Viviamo in un’epoca paradossale: da un lato vi sono persone comuni che non esitano ad esporre al mondo le sfere più intime della loro vita; dall’altro vengono fissate per la prima volta regole che vogliono difendere l’individuo dall’indebita appropriazione altrui dei dati che lo connotano.
Il 24 Maggio 2018, a due anni di distanza dall’approvazione del Regolamento, la nostra Scuola, come tutte le altre strutture pubbliche e private, ha dovuto far fronte agli adempimenti previsti dal GDPR.
La necessità di adottare un nuovo Regolamento che uniformasse le procedure in materia di protezione dei dati personali all’interno dell’Europa è sicuramente un principio giusto, tenuto conto in primo luogo, della rapidità dell’evoluzione tecnologica e della globalizzazione che hanno comportato nuove sfide per la protezione dei dati personali, anche perché la condivisione e la raccolta di tali dati è aumentata in modo esponenziale e la tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzarli, come mai in precedenza, nello svolgimento delle loro attività. Il recente caso “Cambridge Analytica”, su cui ha aperto un’indagine anche il Garante italiano, è forse la migliore dimostrazione della necessità di una protezione più incisiva e globale.
“Siamo infatti ormai nella Iperstoria. Secondo il filosofo Luciano Floridi1, dopo la Preistoria (presenza di umani senza produzione di testi scritti con vita non sociale) e la Storia (dal IV millennio a.C., fino all’avvento delle ICT, con uomini che producono testi che possono registrare e trasmettere anche in modo digitale, e quindi documenti prodromici alla organizzazione sociale in città e poi in Stati), ora siamo nell’epoca della Iperstoria, quando cioè i testi scritti sono anche veicolati da tecnologie digitali che ne amplificano a dismisura la diffusione e l’impatto, incidendo anche sul significato del testo stesso perché, come ci ha insegnato Mc Luhan, “il medium è il messaggio”. In questa fase, le ICT (Information Communication Technologies) hanno di gran lunga superato gli altri mezzi tecnologici – ad esempio i mezzi elettrici – per importanza vitale e sono in grado non solo di registrare e trasmettere i dati ma anche di elaborarli. Questo comporta che la nostra stessa sopravvivenza dipenda dalle ICT: il valore aggiunto passa dalla correlazione delle nostre vite con le ICT alla dipendenza dalle ICT perché se ci sconnettessimo, spegneremmo il nostro mondo2. In aggiunta, poiché non sono più gli Stati a detenere il monopolio dell’informazione, assistiamo a una “democratizzazione” di dati e al fatto che il potere di elaborazione/controllo di essi si moltiplica nel moltiplicarsi di repository che sono i MAS (Multi Agent Systems), agenti non statali – dal singolo individuo ad associazioni e gruppi anche multinazionali – che, detenendo il potere dell’informazione, sono in grado anche di esercitare rapporti di forza. Le ICT sono poi prive di contesto geografico, de-territorializzano l’esperienza umana andando ben oltre i confini geografici di uno stato.”
Questa premessa dà conto del fatto che la Scuola ha considerato non solo obbligatorio ma anche concettualmente inderogabile, l’adozione del nuovo Regolamento. Tuttavia, non può essere sottaciuto che il cambiamento è avvenuto in quel clima di incertezza che spesso accompagna le fasi di transizione, reso ancora più complesso da una serie di fattori legati non solo al tipo di servizio che eroghiamo ma anche ai nuovi principi che il Regolamento impone e la cui corretta applicazione sconta il taglio di risorse finanziarie e umane cui le Istituzioni Scolastiche sono sottoposte.
Va messo in evidenza che si è chiesto alle scuole, a ridosso del termine ultimo dei due anni concesso per l’adeguamento, di trovare risorse economiche non previste in bilancio e di provvedere con le risorse umane disponibili alle profonde trasformazioni imposte dal nuovo regime. Occorre infatti sottolineare che le scuole sono Istituzioni autonome ma comunque vincolate da legami gerarchici con gli USR e, in generale con il MIUR.
Con la capacità di metabolizzare gli innumerevoli cambiamenti normativi, tipica delle scuole, anche in questo caso il mondo scolastico ha reagito in modo proattivo, organizzandosi in reti e contando sulla risorsa più grande che possiede: la presenza di personale motivato a perseguire il bene pubblico. Alle diverse iniziative informative e formative organizzate dall’USR o da Associazioni private, sia pure molto tardivamente, hanno partecipato DS e DSGA, organizzandosi efficacemente in rete per la soluzione dei problemi immediati, primo fra tutti il reperimento del DPO. Anche nel caso della Rete cui partecipiamo, è stato emesso un bando in cui si è cercato di bilanciare la ristrettezza delle risorse economiche con la necessità di trovare un professionista serio, competente e motivato. Infatti il mercato si è subito popolato di offerte di esperti, o sedicenti tali, con competenze professionali diversificate e con richieste economiche assai dissimili: da poche centinaia a oltre un milione di euro.
Passando al piano della ricezione e applicazione concettuale del nuovo Regolamento, va detto che la sua corretta interpretazione non è stata immediata ma si è in parte chiarita via via nel tempo a seguito dei confronti con il MIUR e gli esperti del settore, delle indicazioni e delle linee guida che il Garante ha pubblicato e dell’entrata in vigore a Settembre del decreto 101 che ha armonizzato il Dlgs 196.
Passare dal comportamento reattivo del DLgs 196 sino ad allora applicato, al comportamento proattivo richiesto dal GDPR e progettare di conseguenza un sistema “Privacy” che fosse rispettoso del principio di Accountability, oltre che di tutti gli altri principi previsti dal Regolamento, ha significato mettere in campo competenze e risorse non sempre disponibili all’interno della scuola.
Come è noto, la principale novità del Regolamento è certamente costituita dalla centralità del principio di responsabilizzazione (accountability), previsto dall’art. 5. In forza di questo principio, è rimesso al titolare del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali. Non vi è più una serie predefinita di adempimenti da rispettare, ma dev’essere ciascun titolare, nell’ambito della propria autonomia e previa accurata valutazione dei rischi, a dover individuare le più idonee (e adeguate) misure organizzative e tecniche, e a doverne dimostrare l’applicazione e l’efficacia.
Le stesse figure precedentemente coinvolte nell’organigramma Privacy rischiano di non essere più conformi ai ruoli che il GDPR definisce e che si discostano, in alcuni casi, da quelli che erano stati introdotti dal Dlgs 196.
Ne è un tipico esempio la figura del Responsabile del trattamento, ruolo che in precedenza era riservato al DSGA e che oggi viene identificato in figure esterne all’organizzazione che trattano dati per nostro conto.
Si comprende bene come l’applicazione delle adeguate misure organizzative che il GDPR prescrive ha richiesto una ridefinizione dei ruoli all’interno della nostra organizzazione sfociata in un nuovo organigramma della Privacy.
A tutto ciò si aggiunga che la scuola non solo tratta dati di minori ma tratta anche categorie particolari di dati relativi a studenti, famiglie e personale che devono essere adeguatamente trattati.
Ruolo del DPO, implementazione del registro dei trattamenti, valutazione di impatto, analisi del rischio… sono tutti temi e adempimenti per noi non solo nuovi ma anche da conciliare con tutte le scadenze cui siamo sottoposti. E ciò nonostante il Liceo Visconti avesse una certa familiarità con i temi della tutela della privacy avendo adottato tutti gli accorgimenti suggeriti dalla precedente normativa e usando particolare cautela nella diffusione dei dati personali anche in precedenza.
Ecco perché il supporto del DPO per noi è stato ed è fondamentale e i criteri che ne hanno determinato la scelta hanno tenuto conto non solo di quanto prescritto dal Regolamento in termini di esperienza e conoscenza della norma, ma anche dell’esperienza che il professionista ha avuto all’interno delle Organizzazioni scolastiche e della conoscenza della legislazione scolastica.
Non a caso il nostro DPO ha anche una esperienza di docenza negli istituti superiori che gli consente di conoscere bene alcune dinamiche del rapporto scuola-famiglia come, ad esempio, il rapporto coniuge affidatario-coniuge non affidatario che a volte cerca di interferire a proprio vantaggio strumentalizzando la scuola per le proprie battaglie in nome della Privacy.
Conciliare l’amministrazione trasparente, l’accesso civico, la promozione dell’immagine della scuola, l’orientamento dei ragazzi, il miglioramento dell’offerta formativa e l’ambizione del genitore di vedere i talenti del proprio figlio “ evidenziati” sul sito web con la riservatezza degli interessati non è cosa facile e comporta una puntuale analisi di ogni fattispecie per individuare il corretto comportamento da tenere e per la quale la consulenza del DPO è imprescindibile. A questo riguardo, è stato prioritario l’adeguamento di tutta la modulistica.
Benchè il Regolamento dia la possibilità di nominare un DPO tra le figure interne all’organizzazione scolastica, abbiamo preferito dare questo ruolo all’esterno in maniera tale che non si possano verificare involontarie situazioni di condizionamento o di timore reverenziale. Una figura super partes con un punto di vista esterno e oggettivo, a nostro parere, oltre ad essere di maggiore garanzia ci consente di apportare indirettamente dei miglioramenti anche dal punto di vista pratico andando ad individuare eventuali adempimenti ridondanti o superflui nell’ottica della minimizzazione.
ll GDPR, nel costringerci a fare una mappatura dei trattamenti effettuati, una autovalutazione delle misure di sicurezza adottate e da adottare oltre ad una revisione dell’organigramma Privacy, se da un lato rappresenta l’opportunità di rivedere un modus operandi e di avere la giusta serenità in tema di tutela degli interessati, dall’altro richiede sforzi in termini di tempo e di risorse non indifferenti e che non sono temporanei.
Il GDPR, infatti, più che un adempimento è un metodo e in quanto tale va monitorato e verificato nell’ottica del miglioramento continuo, non solo a tutela dell’interessato ma anche a tutela dell’organizzazione scolastica nel suo complesso che, in quanto titolare del trattamento, verrebbe sottoposta a pesanti sanzioni in caso di inadempienza.
Auspichiamo pertanto che il Garante della Privacy e il MIUR tengano conto delle note difficoltà delle scuole, oltreché del loro profilo particolare per complessità, sensibilità e mancanza di profitto economico e ci supportino con linee guida dedicate al nostro settore e incontri formativi e informativi a tutela dei ragazzi e della nostra serenità lavorativa.
Specialmente nella scuola, luogo di educazione e formazione, è importante che ogni innovazione non venga vissuta come un adempimento da osservare ma come una risorsa per il bene comune.
1 Luciano Floridi è Professor of Philosophy and Ethics of Information Director, Digital Ethics Lab Oxford Internet Institute, University of Oxford Faculty Fellow, Chair of the Data Ethics Group The Alan Turing Institute, London PA Ms Jessica Antonio.
2 Per questi concetti e i seguenti, si veda: Barbara Carfagna (a cura di), Democrazia digitale – la seconda fase, 2018, Panorama, https://www.panorama.it/magazine/democrazia-digitale-scarica-gratis-lebook/ in particolare i contributi di L. Floridi, M. Chiriatti e J.N. Rumelin.