[doc. web n. 9953443]

Parere al Ministero dell’istruzione e del merito sullo schema di decreto del Ministro dell’istruzione e del merito concernente “la disciplina sul trattamento dei dati personali effettuato dal Ministero dell’Istruzione e del Merito e dalle Istituzioni Scolastiche ed Educative Statali nell’ambito della Piattaforma famiglie e studenti” - 10 ottobre 2023

Registro dei provvedimenti
n. 468 del 10 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, “Codice”);

RITENUTO di adottare il presente parere, in via d’urgenza, in ragione della rappresentata esigenza di realizzare la Piattaforma – di seguito descritta – per consentire l’avvio dei trattamenti di dati personali a partire dal mese di ottobre, in concomitanza con l’inizio dell’anno scolastico 2023/2024, e tenuto conto che tali tempistiche non permettono, allo stato, la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrano i presupposti per l'applicazione dell'art. 5, comma 8, del regolamento n. 1/2000 sull’organizzazione e il funzionamento dell'Ufficio del Garante, il quale prevede che “nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il Presidente può adottare i provvedimenti di competenza dell'organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno”;

VISTA la documentazione in atti;

PREMESSO

Con le note inviate il 10 agosto 2023 e, a seguito delle interlocuzioni intrattenute con l’Ufficio del Garante, da ultimo in data 29 settembre 2023, il Ministero dell’istruzione e del merito (di seguito “Ministero”) ha sottoposto al parere del Garante, ai sensi dell’art. 21, comma 4-quinquies, del decreto legge 22 giugno 2023, n. 75 (convertito, con modificazioni, dalla legge 10 agosto 2023, n. 112), lo schema di decreto, corredato di un allegato tecnico e delle valutazioni d’impatto sulla protezione dei dati, concernente “la disciplina sul trattamento dei dati personali effettuato dal Ministero dell’Istruzione e del Merito e dalle Istituzioni Scolastiche ed Educative Statali nell’ambito della Piattaforma famiglie e studenti”, sottolineando l’urgenza di attivare la predetta piattaforma nell’ambito dell’avvio dell’anno scolastico 2023/2024.

1. Il quadro normativo

L’art. 21 del d.l. 75/2023 prevede, per quanto qui di interesse, che:

il Ministero promuova la progettazione, lo sviluppo e la realizzazione della Piattaforma “Famiglie e studenti” (di seguito, “Piattaforma”), “come canale unico di accesso al patrimonio informativo detenuto dal Ministero medesimo e dalle istituzioni scolastiche ed educative statali”, la quale “è costituita da un'infrastruttura tecnica che rende possibile l'interoperabilità dei sistemi informativi esistenti e funzionali alle attività del predetto Ministero, al fine di semplificare l'accesso ad essi e il loro utilizzo”. Il Ministero e le istituzioni scolastiche ed educative statali “utilizzano i dati presenti nella piattaforma limitatamente ai trattamenti strettamente connessi agli scopi di quest'ultima e per il perseguimento delle rispettive finalità istituzionali”, e l’accesso alla piattaforma è consentito con le modalità di cui all’art. 64, comma 2-quater, del decreto legislativo 7 marzo 2005, n. 82 (comma 4-ter);

“nell’ambito dei servizi digitali a sostegno del diritto allo studio, al fine di semplificare l'erogazione delle prestazioni a favore delle famiglie e degli studenti, di ottimizzare le attività del Ministero […] e delle istituzioni scolastiche ed educative statali e di alimentare la piattaforma di cui al comma 4-ter, il Ministero […] è autorizzato ad acquisire dall'Istituto nazionale della previdenza sociale i dati, in forma aggregata e privi degli elementi identificativi, suddivisi per fasce, relativi all'indicatore della situazione economica equivalente (ISEE) delle famiglie di cui fanno parte studenti iscritti presso le istituzioni suddette, al fine di ripartire le risorse tra queste ultime, privilegiando quelle con un maggiore numero di studenti appartenenti a famiglie bisognose”; a questo proposito, il Ministero trasmette all'INPS “i dati necessari a individuare gli studenti delle istituzioni scolastiche ed educative statali”. Inoltre, “le istituzioni scolastiche ed educative statali, in qualità di enti erogatori, per il tramite della piattaforma […], effettuano altresì i controlli sul sistema informativo dell'ISEE […], relativi alla veridicità delle dichiarazioni sostitutive concernenti i dati dell'ISEE delle famiglie che abbiano richiesto il riconoscimento del contributo”, ai sensi dell'art. 71 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 (comma 4-quater);

il Ministero, sentito il Garante, adotti uno o più decreti, di natura non regolamentare, con i quali definisca “i servizi digitali compresi nella piattaforma […], gli standard tecnologici e i criteri di sicurezza, di accessibilità, di disponibilità e di interoperabilità, i limiti e le condizioni di accesso volti ad assicurare il corretto, lecito e trasparente trattamento dei dati, le garanzie per i diritti e le libertà degli interessati, i tempi di conservazione dei  dati e le misure di sicurezza” (comma 4-quinquies).

2. Lo schema di decreto in esame

Lo schema stabilisce che la Piattaforma rappresenta “un canale unico di accesso al patrimonio informativo detenuto dal Ministero […] e dalle Istituzioni Scolastiche, interoperabile con i relativi sistemi informativi”, “interconnessa con l’ANS di cui al Decreto Legislativo del 15 aprile 2005, n. 76, e al Decreto Ministeriale del 25 settembre 2017, n. 692, nonché, allorquando diventerà operativa, con l’ANIST, istituita dall'articolo 62-quater del CAD“. Secondo quanto rappresentato, la Piattaforma mette a disposizione appositi servizi digitali “al fine di garantire il sostegno del diritto allo studio e un effettivo supporto a studenti e studentesse nel percorso di crescita e nello sviluppo delle competenze, nonché di semplificare l’erogazione delle prestazioni a favore di famiglie e studenti e di ottimizzare il lavoro del Ministero e delle Istituzioni” (art. 3).

Tale Piattaforma è costituita da un’area pubblica e una privata, quest’ultima accessibile, previa procedura di identificazione e autenticazione informatica, alle seguenti categorie di utenti (art. 4): “(i) studente di età superiore a dieci anni, frequentante la scuola secondaria di primo e di secondo grado; (ii) genitore/esercente la responsabilità genitoriale; (iii) docente; (iv) docente tutor; (v) dirigente scolastico/coordinatore; (vi) personale amministrativo di segreteria scolastica; (vii) personale amministrativo della Direzione competente per materia del Ministero dell’Istruzione e del Merito”.

Tramite la Piattaforma vengono messi a disposizione i seguenti servizi digitali (art. 5) – oltre a quelli ulteriori con i quali sarà implementata “anche mediante interoperabilità con i sistemi informativi già esistenti”, che verranno disciplinati con appositi decreti ministeriali di natura non regolamentare, “sentito il Garante per la protezione dei dati personali”:

- “E-Portfolio”, un servizio “facoltativo che consente di visualizzare i Dati e le informazioni relative al percorso di istruzione di studenti e studentesse, al fine di accompagnare e supportare i medesimi, in chiave orientativa, nelle scelte formative e professionali”;

- “Docente Tutor”, un servizio “facoltativo volto ad agevolare lo svolgimento dei compiti assegnati al docente che ricopre il ruolo di Docente Tutor, al fine di supportare studenti e studentesse nel percorso di studi e nella compilazione dell’E-Portfolio”, che consente, “tra l’altro, di calendarizzare i colloqui tra il Docente Tutor e gli Utenti studente e genitore. All’interno della Sezione «Calendario» del Servizio Docente Tutor, gli Utenti docente tutor, studente e genitore saranno gli unici ad avere accesso alle informazioni relative alla pianificazione dei colloqui tra i medesimi”;

- “Gite Scolastiche”, un servizio “facoltativo volto a consentire la più ampia partecipazione di studenti e studentesse a viaggi d’istruzione e visite didattiche, mediante il riconoscimento di contributi economici o altre tipologie di benefici in favore delle famiglie maggiormente bisognose. In particolare, il suddetto Servizio, previa ripartizione delle risorse fra le Istituzioni Scolastiche, consente la presentazione delle domande, da parte delle famiglie, per l’ottenimento del contributo di partecipazione a viaggi d’istruzione e visite didattiche da parte di studenti e studentesse”.

L’art. 6, in relazione ai soggetti coinvolti nel trattamento, prevede che:

- il Ministero e le istituzioni scolastiche trattino i dati presenti sulla Piattaforma “limitatamente ai trattamenti strettamente connessi agli scopi di quest’ultima e per il perseguimento delle rispettive finalità istituzionali” (comma 1);

- nello specifico, il Ministero assume la veste di titolare del trattamento per il perseguimento delle finalità di (commi 2-5):

“a) gestione e manutenzione tecnica della Piattaforma;

b) gestione degli accessi alla Piattaforma;

c) erogazione del servizio di assistenza tecnica […];
d) ripartizione dei contributi economici fra le Istituzioni Scolastiche nell’ambito del Servizio

Digitale Gite Scolastiche. A tal fine, il Ministero trasmette all’Istituto Nazionale della Previdenza Sociale (INPS), per ogni Istituzione Scolastica, l’elenco dei codici fiscali degli studenti frequentanti, previa cifratura dei codici meccanografici delle relative Istituzioni associate. L’INPS, a sua volta, trasmette al Ministero dati aggregati […];

e) monitoraggio e governo generale della Piattaforma, anche al fine di verificare l’efficacia dei Servizi messi a disposizione di famiglie e studenti;

f) supporto alle proprie decisioni nel settore dell’istruzione scolastica, promozione dell’accelerazione del processo di digitalizzazione delle Istituzioni Scolastiche, nonché miglioramento della qualità dei Servizi erogati nel sistema istruzione”.
Nell’ambito delle finalità di cui alle lett. a), b), c) e d), il Ministero tratta dati personali dei singoli utenti “solo ove strettamente necessario, nel rispetto del principio di minimizzazione di cui all’articolo 5 del GDPR”; nell’ambito delle finalità di cui alle lett. e) e f), il Ministero “visualizza esclusivamente dati aggregati […], organizzati in report e aventi ad oggetto esclusivamente metriche e indicatori relativi a profili tecnici e organizzativi connessi all’utilizzo della Piattaforma”. Ove strettamente necessario, il Ministero, “nei casi previsti dalla legge, è inoltre autorizzato ad accedere ai Dati Personali trattati nell'ambito della Piattaforma, al fine di: (i) soddisfare richieste ricevute dalle competenti Autorità giudiziarie e forze di polizia; (ii) effettuare segnalazioni nei confronti delle competenti Autorità”;

- le istituzioni scolastiche assumono la veste di titolari dei trattamenti “realizzati ai fini dell’erogazione dei singoli Servizi Digitali E-Portfolio, Docente Tutor e Gite Scolastiche, ciascuna rispetto alla propria utenza di riferimento”. In tale ambito, il Ministero “agisce quale Responsabile del Trattamento, ai sensi dell’articolo 28 del GDPR, nell’attività di gestione dell’infrastruttura attraverso la quale le Istituzioni Scolastiche erogano i Servizi medesimi” (comma 6);

- infine, SOGEI S.p.A., “in quanto affidataria dei servizi infrastrutturali, di gestione e sviluppo applicativo del sistema informativo del Ministero”, agisce, in particolare, “ai sensi dell’articolo 28 del GDPR, quale […] Responsabile del Trattamento rispetto alle finalità di cui al comma 2” (comma 7);

- l’accesso ai dati personali è consentito ai soggetti autorizzati e appositamente istruiti da titolari e responsabili del trattamento, ciascuno limitatamente alle proprie attribuzioni (comma 8).

La Piattaforma e i relativi servizi digitali sono alimentati attraverso, da una parte, l’“interconnessione con sistemi informativi afferenti al mondo dell’istruzione”, e, dall’altra, il “caricamento di Dati ulteriori da parte degli Utenti” (art. 7). La Piattaforma, quindi, consente agli utenti, da una parte, di visualizzare i dati contenuti nelle banche dati già utilizzate dal Ministero, senza acquisirli e duplicarli, e, dall’altra, di conferire, se del caso, le informazioni di volta in volta previste nell’ambito dei servizi utilizzati.

Nel disciplinare le misure a garanzia dei diritti e delle libertà degli interessati, lo schema, tra le altre cose (art.  8), prevede che il Ministero implementi garanzie e misure di sicurezza appropriate e specifiche, tenendo conto in special modo dei rischi presentati dal trattamento; tali misure saranno periodicamente aggiornate e verificate anche a fronte dello stato dell’arte tecnologico. Inoltre, posto che la Piattaforma, con riferimento ai singoli servizi, “acquisisce i Dati di volta in volta indispensabili alla fruizione”, viene specificato che nel suo ambito “sono trattati i soli Dati comuni degli Utenti e non è richiesto il conferimento di Dati riconducibili alle categorie particolari di cui agli articoli 9 e 10 del GDPR. L'eventuale conferimento di tali Dati, da parte degli Utenti, può avvenire esclusivamente su base volontaria, all'interno dei campi di testo a compilazione libera specificamente indicati nell'Allegato Tecnico”, e che i titolari del trattamento “forniscono informative agli interessati, in conformità agli articoli 13 e 14 del GDPR, circa il Trattamento dei Dati Personali effettuato nell’ambito della Piattaforma e dei singoli Servizi Digitali” (art. 9).

È inoltre previsto che i dati personali caricati direttamente dagli Utenti siano conservati “per il periodo di tempo strettamente necessario a perseguire gli scopi per i quali sono stati raccolti e trattati, […] secondo le tempistiche e le modalità indicate all’interno dell’Allegato” (art. 10).
Infine, l’art. 11 dello schema, dopo aver precisato che non tutti i servizi ivi disciplinati saranno operativi fin da subito in tutte le loro sezioni, stabilisce che “con appositi decreti ministeriali di natura non regolamentare, il MIM, sentito il Garante per la protezione dei dati personali, provvederà […] a integrare e implementare nella Piattaforma: (i) i Servizi Digitali già erogati dal Ministero e dalle Istituzioni Scolastiche con applicativi diversi dalla Piattaforma medesima; (ii) i Servizi Digitali di nuova introduzione. Con appositi decreti direttoriali potranno essere: (i) apportate modifiche e integrazioni al presente Decreto che non incidano sugli aspetti essenziali del trattamento dei Dati Personali ivi disciplinati; (ii) adottati, in attuazione del presente Decreto, atti amministrativi o accordi che non comportino trattamenti di Dati Personali ulteriori rispetto a quelli già stabiliti dal Decreto medesimo”.

Lo schema di decreto è corredato da un allegato tecnico che descrive, in relazione ai singoli servizi digitali erogati dalla Piattaforma (allo stato, “E-Portfolio”, “Docente Tutor” e “Gite Scolastiche”): le tipologie di dati trattati, anche con riferimento alle sezioni di cui sono composti; le fonti di provenienza di tali dati e i relativi flussi; gli utenti autorizzati ad accedere alla Piattaforma per ciascuna tipologia di dati indicati; le modalità di gestione; i tempi di conservazione, nella Piattaforma, dei dati caricati dagli utenti, posto che quelli presenti in banche dati preesistenti e interconnessi con la Piattaforma non sono oggetto di conservazione nell’ambito della medesima. Inoltre, vengono descritti i trattamenti effettuati dal Ministero per finalità di assistenza tecnica, nonché le tecniche utilizzate per l’aggregazione dei dati personali, ai fini del loro utilizzo per gli scopi stabiliti dallo schema di decreto. L’allegato prevede, infine, misure di sicurezza tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

In particolare, il servizio Gite Scolastiche, è finalizzato a:

- “I. consentire al MIM di procedere alla (i) individuazione delle Istituzioni Scolastiche beneficiarie dei contributi destinati al finanziamento di viaggi d’istruzione e visite didattiche, (ii) nonché alla ripartizione dei contributi economici tra le Istituzioni stesse”. A tal fine, mediante protocollo S-FTP e con cadenza annuale, il Ministero trasmette all’INPS, con riferimento a ogni istituzione scolastica e “previa crittografia dei codici meccanografici”, l’elenco dei codici fiscali degli alunni frequentanti le stesse; ricevuto tale elenco, l’INPS, quindi, trasmette al Ministero i risultati aggregati sulla base del codice meccanografico crittografato e delle fasce ISEE prestabilite dal Ministero;

- “II. permettere alle Istituzioni Scolastiche, assegnatarie delle risorse di cui al precedente punto, di gestire le richieste di erogazione del contributo presentate dagli Interessati e di procedere all’assegnazione”. Ciò attraverso la richiesta del contributo, mediante la Piattaforma, da parte degli Utenti genitori/esercenti la responsabilità genitoriale, che consente di acquisire dall’INPS l’esito positivo o negativo della richiesta medesima in base alla fascia ISEE prevista dal Ministero per accedervi.

OSSERVA

3. Considerazioni generali

Occorre preliminarmente evidenziare che, in base a quanto stabilito dalla normativa primaria, la Piattaforma rappresenta, in particolare, un canale attraverso cui consentire agli studenti e alle relative famiglie, in forma semplificata e tramite un unico punto d’ingresso, di consultare e fornire i propri dati personali in relazione ai servizi offerti in ambito scolastico, nonché ad altri soggetti che a vario titolo operano nel contesto dell’istruzione (in particolare, dirigenti scolastici, docenti, personale amministrativo) di accedere alle informazioni necessarie per lo svolgimento dei propri compiti istituzionali.

Tale Piattaforma presenta rischi elevati, in quanto comporta il trattamento di dati personali su larga scala (sia in termini di numerosità degli interessati che di estensione geografica), riferiti a interessati vulnerabili (in particolare studenti prevalentemente minori, ma anche lavoratori nel contesto scolastico), anche potenzialmente appartenenti a categorie particolari di dati personali.

Ciò rende, pertanto, necessaria l’adozione di adeguate misure a garanzia degli interessati, da individuarsi a valle della valutazione d’impatto ai sensi dell’art. 35 del Regolamento – che il Ministero ha trasmesso all’Autorità nell’ambito della richiesta di parere in esame.

4. Le garanzie contenute nello schema in esame

Occorre preliminarmente rilevare che l’ultima versione dello schema di decreto e del relativo allegato tecnico, su cui si esprime il presente parere, tiene conto delle indicazioni fornite dall’Ufficio del Garante ai rappresentanti del Ministero nel corso di confronti informali.

In particolare, al fine di rendere i trattamenti conformi alla disciplina in materia di protezione dei dati personali, in ossequio al principio di privacy by design e by default (art. 25 del Regolamento), le specifiche indicazioni fornite dall’Ufficio dell’Autorità nel corso dell’attività istruttoria hanno riguardato:

- i sistemi informativi interoperabili con la Piattaforma e i dati trattati nell’ambito dei servizi digitali, distinguendo tra quelli visualizzabili presso archivi preesistenti e quelli conferiti direttamente dagli utenti, nel rispetto dei principi di liceità, correttezza e trasparenza, minimizzazione dei dati ed esattezza (art. 5, par. 1, lett. a), c) e d), del Regolamento) evitando la duplicazione di banche dati;

- l’individuazione dei soggetti coinvolti e dei ruoli assunti da ciascuno in relazione ai trattamenti di dati personali effettuati e alle finalità istituzionali perseguite, con particolare riferimento al Ministero dell’istruzione e del merito, alle istituzioni scolastiche, all’INPS e a SOGEI S.p.A., nel rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità, nonché delle responsabilità prefigurate dal Regolamento (art. 4, nn. 7) e 8), art. 5, par. 1, lett. a) e b), e artt. 24 e 28 del Regolamento);

- le modalità attraverso le quali il Ministero effettua l’aggregazione dei dati personali, in modo da ridurre il rischio di re-identificazione degli interessati, per proprie finalità di monitoraggio e governo generale della Piattaforma, nonché di supporto alle decisioni nel settore dell’istruzione scolastica, promozione dell’accelerazione del processo di digitalizzazione delle istituzioni scolastiche e miglioramento della qualità dei servizi erogati nel sistema istruzione, nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità e minimizzazione dei dati (art. 5, par. 1, lett. a), b) e c), del Regolamento);

- con specifico riferimento al servizio digitale Docente Tutor, la facoltatività del conferimento di informazioni da parte degli utenti e la limitazione delle finalità in base alle quali è consentito l’accesso a tale servizio, nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità e minimizzazione dei dati (art. 5, par. 1, lett. a), b) e c), del Regolamento);

- con specifico riferimento al servizio digitale Gite Scolastiche, la descrizione dei trattamenti previsti e, in relazione a ciascuno di questi, l’individuazione di ruoli, delle tipologie di dati personali trattati e delle operazioni eseguite e la specificazione dei relativi obblighi informativi, in base alle finalità perseguite, nonché l’aggregazione delle informazioni oggetto di scambio tra Ministero e INPS (cifratura del codice meccanografico riferito alle istituzioni scolastiche e fasce ISEE), nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati ed esattezza (art. 5, par. 1, lett. a), b) c) e d), del Regolamento);

- i tempi di conservazione delle diverse tipologie di dati personali trattati nell’ambito della Piattaforma nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento);

- l’individuazione di misure tecniche e organizzative da adottare al fine di assicurare il rispetto dei principi di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione dei dati e di integrità e riservatezza, nonché degli obblighi di sicurezza (artt. 5, par. 1, lett. a), b), c) e f), 29 e 32 del Regolamento), quali quelle concernenti le procedure di autenticazione informatica, le categorie di persone autorizzate ad accedere alla Piattaforma per lo svolgimento delle finalità istituzionali perseguite dall’ente di appartenenza, le modalità di scambio dati con l’INPS, l’utilizzo presso la Piattaforma di uno specifico sistema per la conservazione dei documenti conferiti dagli utenti, la messa a disposizione di un’apposita app quale canale alternativo al portale per l’accesso alla Piattaforma, il ricorso a procedure di backup.

5. Il trattamento delle tipologie di dati personali di cui agli artt. 9 e 10 del Regolamento

L’art. 9, comma 3, dello schema di decreto prevede che nell’ambito della Piattaforma e dei relativi servizi digitali sono trattati i soli dati comuni degli Utenti “e non è richiesto il conferimento di Dati riconducibili alle categorie particolari di cui agli articoli 9 e 10 del GDPR”, e che “L'eventuale conferimento di tali Dati, da parte degli Utenti, può avvenire esclusivamente su base volontaria, all'interno dei campi di testo a compilazione libera specificamente indicati nell'Allegato Tecnico”.

In generale, si rileva infatti che, nell’ambito dei dati personali conferiti direttamente dagli utenti nella Piattaforma, possono rientrare anche quelli appartenenti alle categorie di cui agli artt. 9 e 10. Ciò emerge anche dalla valutazione d’impatto sulla protezione dei dati relativa alla Piattaforma, ove viene rappresentato che, nell’ambito dell’assistenza tecnica, potrebbero essere oggetto di trattamento “dati appartenenti a categorie particolari di cui agli articoli 9 e 10 del GDPR (ad esempio, Dati inerenti alle opinioni politiche o alle convinzioni religiose, i Dati relativi allo stato di salute) qualora inseriti volontariamente da studenti e genitori/esercenti la responsabilità genitoriale all’interno dei campi di testo liberamente compilabili dagli stessi”.

Pertanto, si ritiene necessario che lo schema in esame sia integrato con l’indicazione dei tipi di dati che possono essere trattati, delle operazioni eseguibili e delle misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato, come stabilito dall’art. 2-sexies del Codice, da individuarsi sulla base di un’adeguata valutazione dei rischi elevati che presenta il trattamento (art. 35 del Regolamento).

RITENUTO

Il presente parere viene reso, in via d’urgenza, e nei termini indicati nell’art. 9, comma 3, del decreto legge 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205,  considerato che, come riportato nelle premesse dello schema di decreto, l’intervento regolatorio in questione si colloca nel percorso di attuazione di politiche rientranti nell’ambito del Piano nazionale di ripresa e resilienza (PNRR), nonché tenuto conto dell’urgenza rappresentata dal Ministero in ragione dell’avvio dell’anno scolastico.

Ciò posto, alla luce delle considerazioni che precedono, al fine di garantire il pieno rispetto dei diritti e delle libertà fondamentali delle persone nei trattamenti di dati personali che si andranno a effettuare nell’ambito della Piattaforma, stanti i rischi elevati che esso comporta in ragione della delicatezza delle informazioni trattate e della numerosità e vulnerabilità degli interessati nel contesto scolastico, si ritiene di poter esprimere parere favorevole sullo schema di decreto in esame, a condizione che esso sia integrato nei termini indicati dal par. 5 del presente provvedimento, come riportato nel dispositivo del presente parere.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, nonché dell’art. 21, comma 4-quinquies, del decreto legge 22 giugno 2023, n. 75, per le ragioni di cui in motivazione, esprime parere favorevole sullo schema di decreto del Ministro dell’istruzione e del merito concernente “la disciplina sul trattamento dei dati personali effettuato dal Ministero dell’Istruzione e del Merito e dalle Istituzioni Scolastiche ed Educative Statali nell’ambito della Piattaforma famiglie e studenti”, a condizione che esso sia integrato con l’indicazione dei tipi di dati che possono essere trattati, delle operazioni eseguibili e delle misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato, come stabilito dall’art. 2-sexies del Codice, da individuarsi sulla base di un’adeguata valutazione dei rischi elevati che presenta il trattamento (cfr. par. 5 del presente provvedimento).

In Roma, 10 ottobre 2023

IL PRESIDENTE
Stanzione