Ministero dell’Istruzione: circolare 706 del 20 marzo 2023

Il 20 marzo 2023, il Ministero dell’Istruzione e del Merito ha inviato a tutti gli uffici scolastici regionali la circolare 706 in merito al tema del trasferimento dati extra UE tramite servizi ICT (posta elettronica,  registro elettronico, piattaforme elettroniche utilizzate a supporto della formazione).

L’intento dichiarato è quello di fornire riscontro in merito alla legittimità o meno, relativamente a quanto previsto dal GDPR, dei trattamenti che possono essere effettuati all’interno di queste piattaforme e che non escludono il trasferimento di dati all’estero.

Proviamo a fornire un quadro che possiamo desumere dallo stato di fatto delle cose e da quanto indicato nel documento:

• La responsabilità sulle decisioni di adeguatezza restano in capo agli Istituti Scolastici che con il supporto del DPO e di figure ICT dovranno valutare le attività di trattamento svolte e dovranno definire come procedere;
• Se l’analisi svolta dovesse evidenziare l’esistenza di un trasferimento extra SEE, andrà valutato se questo risulta pertinente e necessario alle finalità didattiche ed educative. Qualora non lo fosse, lo strumento potrà comunque essere utilizzato, evitando il trasferimento stesso e/o facendo sì che questo avvenga solo per dati che risultano anonimi;
• Resta in capo alla scuola anche l’onere di verificare i contratti di aziende come Google e Microsoft per verificare le eventuali condizioni di legittimità al trasferimento, senza limitarsi alla semplice accettazione di eventuali clausole contrattuali (standard contrattual clausses). Anche in questo caso il supporto del DPO e delle figure IT interne risulterà fondamentale;
• In aggiunta, la scuola dovrà valutare la necessità di redigere una TIA – Transfer Impact Assessment per dimostrare di aver analizzato tutti i rischi connessi al trasferimento;
• Come ulteriori spunti è possibile ipotizzare alcune attività aggiuntive come l’aggiornamento del Registro trattamenti, la verifica e/o la redazione di una DPIA specifica, il rilascio di informative dedicate al tema, l’introduzione di ulteriori misure di sicurezza come la pseudonimizzazione, l’anonimizzazione dei dati e la cifratura degli stessi.

Per le scuole si profila quindi un quadro piuttosto complesso, considerando che l’Italia è l’unico paese che al momento ha rilasciato un’indicazione di questo tipo, contrariamente a quanto fatto per esempio da Francia e Germania che stanno remando nella direzione opposta, bandendo o limitando fortemente l’utilizzo delle APP e delle piattaforme on line prese in considerazione

È sempre più evidente che la soluzione deve essere trovata quanto prima a livello politico/giuridico, con un accordo di cui si è in attesa da tanto tempo e che potrebbe porre fine alle infinite incertezze e ai notevoli disagi derivanti dai dubbi sulla legittimità di effettuare un trasferimento extra UE. Nel frattempo, quello che si può fare è effettuare tutte quelle scelte che limitino il più possibile il rischio e che dimostrino, in caso di controlli, l’osservanza del principio di accountability e uno sforzo nella direzione della reale protezione dei dati.