Provvedimento 26 luglio 2005
Provvedimento 26 luglio 2005: “Introduzione di un documento di valutazione ed orientamento, denominato «Portfolio (o cartella) delle competenze individuali»”.
(da “Gazzetta Ufficiale della Repubblica Italiana” n. 183, 8 agosto 2005)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
Vista la normativa internazionale e comunitaria in materia di protezione dei dati personali (direttiva n. 95/46/CE), anche in relazione agli articoli 2, 10, 11 e 33 della Costituzione;
Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196);
Visto il decreto legislativo 19 aprile 2004, n. 59 (Definizione delle norme generali relative alla scuola dell’infanzia e al primo ciclo dell’istruzione, a norma dell’art. 1 della legge 28 marzo 2003, n. 53);
Vista la documentazione in atti;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
Considerato:
1. Premessa.
La riforma della scuola dell’infanzia e del primo ciclo di istruzione – scuola primaria e scuola secondaria di primo grado – ha introdotto la redazione di un documento di valutazione ed orientamento, denominato «Portfolio (o cartella) delle competenze individuali», da redigere singolarmente per ciascun alunno.
Il Portfolio documenta nei predetti cicli di istruzione i processi formativi degli alunni e ne accompagna in tali ambiti il percorso scolastico illustrando in un unico contesto, come strumento didattico, la formazione, l’orientamento e i progressi educativi.
La normativa di riferimento (decreto legislativo 19 aprile 2004, n. 59) prevede a tal fine una documentazione sistematica anche degli elaborati degli alunni, volta a comprendere ed interpretare i loro interessi, le attitudini, i comportamenti e le aspirazioni personali.
Il Portfolio e’ compilato e aggiornato (nella scuola d’infanzia) dai docenti di sezione, ovvero (nella scuola primaria e secondaria di primo grado) dal docente coordinatore-tutor dell’alunno in collaborazione con altri docenti, alunni e loro genitori, i quali possono apportarvi alcune annotazioni (allegati A, B) e C) del citato decreto).
Il Garante ha ricevuto reclami e segnalazioni di genitori di alunni che lamentano possibili violazioni della riservatezza derivanti dalle modalita’ con cui istituti scolastici pubblici e privati trattano dati di carattere personale in relazione al Portfolio.
Rispondendo alla richiesta dell’Autorita’ (nota del 31 maggio 2005), il Ministero dell’istruzione, dell’universita’ e della ricerca – Dipartimento per l’istruzione (lettera del 20 giugno 2005) ha fornito alcune informazioni.
Il Ministero ha anche convenuto sulla necessita’ di raccogliere nel Portfolio «dati personali esclusivamente se pertinenti e non eccedenti e, nel caso dei dati sensibili, solamente se indispensabili per la valutazione e l’orientamento dell’alunno»; si e’ poi dichiarato disponibile ad inviare una nota esplicativa da far pervenire, tramite gli uffici scolastici regionali, a tutte le istituzioni scolastiche, affinche’ queste si conformino al Codice in materia di protezione dei dati personali nella compilazione e gestione del Portfolio.
A conclusione dell’esame preliminare dei reclami e delle segnalazioni, il Garante ritiene necessario prescrivere a tutti gli istituti scolastici di adottare alcune misure volte a favorire il rispetto dei diritti e delle liberta’ fondamentali dei cittadini, nonche’ della loro dignita’, con particolare riferimento alla riservatezza, all’identita’ ed alla protezione dei dati personali (art. 2, comma 1, del Codice), considerata la quantita’, la varieta’ e la delicatezza delle informazioni che possono essere inserite nel Portfolio e l’ingente numero dei minori e familiari interessati.
2. Le principali questioni.
Le problematiche rappresentate al Garante riguardano la liceita’ e la correttezza del trattamento dei dati personali confluenti nel Portfolio, relativi al percorso scolastico e alla vita privata e sociale degli alunni.
Non e’ previsto, a livello nazionale, un modello tipo di Portaolio sul piano della forma e dei contenuti in dettaglio del documento.
Cio’ determina la proliferazione di documenti molto diversi da scuola a scuola, come dimostrano alcuni modelli gia’ esaminati dal Garante, nei quali e’ richiesto l’inserimento di tipologie di dati personali assai differenti (o e’ possibile inserirli o chiedere il loro inserimento) e nei quali l’alunno puo’ illustrare rapporti interpersonali di natura privata e vicende familiari.
Dalle risposte fornite ad alcune delle domande proposte nei modelli esaminati (quali, ad esempio, l’indicazione dell’utilizzo della lingua madre solo nel paese di origine, la motivazione alla base di un trasferimento, anche di nazione, del bambino, la descrizione di particolari vicende che hanno caratterizzato il periodo post-natale), possono evincersi informazioni particolarmente delicate come lo stato di adozione di un minore, nei confronti delle quali l’ordinamento impone precise cautele (legge 4 maggio 1983, n. 184, in particolare articolo 28).
In alcuni casi, sono richieste informazioni relative al profilopsicologico dell’alunno (descrizione di paure o disagi del minore), al suo stato di salute (notizie su particolari patologie sofferte, eventuali ricoveri ospedalieri), al suo credo religioso, all’ambiente sociale di estrazione (acquisizione di informazioni sui suoi familiari) e ad altri delicati aspetti della sfera privata e a quella di natura strettamente familiare.
La diversita’ dei modelli di Portfolio agevola, quindi, una piu’ ampia annotazione di informazioni sensibili (che il Codice individua nei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche’ i dati personali idonei a rivelare lo stato di salute e la vita sessuale: art. 4, comma 1, lettera d), del Codice).
3 Come trattare i dati personali.
La compilazione e la tenuta del Portfolio determina un trattamento di dati personali. L’istituto scolastico frequentato dall’alunno ne e’ il titolare, stante l’autonomia funzionale, didattica, organizzativa e di ricerca, sperimentazione e sviluppo ad esso riconosciuta (articoli 4, comma 1, lettera f) e 28 del Codice; decreto del Presidente della Repubblica 8 marzo 1999, n. 275).
Tale trattamento deve rispettare le disposizioni del Codice e, in particolare, i principi di seguito richiamati. In caso di loro violazione, i dati personali trattati non possono essere utilizzati (art. 11, comma 2, del Codice).
Principio di finalita’ (art. 11, comma 1, lettera b), del Codice).
Il trattamento di dati personali effettuato mediante il Portaolio e’ consentito solo per raggiungere le finalita’ individuate direttamente dalla predetta legislazione di riforma (decreto legislativo n. 59/2004 cit.), ovvero per valutare l’apprendimento e il comportamento degli studenti e per certificare le competenze da essi acquisite.
Non sono perseguibili ulteriori finalita’ attinenti, ad esempio, all’individuazione del profilo psicologico degli alunni o alla raccolta di informazioni sul loro ambiente sociale e culturale di provenienza.
Principio di necessita’ (art. 3 del Codice).
Laddove le finalita’ del Portfolio possono essere perseguite anche senza trattare dati personali, oppure dati identificativi, il trattamento deve riguardare solo dati anonimi (che non riguardano,cioe’, interessati identificati o identificabili), oppure, rispettivamente, dati non identificativi (che permettono, cioe’, di identificare direttamente un interessato).
Principio di proporzionalita’ (art. 11, comma 1, lettera d), del Codice).
Quando, osservando il principio di necessita’, si devono trattare dati personali, deve verificarsi in ogni singola fase del loro trattamento se, e come, determinate operazioni (di raccolta, esame, annotazione, eventuale registrazione, ecc.) siano effettivamente pertinenti e non eccedenti rispetto alla finalita’ di valutazione dell’alunno.
Principio di indispensabilita’ (art. 22, comma 3; aut. gen. nn.2/2004 e 3/2004)
Particolare rigore deve essere osservato per quanto riguarda l’eventuale raccolta e registrazione di dati sensibili, i quali sono acquisibili, attraverso una valutazione obiettiva e selettiva, solo se realmente indispensabili per valutare il processo formativo.
4. Prescrizioni da osservare.
Con il presente provvedimento, a garanzia degli interessati, il Garante prescrive ai titolari del trattamento di osservare, in attuazione dei predetti principi, anche le seguenti misure volte a conformare pienamente i trattamenti alle vigenti disposizioni in materia di protezione dei dati personali (art. 154, comma 1, lettera c) del Codice), invitando il Ministero dell’istruzione, dell’universita’ e della ricerca a recepire le prescrizioni medesime nella nota esplicativa che lo stesso si e’ riservato di far pervenire, tramite gli uffici scolastici regionali, a tutti gli
istituti scolastici.
Ciascun istituto scolastico, in qualita’ di titolare del trattamento, deve attuare le seguenti misure:
Predisposizione del modello di Portfolio.
Nel predisporre il modello di Portfolio, occorre adottare ogni opportuna soluzione per prevenire che vengano raccolti dati sensibili o che sono oggetto, nell’ordinamento, di particolari cautele (es., dati relativi allo stato di affidamento o di adozione), quando gli stessi non siano strettamente indispensabili per raggiungere le finalita’ di documentazione perseguite. Cio’, con particolare riferimento ai campi nei quali l’alunno potrebbe descrivere alcuni suoi rapporti interpersonali di natura privata o vicende familiari. I riferimenti a tali vicende sono del tutto eventuali nel Portfolio, che deve rimanere uno strumento didattico per favorire solo la personalizzazione dei processi formativi scolastici.
Informare gli interessati.
Prima di consentire la compilazione del Portfolio, chi esercita la potesta’ sull’alunno deve essere informato specificamente in merito al trattamento dei dati personali. Nell’informativa occorre indicare gli elementi previsti dall’art. 13 del Codice e, in particolare, quali sono le finalita’ perseguite, se e’ necessario o facoltativo conferire i dati di natura personale, quali sono le conseguenze di un eventuale rifiuto a fornirli, quali soggetti possono consultare il Portfolio e per quali scopi.
Istruzioni per la compilazione.
L’istituto deve impartire idonee istruzioni ai docenti che sovraintendono alla compilazione del Portfolio, affinche’ adottino particolari cautele nel momento in cui inseriscono o consentono di inserire dati personali, in particolare quelli particolarmente delicati o sensibili sopra evidenziati.
Presupposti per inserire dati sensibili.
Per quanto riguarda i dati sensibili, alcuni presupposti giuridici per trattare i dati sono diversi a seconda che l’istituto scolastico sia di natura privata o pubblica. Le istituzioni scolastiche private devono acquisire il consenso specifico, preventivo e scritto da parte degli esercenti la potesta’; devono poi rispettare le prescrizioni contenute nelle autorizzazioni generali del Garante al trattamento dei dati sensibili (art. 26 del Codice e autorizzazioni nn. 2 e 3 del 2004, rinvenibili anche sul sito www.garanteprivacy.it, efficaci sino al 31 dicembre 2005). Le istituzioni scolastiche pubbliche non devono richiedere il consenso; devono invece indicare nell’atto di natura regolamentare che deve essere adottato entro il 31 dicembre 2005, in conformita’ al parere del Garante, i tipi di dati trattabili e le operazioni eseguibili in relazione alla tematica in esame (articoli 20 e 154 del Codice, cfr. Provv. del Garante del 30 giugno 2005). Mancando un potere regolamentare in capo ai singoli istituti scolastici, e in relazione ai compiti attribuiti al Ministero (art. 75 legge 30 luglio 1999, n. 300), l’Autorita’ ha rivolto a quest’ultimo l’invito ad adottare uno schema di regolamento per il trattamento dei dati sensibili effettuato da parte di tutti gli istituti scolastici pubblici, da sottoporre al parere del Garante.
Designare gli incaricati.
L’istituto deve designare i soggetti che possono accedere ai dati contenuti nel Portfolio quali incaricati o, eventualmente, responsabili del trattamento (articoli 30 e 29 del Codice).
Sicurezza dei dati.
Occorre garantire che il trattamento dei dati in questione avvenga nel pieno rispetto delle misure di sicurezza prescritte direttamente dal Codice (articoli 31-36 e allegato B)).
Garantire l’esercizio dei diritti.
Va garantito l’esercizio da parte di tutti gli interessati (e in particolare degli esercenti la potestà), dei diritti individuati dal Codice (art. 7) e, in particolare, del diritto di chiedere l’aggiornamento, la rettificazione, l’integrazione dei dati (quando vi sia interesse), la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge,compresi quelli di cui non e’ necessaria la conservazione in relazione alle finalita’ di valutazione della formazione scolastica.
Breve conservazione dei dati.
Occorre individuare brevi periodi di eventuale conservazione dei dati personali raccolti nel Portfolio, in modo tale che gli stessi siano conservati solo in una forma che consenta di identificare gli interessati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti e successivamente trattati (art. 11, comma 1, lettera e), del Codice).
Rilascio all’interessato.
Il Portfolio (alla stregua di quanto indicato negli allegati B) e C) al citato decreto legislativo n. 59/2004, secondo cui, nel passaggio al ciclo scolastico successivo, il Portfolio «si innesta su quello portato» dall’alunno) deve essere rilasciato allo studente alla fine del corso degli studi, affinche’ lo stesso lo consegni, solo ove cio’ sia previsto, al nuovo istituto scolastico.
Tutto cio’ premesso,
Il Garante:
a) ai sensi dell’art. 154, comma 1, lettera c), del Codice, prescrive agli istituti scolastici di adottare le misure necessarie ed opportune indicate in motivazione, al fine di conformare i trattamenti di dati alle vigenti disposizioni;
b) dispone che copia del presente provvedimento sia inviata al Ministero dell’istruzione, dell’universita’ e della ricerca – Dipartimento per l’istruzione, anche per il seguito indicato in
motivazione;
c) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia – Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale ai sensi dell’art. 143, comma 2, del Codice.
Il presidente
Pizzetti
Il relatore
Paissan
Il segretario generale
Buttarelli
Autore:
Garante per la protezione dei dati personali
Dossier:
Tutela dati personali
Nazione:
Italia
Parole chiave:
Insegnanti, Portfolio, Scuola d'infanzia, Primo ciclo di istruzione, Alunni, Scuole private, Etnia, Dati personali, Razza, Famiglia, Appartenenza confessionale, Scuole pubbliche, Riservatezza, Studenti, Convinzioni religiose, Dati sensibili, Salute, Religione
Natura:
Provvedimento