Facendo seguito all’articolo relativo al Vademecum che il Garante per la protezione dei dati personali ha riservato alle scuole e al quello sulla sicurezza informatica nelle scuole, parliamo ora di un modello organizzativo per le istituzioni scolastiche. Occorre premettere che la protezione dei dati interessa anche le istituzioni scolastiche in quanto il Codice della Privacy si applica a chiunque é stabilito nel territorio dello Stato (art.5, c.1). Il codice prevede regole specifiche per i soggetti pubblici (articoli dal 18 al 22) che, ovviamente, si applicano alle scuole di ogni ordine e grado in quanto esse sono amministrazioni pubbliche. Il Decreto Legislativo n. 165/2001 d’altro canto, all’art. 1, c.2, conferma che «per amministrazioni pubbliche si intendono tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative».
In base all’ art. 37, comma 1, lettere da a) a f), le scuole non sono obbligate a notificare al Garante il trattamento di dati personali, poiché i dati che trattano non rientrano tra le categorie per le quali é previsto l’obbligo di notifica o, se vi rientrano (come, ad esempio, i dati idonei a rivelare lo stato di salute, lettera b), i fini del trattamento sono diversi da quelli ivi indicati.
Inoltre, in base all’art.18, c.4, le scuole non devono richiedere il consenso dell’interessato per effettuare il trattamento. Sempre in riferimento all’art. 18, c.2, qualunque trattamento (di qualunque tipo di dati) é consentito soltanto per lo svolgimento di funzioni istituzionali (articolo 18, comma 2). E le funzioni che le scuole svolgono sono quelle che perseguono il fine istituzionale delle scuole stesse, cioé il fine “istruzione e formazione” degli alunni, tra cui vi rientrano:
- tutte le funzioni individuate come pertinenti alle scuole in materia di istruzione e formazione
- tutte quelle ad esse strumentali (servizi generali e amministrativi)
- quelle che attengono al rapporto di lavoro con i dipendenti.
Se consideriamo infine l’art.19, c.1, il trattamento di dati diversi da quelli sensibili e giudiziari é consentito, solo per i fini istituzionali, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente. Occorre al tal proposito apporre due eccezioni: la comunicazione (ossia il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato) ad altri soggetti pubblici é ammessa quando é prevista da una norma di legge o di regolamento o quando é comunque necessaria per lo svolgimento delle funzioni istituzionali della scuola 2. la comunicazione a soggetti privati e la diffusione dei dati da parte delle scuole sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.