione”.
Cookie tecnici
I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).
Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.
Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.
Cookie utilizzati da questa Applicazione
Questo sito utilizza i seguenti cookie tecnici, che vengono installati automaticamente a seguito dell’accesso al sito, per le finalità indicate in relazione a ciascuno di essi:
- codice univoco casuale: ha la finalità di velocizzare la navigazione del sito; è un cookie di sessione, che decade alla fine di ogni sessione di navigazione
- joomla_fs e joomla_skin: memorizza le preferenze utente sulle dimensioni del font e sul layout, durata: 1 anno
- cookieaccept: nel cookie è memorizzata l’accettazione espressa riguardo l’utilizzo dei cookies da parte del visitatore, durata: 1 anno
Questi cookies sono di prima parte
Cookie di terze parti
In caso di servizi erogati da terze parti, l’Utente può inoltre esercitare il proprio diritto ad opporsi al tracciamento informandosi tramite la privacy policy della terza parte, tramite il link di opt out se esplicitamente fornito o contattando direttamente la stessa. Fermo restando quanto precede, il Titolare informa che l’Utente può avvalersi di Your Online Choices. Attraverso tale servizio è possibile gestire le preferenze di tracciamento della maggior parte degli strumenti pubblicitari. Il Titolare, pertanto, consiglia agli Utenti di utilizzare tale risorsa in aggiunta alle informazioni fornite dal presente documento.
Questo sito utilizza alcuni cookie di terze parti provenienti da Google Analytics allo scopo di raccogliere informazioni sulle visite in modo anonimo ed ottenere statistiche utili al miglioramento del servizio:
- _ga: usato per distinguere un utente dall’altro, durata: 2 anni
- _gat: usato per limitare il numero di richieste da parte di uno stesso utente, durata: 10 minuti
Per i cookie di Google si può fare riferimento alla pagina della policy di Google Analytics .
Come posso controllare l’installazione di Cookie?
In aggiunta a quanto indicato in questo documento, l’Utente può gestire le preferenze relative ai Cookie direttamente all’interno del proprio browser ed impedire – ad esempio – che terze parti possano installarne. Tramite le preferenze del browser è inoltre possibile eliminare i Cookie installati in passato, incluso il Cookie in cui venga eventualmente salvato il consenso all’installazione di Cookie da parte di questo sito. È importante notare che disabilitando tutti i Cookie, il funzionamento di questo sito potrebbe essere compromesso. Puoi trovare informazioni su come gestire i Cookie nel tuo browser ai seguenti indirizzi: Google Chrome, Mozilla Firefox, Apple Safari e Microsoft Windows Explorer.
In caso di servizi erogati da terze parti, l’Utente può inoltre esercitare il proprio diritto ad opporsi al tracciamento informandosi tramite la privacy policy della terza parte, tramite il link di opt out se esplicitamente fornito o contattando direttamente la stessa.
Fermo restando quanto precede, il Titolare informa che l’Utente può avvalersi di Your Online Choices. Attraverso tale servizio è possibile gestire le preferenze di tracciamento della maggior parte degli strumenti pubblicitari. Il Titolare, pertanto, consiglia agli Utenti di utilizzare tale risorsa in aggiunta alle informazioni fornite dal presente documento.
Il Titolare del Trattamento dei Dati è il Istituto Statale “Primo Levi”, legalmente rappresentato dal dirigente scolastico pro-tempore Prof.ssa Francesca Toscano
Dal momento che l’installazione di Cookie e di altri sistemi di tracciamento operata da terze parti tramite i servizi utilizzati all’interno di questa Applicazione non può essere tecnicamente controllata dal Titolare, ogni riferimento specifico a Cookie e sistemi di tracciamento installati da terze parti è da considerarsi indicativo. Per ottenere informazioni complete, consulta la privacy policy degli eventuali servizi terzi elencati in questo documento. Vista l’oggettiva complessità legata all’identificazione delle tecnologie basate sui Cookie ed alla loro integrazione molto stretta con il funzionamento del web, l’Utente è invitato a contattare il Titolare qualora volesse ricevere qualunque approfondimento relativo all’utilizzo dei Cookie stessi e ad eventuali utilizzi degli stessi – ad esempio ad opera di terzi – effettuati tramite questo sito.
Definizioni e riferimenti legali
Dati Personali (o Dati) Costituisce dato personale qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Dati di Utilizzo Sono i dati personali raccolti in maniera automatica dall’Applicazione (o dalle applicazioni di parti terze che la stessa utilizza), tra i quali: gli indirizzi IP o i nomi a dominio dei computer utilizzati dall’Utente che si connette all’Applicazione, gli indirizzi in notazione URI (Uniform Resource Identifier), l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta dal server (buon fine, errore, ecc.) il Paese di provenienza, le caratteristiche del browser e del sistema operativo utilizzati dal visitatore, le varie connotazioni temporali della visita (ad esempio il tempo di permanenza su ciascuna pagina) e i dettagli relativi all’itinerario seguito all’interno dell’Applicazione, con particolare riferimento alla sequenza delle pagine consultate, ai parametri relativi al sistema operativo e all’ambiente informatico dell’Utente.
Utente L’individuo che utilizza questa Applicazione, che deve coincidere con l’Interessato o essere da questo autorizzato ed i cui Dati Personali sono oggetto del trattamento.
Interessato La persona fisica o giuridica cui si riferiscono i Dati Personali.
Incaricato del trattamento dei dati Tutti i dipendenti in servizio presso questo Istituto che, per l’espletamento delle loro funzioni, possono venire a conoscenza e dunque trattare dati personali relativi ad alunni, aziende fornitrici di servizi e al personale di questa istituzione scolastica.
Titolare del Trattamento dei dati La persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza, in relazione al funzionamento e alla fruizione di questa Applicazione. Il Titolare del Trattamento, salvo quanto diversamente specificato, è il proprietario di questa Applicazione.
Questa Applicazione Lo strumento hardware o software mediante il quale sono raccolti i Dati Personali degli Utenti.
Riferimenti legali La presente informativa privacy è redatta in adempimento degli obblighi previsti dal Regolamento dell’Unione Europea n. 675/2016, con particolare riguardo agli artt. 24, 28, 29 e 32, dal decreto legislativo n. 101/2018 e dal decreto legislativo 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, in particolare gli artt. 28 (titolare del trattamento) e 30 (incaricati del trattamento). Questa informativa privacy riguarda esclusivamente questa Applicazione.
La piattaforma DaD/DDI utilizzata dall’Istituto è concessa agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini e condizioni di utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell’attivazione del servizio. I termini di utilizzo sono pubblici e sono reperibili ai link:
Google for Workspace Google for Workspace (Termini integrativi)Registro Elettronico e Segreteria Digitale Il contratto stipulato dall’Istituto con Axios è formalizzato attraverso il “Modulo d’ordine” che l’Istituto ha inviato in Axios, attraverso la rete di vendita, e regolamentato attraverso i seguenti documenti:
“Contratto e Licenza d’Uso” scaricabile dal sito web di Axios
In conformità all’art. 28 del Regolamento UE 2016/679 (Responsabile del trattamento), Axios rende disponibile sul proprio sito web il documento “DPA (Data Processing Agreement)”
