NEWS

Il trattamento dei dati personali degli studenti universitari: anche gli atenei devono rispettare il Gdpr

Introdurre alla privacy, normata dal Regolamento UE 679/2016 (GDPR) e dal novellato Codice Privacy, con riguardo alla figura di studente universitario presenta diverse connotazioni: in primis è un interessato al trattamento dei propri dati ma, in taluni casi, partecipa all’attuazione di processi privacy, nelle vesti di persona autorizzata al trattamento (ad es. come tirocinante o nell’ambito di collaborazioni retribuite). Inoltre, le rappresentanze degli studenti sono comunque coinvolte nella gestione della privacy universitaria.

Una recente iniziativa di Federprivacy a favore dei giovani ha introdotto l'opzione ‘junior’ per diventare membri dell’associazione

Per avere una prima idea di come le università trattino i dati personali si può fare riferimento alle disposizioni emanate da quella a cui si è iscritti; per sviluppare una più articolata visione della materia sono poi di interesse anche le Linee Guida sulla privacy (2017) del CODAU (Convegno dei Direttori generali delle Amministrazioni Universitarie).

Tale documento fornisce una prima disamina del GDPR e propone una “mappatura dei principali trattamenti che trovano svolgimento in ambito universitario”: 31 trattamenti descritti in maniera articolata di cui 11 afferenti agli studenti e 20 ad altri ambiti (dipendenti e collaboratori; attività trasversali; gestione federata di servizi).

Va precisato che quelle del CODAU sono linee guida di settore, che non hanno il valore di soft law generale come quelle emanate dall’European Data Protection Board, ma comunque danno indicazioni per perseguire un isomorfismo applicativo.

Circa il ruolo di componente delle rappresentanze degli studenti, in particolare per gli studenti che fanno parte degli organi di governance (Senato Accademico e Consiglio di amministrazione) vi è la possibilità di svolgere una particolare funzione di presidio circa la tutela dei dati personali. Fra l’altro dovrebbero poter prendere cognizione del Registro dei trattamenti e dei riferimenti periodici al titolare da parte del Responsabile per la protezione dei dati (Data Protection Officer) in genere una relazione annua (solo in taluni casi oggetto di pubblicazione , non essendoci un obbligo in tal senso) sulle questioni trattate.

Nelle vesti di componenti degli organi di governance o di collaboratori, gli studenti, sono anche titolati a presentare segnalazioni whistleblowing e, in tale veste, abilitati – anche sotto la particolare forma normata dal Dlgs 24/2023 sul whistleblowing - alla denuncia di fatti illeciti rispetto al diritto comunitario o nazionale, come alcuni Atenei chiariscono nelle loro pagine web sulla materia.

Anche le università possono essere oggetto di interventi del Garante e la disamina delle decisioni assunte può essere utile anche come cartina di tornasole per la realtà in cui si studia.

A titolo esemplificativo si richiama l’articolato Provvedimento 317/2021 nei confronti di una primaria università privata. La questione, sollevata dal reclamo da parte di uno studente, riguardava il ricorso a un sistema di supervisione (proctoring) delle prove d’esame a distanza (siamo nel periodo del Covid-19). In esito alla disamina della questione il Garante ha comminato una sanzione di 200.000 euro all’Ateneo e ingiunto di non continuare il trattamento con riguardo ad aspetti afferenti ai dati biometrici e al trasferimento dei dati verso gli USA in assenza di adeguate garanzie.

La sensibilità alla privacy di uno studente ha fatto quindi emergere una questione fondata e rilevante, - dal punto di vista di tutti gli stakeholder, circa la questione dei corretti presìdi necessari per condurre prove a distanza regolari e in sicurezza - e ciò è apprezzabile.

Peraltro, sulla base di quanto sopra illustrato, un rafforzamento delle competenze degli studenti e delle rappresentanze degli studenti in tema di trattamento dei dati personali potrebbe contribuire a far emergere questioni dubbie da sottoporre al Data Protection Officer e/o discutere negli organi di vertice dell’Ateneo prima che queste diano origine a lesioni alla privacy e sanzioni come nel caso di cui si è fatto cenno.

In conclusione: la privacy è qualcosa che interessa tutti, e per gli studenti universitari è essenziale apprenderne le caratteristiche per tenerne conto nel loro percorso di studi prima e professionale poi, quale che sia l’ambito.

Note Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Gli standard della norma ISO/IEC 27040:2024 per la gestione dei supporti di archiviazione dei dati: un altro passo per migliorare i sistemi
Next Gestire il sito web di un ente pubblico in assenza di un accordo come responsabile comporta un trattamento illecito di dati

La ASL di Taranto certifica i propri Privacy Officer

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy