Legge privacy

La legge sulla privacy è un argomento vasto e cruciale, soprattutto nel contesto della protezione dei dati personali.

Quando si parla di “privacy”, oggi ci riferiamo in gran parte al Regolamento Generale sulla Protezione dei Dati (GDPR), emanato dall’Unione Europea.

Principale normativa: il GDPR

Il GDPR, acronimo di General Data Protection Regulation (Regolamento UE 2016/679), è entrato in vigore il 25 maggio 2018 e rappresenta la normativa di riferimento per la tutela dei dati personali in tutta l’Unione Europea, inclusa l’Italia. Questa legge è applicabile a tutte le organizzazioni che raccolgono o trattano dati personali di cittadini UE, incluse le scuole, aziende, enti pubblici e privati.

In Italia, il GDPR viene integrato e completato dal D.Lgs. 196/2003, noto come Codice in materia di protezione dei dati personali, aggiornato dal D.Lgs. 101/2018 per adeguarsi al GDPR.

I principi fondamentali del GDPR

Il GDPR stabilisce una serie di principi fondamentali per il trattamento dei dati personali:

1. Liceità, correttezza e trasparenza: Il trattamento dei dati deve essere svolto in modo lecito, equo e trasparente nei confronti della persona interessata.
2. Limitazione delle finalità: I dati devono essere raccolti per finalità specifiche, esplicite e legittime e non trattati ulteriormente in modo incompatibile con tali finalità.
3. Minimizzazione dei dati: I dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui vengono trattati.
4. Esattezza: I dati personali devono essere esatti e, se necessario, aggiornati. È responsabilità del titolare del trattamento adottare misure per assicurare che i dati errati siano corretti o cancellati.
5. Limitazione della conservazione: I dati personali devono essere conservati per un periodo di tempo limitato, strettamente necessario agli scopi del trattamento.
6. Integrità e riservatezza: I dati devono essere trattati in modo da garantirne la sicurezza, inclusa la protezione da trattamenti non autorizzati o illeciti e dalla perdita accidentale.

Diritti degli interessati

Il GDPR rafforza i diritti delle persone i cui dati vengono raccolti e trattati (gli “interessati”). Ecco i principali:

1. Diritto di accesso: Ogni persona ha il diritto di sapere quali dati vengono raccolti su di essa, per quali finalità e a chi sono stati comunicati.
2. Diritto alla rettifica: Gli interessati possono richiedere la correzione dei dati personali errati o incompleti.
3. Diritto alla cancellazione (“diritto all’oblio”): L’interessato può richiedere la cancellazione dei propri dati in determinate circostanze, ad esempio se i dati non sono più necessari o se ha ritirato il consenso.
4. Diritto alla limitazione del trattamento: Gli interessati possono chiedere che il trattamento dei loro dati sia limitato, ad esempio durante la verifica dell’esattezza dei dati.
5. Diritto alla portabilità dei dati: Gli interessati hanno il diritto di ricevere i loro dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, per trasferirli ad altro titolare del trattamento.
6. Diritto di opposizione: Gli interessati possono opporsi al trattamento dei propri dati per motivi legittimi.
7. Diritto di non essere soggetti a decisioni automatizzate: L’interessato ha il diritto di non essere soggetto a una decisione basata esclusivamente su un trattamento automatizzato, inclusa la profilazione, che produca effetti giuridici.

Consenso e legittimità del trattamento

Uno dei pilastri del GDPR è il concetto di consenso. Il trattamento dei dati personali deve basarsi su uno dei seguenti fondamenti giuridici:

• Consenso esplicito dell’interessato.
• Esecuzione di un contratto in cui l’interessato è parte.
• Obblighi legali a cui il titolare è soggetto.
• Interessi vitali dell’interessato o di un’altra persona.
• Interesse pubblico o esercizio di pubblici poteri.
• Interesse legittimo del titolare o di terzi, a meno che non prevalgano i diritti e le libertà dell’interessato.

Responsabilità del titolare e del responsabile del trattamento

Il GDPR introduce il concetto di accountability (responsabilità proattiva), imponendo ai titolari e ai responsabili del trattamento di:

• Adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati (es. crittografia, anonimizzazione).
• Documentare e dimostrare la conformità alla normativa, tramite l’adozione di regolamenti interni e la redazione di valutazioni d’impatto sulla protezione dei dati (DPIA) in caso di trattamenti rischiosi.

Sanzioni

Il GDPR prevede sanzioni molto severe per le violazioni. Le multe possono arrivare fino a:

• 10 milioni di euro o il 2% del fatturato globale annuo dell’organizzazione, per violazioni meno gravi.
• 20 milioni di euro o il 4% del fatturato globale annuo, per le violazioni più gravi, come il mancato rispetto dei diritti degli interessati.

Conclusione

Il GDPR e il Codice Privacy italiano offrono una protezione molto forte dei dati personali, stabilendo diritti chiari per gli interessati e obblighi rigidi per chi tratta i dati. Nella scuola, questo implica che i dati degli studenti e del personale devono essere trattati con estrema cautela, nel rispetto delle finalità dichiarate e con il consenso, ove necessario.