Molte scuole sono ancora in affanno riguardo l’applicazione del nuovo regolamento GDPR. Troppo spesso infatti l’adeguamento si traduce erroneamente nella mera individuazione di un DPO e nell’aggiornamento una tantum della documentazione.

Questo approccio lascia esposto il patrimonio documentale scolastico a data breach, attacchi e perdite di vario genere. Un primo passo per controvertere tale tendenza è far comprendere alle scuole che la tutela del dato personale è un’attività strategica per proteggere tutti gli attori coinvolti nei vari trattamenti e che, anche se le risorse scarseggiano, uno strutturato piano di intervento e di auditing deve essere implementato per portarle verso il pieno adeguamento.

Quale percorso hanno intrapreso le scuole e come lo hanno fatto è un argomento difficile da affrontare ma che merita la massima attenzione.

L’articolo 37 del GDPR non ammette infatti interpretazioni: se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico occorre nominare un Data Protection Officer o Responsabile per la Protezione dei Dati, che può essere interno o esterno alla struttura interessata.

Il lento percorso di adeguamento parte dunque da quei giorni, da quella nomina del DPO usato spesso come tampone per potersi dire adeguati.

Molto spesso nel mondo scolastico ai doveri e compiti del DPO si sono ignorati gli obblighi che il Titolare ha nei suoi confronti.

Il primo problema o criticità è stata dunque quella di inserire, all’interno della struttura privacy istituzionale, una figura non metabolizzata, non selezionata con cui non si è potuto realizzare spesso un piano di intervento. Questo problema si intensifica con la logica di rotazione dei fornitori, applicata pedissequamente da alcune scuole. Il processo di adeguamento è un percorso di medio-lungo termine che rischia dunque di bloccarsi nel momento in cui il Dirigente Scolastico decide di applicare il principio di turnazione dei fornitori e dunque cambiare consulente esterno periodicamente.

Ricapitolando: scarse risorse, poco tempo, rotazione del DPO, scarsa metabolizzazione della figura, sono i problemi che hanno investito le scuole nel difficile processo di adeguamento al regolamento europeo.

Innanzitutto, risulta utile comprendere cosa ci chiede il GDPR e cosa comporta per le scuole il cambio di paradigma dall’applicazione delle misure minime di sicurezza al principio di accountability. Anche la scuola, Titolare dei suoi trattamenti, deve dunque attenersi al concetto di responsabilizzazione applicando tutte le misure tecniche e organizzative necessarie a tutelare la sua enorme mole di dati personali. Chiaramente questo processo deve necessariamente passare attraverso il Data Protection Officer, questo “organismo” che affianca, consiglia e aiuta il titolare del trattamento.

Per mettere in campo e attuare le misure “necessarie” di sicurezza il titolare, per il tramite del DPO, dovrà inevitabilmente procedere con un piano di auditing strutturato e preciso, che possa permettere ad entrambi di avere una visione chiara e approfondita della struttura scolastica: chi fa cosa, come lo fa, tramite cosa lo fa.

Grazie al piano di auditing sarà possibile far emergere e individuare le criticità. A questo punto risulterà indispensabile un piano di intervento su due tempi che garantisca un miglioramento progressivo della struttura privacy scolastica: di breve periodo per le non conformità gravi e di medio-lungo per quelle meno urgenti.

Occorre dunque un cambio di paradigma da parte di tutti i soggetti coinvolti. Le scuole in primis, favorendo l’attività del DPO, la sua conoscenza all’interno e all’esterno del contesto scolastico, fornendogli tutte le risorse, umane ed economiche, necessarie e indispensabili per attuare la sua strategia. Il Dirigente e tutto il personale scolastico devono “educarsi” a coinvolgere sempre il proprio Data Protection Officer per tutte le questioni riguardanti la gestione dei dati: dalle informative ai data breach, dalle valutazioni di impatto al registro dei trattamenti, tutto deve passare dal vaglio della nuova figura.

Dall’altra parte i DPO devono avviare necessariamente un percorso di auditing per far emergere le criticità nella gestione del dato. Facendo fronte anche alle ristrettezze economiche dovrà poi attivare un piano di intervento, anche di lungo respiro, che possa permettere alla scuola di ritrovarsi, progressivamente, con una migliore gestione dei dati personali.

Non si può più pensare di raggiungere un pieno adeguamento senza il coinvolgimento di tutti i soggetti che trattano, in vario modo, i dati personali: i docenti, il personale ATA, il DS e il DSGA, tutti dovranno essere formati e tutti dovranno lavorare seguendo istruzioni precise riguardo il trattamento. Come utilizzare gli strumenti, informatici e non, quali misure di sicurezza garantire, cosa fare in caso di incidenti sui dati personali, come gestire un esercizio di diritti da parte degli interessati: ogni aspetto dovrà essere adeguatamente normato e disciplinato.

Punto cardine è la sicurezza informatica. Tutto il mondo scolastico ha subito il passaggio, si potrebbe dire epocale, dalla carta al file, dall’analogico al digitale. Il registro elettronico, il software per la gestione documentale e per la protocollazione, la conservazione digitale, la firma digitale e la marca temporale rappresentano lo standard, strumenti e innovazioni da cui non si può più tornare indietro, da cui non si può più prescindere.

L’innovazione però, se non affrontata con metodo, può rappresentare una criticità. Il trasferimento del patrimonio documentale e di dati dal supporto cartaceo a quello digitale se non adeguatamente governato può essere infatti una vulnerabilità immensa per la scuola. D’altra parte “gestire la privacy” non può prescindere ormai da questo mondo: tutelare il dato significa oggi non solo produrre la documentazione e chiudere a chiave gli archivi ma significa proteggere il flusso di acquisizione, gestione e conservazione in ogni sua forma. Tutelare il dato significa oggi valutare e gestire gli strumenti informatici che la scuola utilizza: dal cloud al server scolastico, dal responsabile IT esterno al personale tecnico che gestisce la strumentazione, tutto deve essere valutato.

Il fornitore è affidabile? Gli strumenti sono protetti? I docenti sono adeguatamente formati circa l’utilizzo di chiavette USB? Sono tanti gli interrogativi e i punti da analizzare, ma ognuno di essi costituisce un passo fondamentale verso la messa in sicurezza dell’impianto scolastico. Una minima criticità potrebbe esporre tutta la scuola a gravi violazioni.

Usciamo tutti dunque dalla logica imperante del “ho aggiornato le informative, chiusa la questione” ed entriamo nel nuovo principio di accountability. Capiamo cosa fare, sfruttando al massimo questa nuova figura oramai ovunque presente.

La parola d’ordine quindi è piano di intervento: programmare gli audit, pianificare gli interventi, verificare la fattibilità degli stessi e la loro efficacia. Poche cose alla volta, pochi passaggi ma chirurgici potranno permettere alle scuole di tutelare l’immenso patrimonio di dati in loro possesso.