Informativa Studenti e famiglie
AI GENITORI DEGLI STUDENTI
Oggetto: informativa ex art. 13 e 14 del Regolamento Europeo 2016/679 per il trattamento dei dati personali
Gentili Genitori, il REGOLAMENTO EUROPEO 2016/679 ed il “Codice in materia di protezione dei dati personali” d. Lgs. 196/03, cosi come modificato dal D.Lgs.101/2018, impongono l’osservanza di severe regole a protezione di tutti i dati personali, sia nella fase del loro trattamento, che della loro diffusione durante l’attività amministrativa e istituzionale.
1. INTRODUZIONE E DEFINIZIONI GENERALI Oggetto della tutela offerta da ogni normativa sulla privacy è il “trattamento di dati personali”. In quanto persona fisica alla quale si riferiscono i dati trattati (potremmo dire “proprietario” dei dati personali di riferimento), il Regolamento UE 2016/679 La definisce con il termine “interessato” e Le riserva una serie di diritti e prerogative a Suo favore. In particolare: i “dati sensibili” sono quei dati personali che sono idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; i “dati giudiziari” sono quei dati personali idonei a rivelare procedimenti o provvedimenti di natura giudiziaria.
2. FINALITÀ DI TRATTAMENTO L’Istituto Scolastico esegue diversi trattamenti di dati personali, in particolare riferibili a: Alunni/Studenti; Genitori/Tutori degli alunni/Studenti minori; Personale dipendente; Membri degli organi collegiali dell’Istituto; Soggetti esterni con i quali intercorrono rapporti di fornitura di beni e/o servizi, collaborazione inter-istituzionale e in regime di convenzione o accordo di rete. Tali trattamenti si svolgono esclusivamente al fine di adempiere agli obblighi connessi alla instaurazione ed al mantenimento dei rapporti suddetti per le diverse finalità previste dalle normative vigenti per il funzionamento delle scuole ed ispirandosi ai seguenti principi generali: necessità; liceità; correttezza e lealtà; sicurezza e protezione.Senza pretesa di esaustività̀ (i dettagli saranno contenuti nelle informative specifiche che verranno di volta in volta fornite), i trattamenti svolti dall’Istituto ai sensi dell’art. 6 lettera e) del Regolamento UE sono: iscrizione e frequenza degli allievi; gestione della carriera di personale ed allievi; utilizzo dei servizi telematici e di posta elettronica per tutti i fini; fruizione di contributi, agevolazioni e servizi connessi ai rapporti intercorrenti con l’Istituto; rilevazioni per la valutazione della didattica; applicazione delle misure di sicurezza degli ambienti di lavoro (D.Lgs. 81/2008); gestione dell’offerta formativa e dell’assegnazione degli incarichi; gestione della struttura organizzativa, dell’anagrafica del personale e registrazione degli eventi di carriera (trattamento giuridico del personale); gestione delle pratiche assicurative e previdenziali; trattamenti assistenziali, denunce e pratiche di infortunio, trattamenti assistenziali.
3. CARATTERE OBBLIGATORIO O FACOLTATIVO DEL CONFERIMENTO DEI DATI PERSONALI Il conferimento dei dati richiesti è obbligatorio in quanto necessario alla realizzazione delle finalità istituzionali di cui al punto 1. L’eventuale diniego al trattamento di tali dati potrebbe determinare il mancato perfezionamento dell’iscrizione e l’impossibilità di fornire tutti i servizi necessari per garantire il diritto all’istruzione e formazione.
Dati obbligatori. I dati personali obbligatori da fornire, strettamente necessari all’esercizio delle funzioni istituzionali, sono i seguenti. Per quanto riguarda l’allievo: nome e cognome dell’alunno, data e luogo di nascita, indirizzo e numero telefonico, titolo di studio, attestati di esito scolastico e altri documenti e dati relativi alla carriera scolastica, foto ed eventuale certificato d’identità, certificati medici o altre dichiarazioni, e in determinati casi certificazione di vaccinazione; Per quanto riguarda la famiglia dell’allievo: nome e cognome dei genitori o di chi esercita la patria potestà, data e luogo di nascita, indirizzo e numero telefonico, se diversi da quelli dell’alunno. I dati personali qualificati dal Regolamento UE 2016/679 come sensibili e giudiziari verranno trattati nel rispetto del principio di indispensabilità del trattamento. Di norma non saranno soggetti a diffusione, salvo la necessità di comunicare gli stessi ad altri Enti Pubblici nell’esecuzione di attività istituzionali previste da norme di legge in ambito sanitario, previdenziale, tributario, infortunistico, giudiziario, collocamento lavorativo, nei limiti previsti dal D.M. 305/20036.
Dati facoltativi. Per taluni procedimenti amministrativi attivabili soltanto su domanda individuale (ottenimento di particolari servizi, prestazione, benefici, esenzioni, certificazioni, ecc.) può essere indispensabile il conferimento di ulteriori dati, altrimenti la finalità richiesta non sarebbe raggiungibile. In tali casi verrà fornita un’integrazione verbale della presente informativa.
4. MODALITÀ DI ACQUISIZIONE E DI TRATTAMENTO DEI DATI I dati personali dell’alunno e dei familiari vengono acquisiti direttamente dall’alunno stesso, dai genitori o dalla scuola di provenienza nel caso dei trasferimenti. A garanzia dei diritti dell’Interessato, il trattamento dei dati è svolto secondo le modalità e le cautele previste dalla normativa vigente, rispettando i presupposti di legittimità di ciascuna richiesta di dati, seguendo principi di correttezza, di trasparenza, di tutela della sua dignità e della sua riservatezza. Il trattamento può essere svolto in forma cartacea, o attraverso strumenti informatici e telematici, ed i relativi dati saranno conservati, oltre che negli archivi presenti presso la presente istituzione scolastica, anche presso gli archivi del MIUR e suoi organi periferici (Ufficio Scolastico Regionale, Ambito Territoriale Provinciale, ed altri). In tal caso i dati verranno trattati e conservati secondo le regole tecniche di conservazione digitale indicate dall’AGID. I dati cartacei, invece, secondo quanto previsto dai piani di conservazione e scarto indicati dalla direzione generale degli archivi presso il Ministero dei beni culturali.
5. I MIEI DATI POTRANNO ESSERE COMUNICATI? I soggetti a cui i dati personali potranno essere comunicati nell’ambito della scuola sono: il Dirigente Scolastico, i Responsabili del trattamento (D.S.G.A. e Collaboratore Vicario), gli Incaricati del trattamento amministrativo (che di fatto corrispondono alla segreteria amministrativa), i docenti del Consiglio di classe ed i membri dell’equipe per l’integrazione scolastica, relativamente ai dati necessari alle attività didattiche, di valutazione, integrative e istituzionali. Inoltre, i collaboratori scolastici ed i componenti degli organi collegiali limitatamente ai dati strettamente necessari alla loro attività. I dati personali, diversi da quelli sensibili e giudiziari, potranno essere comunicati ad altri enti pubblici o privati esclusivamente nei casi previsti da leggi e regolamenti. I soli dati anagrafici potranno essere conferiti a società di trasporto, a strutture pubbliche e private meta di visite scolastiche o oggetto di attività extra e parascolastiche. I dati relativi agli esiti scolastici degli alunni potranno essere pubblicati mediante affissione all’ALBO ON LINE della scuola secondo le vigenti disposizioni in materia.
6. QUALE E’ IL PERIODO DI CONSERVAZIONE DEI DATI PERSONALI? I dati saranno conservati presso l’Istituto per tutto il tempo in cui la prestazione sarà attiva e verrà trattenuto il fascicolo per il periodo di conservazione obbligatorio previsto dalla normativa vigente. I tempi di conservazione dei dati (senza differenza alcuna tra cartacei e digitali) sono stabiliti dalla normativa di riferimento per le Istituzioni scolastiche individuabile nella Legge 59/1997 (Art. 21), D.P.R. 275/1999, D.P.R. 445/2000, D.Lgs. 42/2004 e Legge 137/2002 (Art. 10).
Dati riferibili a documenti soggetti ad archiviazione illimitata o per 50 anni: contrattazione, verbali di riunioni, registri delle deliberazioni, protocolli, registri dei contratti, dati relativi a procedimenti disciplinari e giurisdizionali, contratti di prestazione d’opera e di assunzione, fascicoli individuali del personale e degli allievi, ordini di servizio, orari di servizio e registro assenze, registri degli stipendi ed altri assegni, liquidazione consulenze, accertamenti sanitari riferiti a malattie professionali ed infortuni, attestati di aggiornamento del personale, registri di iscrizione/immatricolazione degli allievi, registri generali dei voti e delle valutazioni, dati relativi a borse di studio, elaborati delle prove scritte, grafiche e pratiche per gli esami di Stato, pagelle e dati di scrutinio; Dati riferibili a documenti soggetti ad archiviazione per 6 anni (con obbligo comunque di conservazione di 1 esemplare a campione): elezione e convocazione organi collegiali, richieste di certificati ed autorizzazioni rispetto all’uso dei locali, elenchi buoni libro e cedole librarie, elenchi servizio mensa, elenchi servizio di trasporto degli allievi, domande di ferie e permessi, copie certificati di servizio, certificati di nascita e vaccinazione e documenti vaccinali in genere, registri delle assenze degli allievi. Dati riferibili a documenti soggetti ad archiviazione per 1 anno: elaborati delle prove scritte, grafiche e pratiche degli allievi ad esclusione di quelli prodotti per l’esame di Stato (con obbligo comunque di conservazione di 1 annata a campione ogni 10 anni), richieste di accesso e di copie di atti. Tutta la documentazione di natura contabile-amministrativa è soggetta ad obbligo di conservazione decennale.
7. DATA PROTECTION OFFICER (DPO) Il Responsabile per la Protezione dei Dati personali (RPD) è il Dott. Massimo Zampetti, per la società Privacycert Lombardia S.r.l. con sede in Bergamo, Pass. Don Seghezzi n. 2, 24122 – BG, tramite un contratto di servizi in “outsourcing” ai sensi dell’Art. 37 del GDPR 679/16.
8. TITOLARE DEL TRATTAMENTO DEI DATI Il titolare del trattamento dei dati è l’istituzione scolastica stessa, avente personalità giuridica autonoma e legalmente rappresentata dal Dirigente Scolastico pro tempore.
9. QUALI SONO I DIRITTI DELL’INTERESSATO? Relativamente ai suoi dati personali potrà esercitare i diritti di accesso, rettifica, cancellazione, limitazione, opposizione e portabilità garantiti dagli artt. 15 – 22 del GDPR n. 679/16, rivolgendosi con apposita richiesta al Titolare o ai Responsabili del trattamento, se nominati. L’informativa completa è pubblicata all’ALBO ON LINE della presente istituzione scolastica.
Lei potrà rivolgersi al titolare o al responsabile del trattamento per far valere i Suoi diritti, così come previsto dagli Artt. 15 – 22 del GDPR, che si riportano integralmente:
GDPR n. 679/16
Articolo 15
Diritto di accesso dell’interessato
1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.
3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.
4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.
Rettifica e cancellazione
Articolo 16
Diritto di rettifica
L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza
ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati
personali incompleti, anche fornendo una dichiarazione integrativa.
Articolo 17
Diritto alla cancellazione («diritto all’oblio»)
1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.
2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
a) per l’esercizio del diritto alla libertà di espressione e di informazione;
b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3;
d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o
e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Articolo 18
Diritto di limitazione di trattamento
1. L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
d) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
2. Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.
3. L’interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia revocata.
Articolo 19
Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda.
Articolo 20
Diritto alla portabilità dei dati
1. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
a) il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e
b) il trattamento sia effettuato con mezzi automatizzati.
2. Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.
3. L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l’articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.
Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche
Articolo 21
Diritto di opposizione
1. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
2. Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
3. Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.
4. Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all’attenzione dell’interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato.
5. Nel contesto dell’utilizzo di servizi della società dell’informazione e fatta salva la direttiva 2002/58/CE, l’interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.
6. Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell’articolo 89, paragrafo 1, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico.
Articolo 22
Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
2. Il paragrafo 1 non si applica nel caso in cui la decisione:
a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
c) si basi sul consenso esplicito dell’interessato.
3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.