Registro elettronico: cosa devono fare le scuole per rispettare la privacy

Il Ministero dell’Istruzione e del Merito (MIM) ha diffuso un vademecum per guidare le scuole nell’uso del registro elettronico, evidenziando i principali obblighi legati alla protezione dei dati personali. Il documento, firmato dai capi dipartimento, fornisce indicazioni operative che ogni istituto scolastico deve seguire.

Privacy e DPIA

Uno degli aspetti centrali è la protezione dei dati personali. Le scuole devono:

  • Rispettare i principi generali del GDPR;
  • Redigere una Valutazione d’Impatto sulla Privacy (DPIA) per il trattamento dei dati;
  • Informare le persone interessate (studenti, famiglie, personale);
  • Nominare formalmente chi è autorizzato al trattamento dei dati;
  • Stipulare contratti specifici con i fornitori del registro elettronico, designandoli Responsabili del Trattamento;
  • Fornire istruzioni precise ai fornitori esterni sulle misure di sicurezza informatica da adottare.

Sarebbe utile che il Ministero fornisse modelli standard per DPIA, informative, nomine e contratti, adattabili alle singole realtà scolastiche. Questo non intaccherebbe l’autonomia scolastica, in quanto gli adempimenti richiesti sono comuni a tutte le scuole.

Altri adempimenti mancanti

Il vademecum, però, non elenca tutte le azioni richieste dal GDPR. Manca, ad esempio:

  • L’obbligo di registrare i trattamenti nel Registro dei Trattamenti (art. 30 GDPR);
  • L’analisi dei rischi sulla sicurezza dei dati (art. 32);
  • Le istruzioni per gli incaricati al trattamento (art. 29);
  • La formazione del personale scolastico (art. 39);
  • Le istruzioni rivolte anche a studenti e famiglie (art. 24);
  • Il monitoraggio e la verifica dell’operato dei fornitori designati come responsabili (art. 28), per cui servirebbero anche documenti di auditing.

Inoltre, è obbligatorio (e non solo consigliabile, come riportato nel vademecum) coinvolgere il Responsabile della Protezione dei Dati (DPO) nella pianificazione di tutte le misure.

Identificazione digitale

L’accesso al registro elettronico deve avvenire tramite identità digitali come SPID, CIE o eIDAS. Per facilitare l’accesso anche ai minorenni, il Ministero ha creato il sistema "eID Gateway", che permette l’integrazione tra il registro elettronico e le principali piattaforme di autenticazione.

Interoperabilità

Il registro deve poter dialogare con le altre piattaforme digitali del Ministero, come il Sistema Informativo dell’Istruzione (SIDI), l’Anagrafe Nazionale degli Studenti, la Piattaforma Unica e il servizio "Pago In Rete".

Accessibilità

È obbligatorio che il registro elettronico rispetti le Linee Guida AgID sull’accessibilità digitale, per garantire l’uso anche a chi ha disabilità.

Trasferibilità dei dati

Infine, il registro deve permettere la trasferibilità dei dati verso altri sistemi o registri elettronici, per rispondere alle esigenze organizzative delle scuole.