In base al D.lgs. 24/2023 di recepimento della Direttiva UE 1937/2019 sul whistleblowing, sono legittimati a effettuare segnalazioni protette anche “gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto, presso soggetti del settore pubblico o del settore privato”.
Le linee guida dell’ANAC fanno rientrare in tale fattispecie “i rappresentanti della componente studentesca negli organi universitari” e capita che gli Atenei lo specifichino nelle loro pagine web sulla materia; il diritto di segnalazione, peraltro, ai sensi dell’art. 3 comma 3 lett. g è da intendere riconosciuto anche agli studenti che, inoltre, collaborano (ad es. con i contratti di collaborazione a tempo parziale tipo i “200 ore”) con le Università.
Indice degli argomenti
Privacy e whistleblowing: il ruolo di studenti e genitori
Facendo riferimento in particolare ai rappresentanti che partecipano agli organi di governance degli Atenei (in quelli privati ove ciò sia previsto) e ampliando il discorso al trattamento dei dati personali, va riconosciuto loro – in quanto embedded a diverso titolo nella governance – anche un ruolo in materia di tutela dei dati personali: ad es. dovrebbero poter aver accesso al registro dei trattamenti (che, ricordiamolo, è la mappa per conoscere l’applicazione della privacy nelle organizzazioni) nonché ai riferimenti che il responsabile per la protezione dei dati (RPD/DPO) è tenuto a fare al titolare ai sensi dell’art 30 comma 3 Regolamento UE 679/2016 (GDPR).
Ma fosse anche solo per analogia, la questione travalica le Istituzioni Universitarie: la lettura che si propone qui è che anche per tutti gli altri cicli scolatici, almeno per i componenti dei Consigli di Circolo e di Istituto – attese le ampie competenze di tali organi collegiali (cfr. D.lgs. 297/1994) – siano da riconoscere analoghe facoltà in ambito privacy e whistleblowing, ai rappresentanti dei genitori e degli studenti (per questi ultimi è prevista la presenza in tali organi nella sola scuola superiore).
Va anche ricordato che per le segnalazioni whistleblowing, con riguardo alle scuole di ogni ordine e grado (e con eccezione quindi delle Università), secondo indicazioni dell’ANAC è prevista la canalizzazione delle segnalazioni presso gli Uffici scolastici regionali.
Individuare le responsabilità
Va da sé che, di norma, nel caso degli studenti delle scuole e in alcuni casi per quelli universitari più “precoci” che venissero eletti in tali organismi ma fossero minorenni, andrebbe tenuto presente l’art. 2048 del codice civile secondo cui, laddove dalla segnalazione whistleblowing effettuata da uno studente minorenne derivassero danni a terzi (i segnalati, in sostanza) cagionati da fatto illecito, la responsabilità ricadrebbe sui loro genitori e tutori (basti ricordare che lo stesso D.lgs. 24/2023 – cfr. art. 16.3 e 21.1 – menziona i casi di responsabilità penale e civile connesse a segnalazioni che si connotino per diffamazione e calunnia).
Ovviamente, ciò vale anche fuori del mondo della scuola, per i lavoratori, i volontari e i tirocinanti che non avessero ancora compiuto i 18 anni.
Quindi, nella loro veste individuale, studenti e genitori:
- non possono effettuare segnalazioni whistleblowing, ma
- possono esercitare il diritto alla privacy nella specifica veste di interessati al trattamento, la situazione cambia;
- laddove siano inseriti nella governance degli istituti scolastici e universitari ove rivestono un ruolo diverso e che occorre esercitare consapevolmente: nell’interesse dei singoli come dell’Istituto cui prestano il loro contributo.
Prime indicazioni generali possono essere reperite per l’Università nelle Linee guida sulla privacy (2017) del CODAU (Convegno dei Direttori Generali delle Università). Tale documento fornisce una prima disamina del GDPR e propone una “mappatura dei principali trattamenti che trovano svolgimento in ambito universitario”: 31 trattamenti descritti in maniera articolata di cui 11 afferenti agli studenti e 20 ad altri ambiti (dipendenti e collaboratori; attività trasversali; gestione federata di servizi).
Va precisato che quelle del CODAU sono Linee guida di settore, che non hanno il valore di soft law generale come quelle emanate dall’EDPB (organismo che riunisce i rappresentanti di ciascuna Autorità Garante nazionale UE) ma comunque danno indicazioni per perseguire un isomorfismo applicativo.
Per gli altri Istituti scolastici in esame, un indispensabile riferimento è costituito dal materiale messo a disposizione dal Garante per la privacy nella pagina dedicata alla scuola, ove fra l’altro è disponibile il vademecum “La scuola a prova di privacy” ed è presente una sezione di faq.
Gli interventi del Garante in materia scuola
Fermo restando che gli aspetti sopra toccati sono meritevoli di considerazione da parte delle Autorità di settore e degli Istituti interessati, ciò dovrebbe poi trovare esplicita indicazione nelle informative: in assenza di ciò si rischia – oltre a potenziale non compliance formale – di limitare l’apporto fattivo dei principali soggetti dell’ecosistema formativo – studenti e, quando previsto, loro famiglie – alla corretta gestione dei dati personali e al presidio della legittimità delle attività svolte.
A titolo esemplificativo, si citano alcuni dei provvedimenti del Garante afferenti a dati personali degli studenti, che possono aiutare a evitare prassi o scelte improprie:
- n. 140/2020, inerente alla pubblicazione di una graduatoria contente fra l’altro “dati relativi alla dispersione, alle insufficienze, all’ISEE, alla disabilità ecc.”;
- n. 316/2021, inerente al trattamento di dati anche particolari (biometrici) per il riconoscimento degli studenti (con tale provvedimento è stata comminata una delle più alte sanzioni per l’ambito in esame, pari a 200.000 euro, cfr. da ultimo sentenza n. 12967 / 2024 della Corte di cassazione);
- n. 421/2022, inerente alla pubblicazione dell’elenco per classi con alcune informazioni personali particolari per taluni studenti e il mancato riscontro all’esercizio dei diritti degli interessati previsti dal GDPR;
- n. 393/2023, inerente al ripetuto inoltro di messaggi promozionali anche dopo l’opposizione degli interessati;
- n. 403/2024, inerente alla comunicazione dello stato di positività di un minore al Covid-19 a compagni di classe e genitori, da parte di una docente.
Conclusioni
Alla luce di quanto sopra, sia che si faccia riferimento al ruolo di interessati sia a quello di attori della privacy nelle scuole e nelle Università, un’educazione alla privacy e al whistleblowing è importante e andrebbero previsti interventi ad hoc: da giornate informative nei singoli Istituti a sessioni formative ad hoc.
Ciò anche considerando che, per il primo e secondo ciclo di istruzione, la legge 92/2019 sull’insegnamento dell’educazione civica tratta all’art. 5 l’educazione alla cittadinanza digitale anche per aspetti che afferiscono ai dati personali.
Un rafforzamento delle competenze degli studenti e delle rappresentanze degli studenti e dei genitori in tema di trattamento dei dati personali, oltre che rappresentare una crescita dell’etica civica, potrebbe contribuire a far emergere questioni dubbie da sottoporre al RPD e/o discutere negli organi di vertice delle scuole e delle Università prima che queste diano origine a lesioni alla privacy nell’interesse di tutte le parti in causa.
Analoghe considerazioni valgono per l’attenzione che potrebbe essere posta nel presidio della legalità.
Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono ad alcun titolo l’Istituto pubblico ove presta servizio.
