Nuovo regolamento privacy, una Guida metodologica
Nuovo regolamento privacy, come si compila il Registro trattamento attività e quali processi riguarda. Tre esempi
Il Miur, con nota n. 877 del 03/08/2018, ha trasmesso alle scuole uno schema di Registro delle attività di trattamento per le istituzione scolastiche, previsto dal Regolamento europeo sul trattamento dei dati personali.
Insieme allo schema di registro e alla guida operativa, è stata pubblicata una nota guida, che illustra la metodologia utilizzata per la compilazione del Registro delle attività di trattamento rispetto ad un sotto insieme di processi gestiti dalle istituzioni scolastiche.
Attività di trattamento
Le attività di trattamento, che devono svolgere le scuole, sono 6 e sono dettagliatamente descritte nel file Excel denominato: “Registro dei Trattamenti_Esempio compilazione”.
Il Miur nella nota metodologica riporta esempi relativi ai seguenti processi:
- Gestione Iscrizioni;
- Gestione carriera scolastica alunni;
- Gestione del personale docente – contrattualizzazione.
Gestione Iscrizioni
Le iscrizioni a scuola avvengo, dalla primaria alla secondaria, in modalità telematica, ossia online, tramite il sito del Miur.
In riferimento alle iscrizioni, in funzione della categoria di dati trattati (ad es. le categorie particolari di dati personali), delle finalità di trattamento (es. predisposizione delle graduatorie, smistamento e accettazione delle domande di iscrizione vs perfezionamento dell’iscrizione), della tipologia, e della modalità di trattamento (es. applicativo SIDI vs pacchetto locale), sono state individuate due attività:
1. Acquisizione e gestione domande
2. Acquisizione documentazione aggiuntiva
Acquisizione e gestione domande
Tale attività prevede la raccolta delle iscrizioni presentate on line o in modalità cartacea, ove previsto, e la gestione delle stesse al fine di predisporre le graduatorie, accettare o smistare le domande di iscrizione sulla base della disponibilità di posti e dei criteri di precedenza deliberati dai singoli Consigli di Istituto.
Se la scuola utilizza le funzioni del portale SIDI:
- il Miur è il Responsabile esterno del trattamento, in quanto autorità pubblica che, attraverso l’applicativo messo a disposizione, tratta dati personali per conto del titolare del trattamento;
- il titolare del trattamento è in via esclusiva l’istituzione scolastica.
Se la scuola utilizza pacchetti locali:
- il responsabile del trattamento è il fornitore informatico scelto dall’istituzione scolastica.
In caso di iscrizioni in modalità cartacea:
- le scuole sono in via esclusiva i titolari del trattamento e non c’è un responsabile del trattamento.
Acquisizione documentazione aggiuntiva
Tale attività prevede la raccolta della documentazione (obbligatoria o facoltativa) per il perfezionamento dell’iscrizione e per la successiva gestione amministrativa dell’alunno.
Le informazioni raccolte contengono dati comuni e categorie particolari di dati personali (es. lo stato di salute, le convinzioni religiose, filosofiche o di altro genere). Tali dati sono trattati in modalità cartacea e/o mediante l’utilizzo di pacchetti locali.
Il Responsabile esterno del trattamento, ovvero la persona giuridica che tratta dati personali per conto del titolare del trattamento, è il fornitore dei sistemi informativi della scuola.
Gestione carriera scolastica alunni
In riferimento alla carriera scolastica degli alunni, l’attività individuata è una soltanto:
- Gestione dati alunni
La gestione dei dati degli alunni consiste:
- nel trattamento di dati personali relativi al percorso scolastico, formativo e amministrativo dell’alunno per la gestione dello studente, anche in relazione all’erogazione di servizi aggiuntivi;
- nell’aggiornamento dell’Anagrafe Nazionale degli Studenti al fine di adempiere agli obblighi previsti dal D.M. 692/2017.
Se la scuola utilizza le funzioni del portale SIDI:
- il Miur è il Responsabile esterno del trattamento, in quanto autorità pubblica che, attraverso l’applicativo messo a disposizione, tratta dati personali per conto del titolare del trattamento;
- il titolare del trattamento è in via esclusiva l’istituzione scolastica.
Se la scuola utilizza pacchetti locali:
- il responsabile del trattamento è il fornitore informatico scelto dall’istituzione scolastica.
Gestione del personale docente – contrattualizzazione
La contrattualizzazione del personale docente riguarda tutte le attività di trattamento di dati che sono effettuate dalla scuola ai fini dell’assunzione del predetto personale.
In riferimento a tale processo, sono state individuate le seguenti attività di trattamento:
1. Gestione contratto a tempo indeterminato – Personale docente
2. Gestione contratto a tempo determinato – Personale docente
3. Gestione contratto per supplenze brevi e saltuarie – Personale docente
Gestione contratto a tempo indeterminato – Personale docente
Tale attività prevede il trattamento di tutti dati personali funzionali al perfezionamento dell’assunzione del personale docente a tempo indeterminato, con riferimento agli aspetti relativi al trattamento giuridico ed economico ed alla verifica del possesso dei requisiti per l’assunzione.
La suddetta attività comporta,nel trattamento dei dati personali, una contitolarità ex art. 26 del Reg. (UE) 2016/679 del MIUR e della scuola.
Considerato che l’attività si svolge tramite funzioni SIDI, il responsabile esterno del trattamento è il fornitore del sistema informativo del MIUR.
Gestione contratto a tempo determinato – Personale docente
Questa attività prevede il trattamento di tutti i dati personali funzionali all’assunzione del personale docente a tempo determinato, con riferimento agli aspetti relativi al trattamento giuridico ed economico ed alla verifica del possesso dei requisiti per l’assunzione.
Come nel caso del personale di ruolo, vi è una una contitolarità ex art. 26 del Reg. (UE) 2016/679 del MIUR e dell’istituzione scolastica nel trattamento dei relativi dati personali.
Considerato che l’attività si svolge tramite funzioni SIDI, il responsabile esterno del trattamento è il fornitore del sistema informativo del MIUR.
Gestione contratto per supplenze brevi e saltuarie – Personale docente
Tale attività prevede il trattamento di tutti i dati personali funzionali all’assunzione del personale docente per supplenze brevi e saltuarie, con riferimento agli aspetti relativi al trattamento giuridico ed economico ed alla verifica del possesso dei requisiti per l’assunzione.
L’attività comporta la titolarità esclusiva della scuola nel trattamento dei relativi dati personali, mentre il MIUR si pone come responsabile esterno del trattamento, in quanto autorità pubblica che, attraverso l’applicativo del portale SIDI, tratta dati personali per conto del titolare del trattamento.
Esempio di compilazione del Registro delle attività di trattamento per le Istituzioni Scolastiche