Una famiglia può chiedere il trasferimento dei dati personali contenuti nel database del registro della scuola di provenienza?

In riferimento all'art. 20 del GDPR, che definisce il diritto alla portabilità dei dati, chiedo se la scuola debba applicare tale diritto in particolare in relazione al registro elettronico. In concreto, potrebbe una famiglia che chieda il nullaosta per altra scuola, richiedere anche il trasferimento dei dati personali contenuti nel database del registro della scuola di provenienza? E in caso di risposta affermativa, questo comporta un adeguamento dei gestionali dei registri elettronici, che come è noto sono di vario tipo, al fine di renderli in grado di "dialogare" tra loro, oppure bisogna immaginare tale adempimento a carico esclusivo della segreteria scolastica? La mia domanda nasce dall'esperienza di un lavoro di rete tra scuole, nel quale abbiamo necessità di esportare dati dai registri di diversi fornitori, ma alle nostre richieste abbiamo avuto risposte molto differenti e in qualche caso anche nette opposizioni.

Come è noto a partire dal 25 maggio 2018 è divenuto efficace il nuovo Regolamento in materia di tutela dei dati personali: il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016. La natura giuridica della fonte utilizzata (Regolamento e non Direttiva), rende la stessa direttamente applicabile senza necessità di provvedimenti normativi di recepimento. Così, il decreto legislativo attuativo della delega contenuta nell’art.13 della legge 25 ottobre 2017, n. 163 rimette al legislatore delegato un potere di mera verifica delle disposizioni da abrogare per incompatibilità con il Regolamento e di normazione di quanto necessario per dare attuazione alle disposizioni non direttamente applicabili del Regolamento. Possiamo dire, con riferimento al quadro di insieme, che pur con “fonte” diversa, le regole sostanziali non cambiano molto per gli enti pubblici. Continua a valere per gli enti pubblici la regola della base di legittimazione al trattamento dei dati personali degli amministrati insita nel dovere di esercizio del pubblico potere, che si traduce nella necessità di una fonte normativa che ne costituisca la base (art. 6, comma 1, lett. e) e comma 3, ,lett. b); Considerando C 45 e C 46 Regolamento, come già l’art. 18 Dlgs 196/2003). I soggetti pubblici, ivi comprese le scuole, non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, artt 7 e 9, come già gli artt. 18 e 20 Dlgs 196/2003). Quindi le scuole dovranno rendere l’informativa, perché il rapporto con gli interessati (studenti, famiglie, , dipendenti) si fonda ancora, in primo luogo, su questo strumento (anzi il Regolamento ne rafforza il contenuto ed i relativi requisiti soprattutto con riferimento alle informative inerenti soggetti minori). Per quanto concerne la portabilità dei dati (art. 20 del Regolamento) si tratta di uno dei nuovi diritti previsti dal Regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico). Il Garante nella Guida al Regolamento ha precisato che detto diritto non si applica ai trattamenti non automatizzati e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al titolare. Pertanto, alla luce anche di quanto precisato dal Garante, si ritiene che l'art. 20 non sia applicabile ai trattamenti posti in essere dalla scuola (non trattandosi di dati trattati con il consenso e posti comunque in essere nell'esercizio di un adempimento di legge). Questo però non significa, come vedremo a breve, che i dati non possano essere trasferiti da una scuola all'altra, analogamente a come avveniva per i fascicoli cartacei. Anzi, al contrario, quando si ragiona su questi aspetti, bisogna, per semplicità, farsi una domanda: se ci fosse stata la carta cosa avremmo fatto? Visto che siamo nell'ambito del lavoro di una Pubblica Amministrazione, se ci diamo una risposta e risulta che un trattamento elettronico determina l'impossibilità di adempiere ad un obbligo giuridico che prima con la carta riuscivamo ad adempiere, significa che stiamo decisamente sbagliando strada e ci si deve accendere un bel segnale di allarme in testa. Dunque, quello che prima era oggetto di trasferimento tra scuole, sotto forma di documenti cartacei, deve esserlo anche ora se gli stessi documenti sono adesso elettronici. Viceversa, quello che prima NON veniva trasferito (ad esempio i registri di classe e i registri del professore cartacei) non è che ora lo dobbiamo trasferire perchè i trattamenti sono diventati digitali (registri elettronici). Il regolamento europeo cambia l'assetto sulle responsabilità, sul modo di informare gli interessati, sulle misure di sicurezza e le analisi dei rischi correlate, sui registri obbligatori che bisogna tenere, sulle figure coinvolte in materia di privacy, ma non tocca nella sostanza la natura e la tipologia delle attività che ciascuna PA si vede assegnate dal nostro ordinamento. Diversa è dunque la questione della interoperabilità dei diversi gestionali che la scuola (titolare del trattamento dati) ha in utilizzo. Ai sensi del CAD - Codice dell'Amministrazione Digitale di cui al D.Lgs. n. 82 del 2005 e successive modificazione, l'interoperabiità è la caratteristica di un sistema informativo, le cui interfacce sono pubbliche e aperte, di interagire in maniera automatica con altri sistemi informativi per lo scambio di informazioni e l'erogazione di servizi 40. L'art. 41 del CAD prevede che le pubbliche amministrazioni gestiscono i procedimenti amministrativi utilizzando le tecnologie dell'informazione e della comunicazione. Per ciascun procedimento amministrativo di loro competenza, esse forniscono gli opportuni servizi di interoperabilità o integrazione, ai sensi di quanto previsto dagli articoli 12 e 64-bis . Pertanto, la scuola, in qualità di titolare del trattamento, ha il diritto di compiere qualsiasi operazione connessa con le finalità istituzionali perseguite: è quindi autorizzata a compiere tutte le operazioni con i dati degli studenti, insegnanti, personale ATA che si rendano necessarie a realizzare le finalità istituzionali e adempire gli obblighi di legge. Invece il terzo fornitore non può procedere unilateralmente a modificare o compiere operazioni sui dati personali di cui la scuola è titolare, senza l'autorizzazione esplicita di quest'ultima. Se, infatti, un terzo ponesse in essere un tale comportamento violerebbe sia la normativa Privacy che il C.A.D. Dunque, il fornitore, di norma nominato Responsabile del trattamento, non può porre in essere attività che limitino il travaso di dati da un gestionale all'altro.