Parere 2/2009 - WP 160

sulla protezione dei dati personali dei minori

(Principi generali e caso specifico delle scuole)

adottato l’11 febbraio 2009

 

I – Introduzione

1) – Contesto

Il presente parere riguarda la protezione delle informazioni sui minori ed è essenzialmente rivolto a quanti ne garantiscono i dati personali; nel contesto scolastico, gli insegnanti e le autorità scolastiche. È inoltre destinato alle autorità nazionali di controllo della protezione dei dati, cui compete monitorare il trattamento di quei dati.

Il presente documento si riconduce all’iniziativa generale della Commissione europea descritta nella comunicazione "Verso una strategia dell’Unione europea sui diritti dei minori" e, contribuendo a questo obiettivo generale, mira a rafforzare il diritto fondamentale dei minori alla protezione dei dati personali.

Il tema non è del tutto nuovo per il gruppo di lavoro articolo 29, che ha già adottato vari pareri sull’argomento. I pareri sul codice di condotta europeo della FEDMA (3/2003), sulla geolocalizzazione (5/2005) e sui visti e sui dati biometrici (3/2007) contengono principi o raccomandazioni al riguardo.

L’obiettivo del presente documento è affrontare la questione in maniera strutturata, definendo i principi fondamentali applicabili (parte II) e illustrandoli in riferimento alle scuole (parte III).

Si è scelto di trattare dei dati scolastici perché costituiscono uno dei settori più importanti della vita dei minori e una porzione significativa delle loro attività quotidiane.

Il settore è poi particolarmente rilevante visto il carattere sensibile della maggior parte dei dati trattati nelle istituzioni scolastiche.

2) – Scopo e ambito di applicazione

Il presente documento intende analizzare i principi generali che guidano la protezione dei dati dei minori e spiegarne la pertinenza nello specifico settore critico dei dati scolastici.

Suo scopo è identificare le questioni importanti per la protezione dei dati dei minori in generale, e fornire orientamenti per coloro che operano nel settore.

Secondo i criteri definiti nei principali strumenti internazionali, per minore si intende la persona di età inferiore a diciotto anni, salvo che abbia raggiunto prima la maturità¹.

Il minore è un essere umano in senso assoluto. Per questo, deve godere degli stessi diritti di chiunque altro, incluso il diritto alla protezione dei dati personali. La sua situazione è però particolare e va considerata da due punti di vista, statico e dinamico.

Sotto il profilo statico, il minore è una persona che non ha ancora raggiunto la maturità fisica e psicologica. Sotto quello dinamico, è nella fase di sviluppo fisico e mentale che lo porterà a diventare adulto. I diritti del minore e il loro esercizio, compreso il diritto alla protezione dei dati, devono potersi esprimere in modo che tenga conto di entrambe le prospettive.

Il presente parere si basa sulla convinzione che l’istruzione e la responsabilità sono strumenti fondamentali per la protezione dei dati dei minori. Esso esamina i principi applicabili al settore, che per lo più riguardano i diritti dei minori e saranno pertanto esaminati nel contesto della protezione dei dati.

Tutti questi principi sono sanciti nei principali strumenti internazionali vigenti, alcuni dei quali trattano dei diritti umani in generale, ma contengono anche norme specifiche sui minori. I più importanti sono:

- la dichiarazione universale dei diritti dell'uomo del 10.12.1948 (articolo 25 e articolo 26, paragrafo 3);

- la convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali del 4.11.1950 (articolo 8);

- la carta dei diritti fondamentali dell'Unione europea del 7.12.2000 (articolo 24²).

Gli strumenti specificamente dedicati ai diritti dei minori sono:

- la dichiarazione di Ginevra sui diritti del fanciullo del 1923;

- la convenzione ONU sui diritti del fanciullo del 20.11.1989;

- la convenzione n. 160 del Consiglio d’Europa sull'esercizio dei diritti dei minori del 25.1.1996³;

- la risoluzione del Parlamento europeo “Verso una strategia dell'Unione europea sui diritti dei minori” del 16.1.2008.

Naturalmente occorre tenere sempre conto della prospettiva generale della protezione dei dati personali, consacrata dalle direttive sulla protezione dei dati (direttiva 95/46/CE del 24.10.95 e direttiva 2002/58/CE del 12.7.2002) e anche da altri strumenti⁴.

 

II – Principi fondamentali

A – Contesto generale

1) – Interesse superiore del minore

Il principio giuridico di base è quello dell’interesse superiore del minore⁵.

La ragion d'essere di questo principio è che una persona che non ha ancora raggiunto la maturità fisica e psicologica ha bisogno di più protezione delle altre e il suo scopo è migliorare le condizioni dei minori e rafforzarne il diritto allo sviluppo della personalità.

Sono tenuti a rispettare tale principio tutti gli organi pubblici e privati che prendono decisioni riguardanti i minori, nonché i genitori e gli altri rappresentanti legali dei minori, anche quando abbiano interessi in conflitto o il minore si faccia rappresentare.

Di norma, i rappresentanti del minore devono applicare questo principio, tuttavia se sorge un conflitto tra gli interessi del minore e quelli dei rappresentanti, la decisione spetta ai giudici o, se del caso, alle autorità per la protezione dei dati.

2) – Protezione e cure necessarie per il benessere del minore

Il principio dell’interesse superiore del minore richiede un'appropriata valutazione della posizione di quest'ultimo. Ciò implica il riconoscimento di due premesse: primo, che l'immaturità rende il minore vulnerabile e che quindi occorre compensare tale situazione con protezione e cure adeguate; secondo, che il minore può beneficiare effettivamente del diritto allo sviluppo solo grazie all'assistenza o alla protezione di organi o altre persone⁶.

L'obbligo di provvedere a tale protezione spetta alla famiglia, alla società e allo Stato.

È indubbio che a volte, per assicurare un livello adeguato di cure, sia necessario che i dati personali dei minori siano trattati in lungo e in largo e da più soggetti, soprattutto nei settori assistenziali (istruzione, sicurezza sociale, sanità, ecc.). Ciò non è tuttavia incompatibile con una protezione adeguata e rafforzata dei dati in tali settori, sebbene vada usata molta cautela nel condividere i dati dei minori. Tale condivisione in effetti può far perdere di vista il principio di finalità (limitazione della finalità) e comportare il rischio che vengano elaborati profili senza tener conto del principio di proporzionalità.

3) – Diritto al rispetto della vita privata

Il minore è una persona e in quanto tale ha diritto al rispetto della vita privata.

Ai sensi dell'articolo 16 della convenzione ONU sui diritti del fanciullo, nessun minore può essere oggetto di interferenze arbitrarie o illegali nella vita privata, nella famiglia, nel domicilio o nella corrispondenza, né di affronti illegali al suo onore e alla sua reputazione⁷.

Il diritto al rispetto della vita privata deve essere osservato da chiunque, compresi i rappresentanti del minore.

4) – Rappresentanza

Per poter esercitare molti dei suoi diritti, il minore deve essere rappresentato. Ciò non significa tuttavia che il rappresentante goda di uno status di priorità assoluta e incondizionata rispetto al minore – talvolta infatti l'interesse superiore del minore può conferirgli diritti alla protezione dei dati che possono prevalere sulle volontà di genitori o altri rappresentanti. L'obbligo di rappresentanza non esclude poi che a partire da una certa età il minore debba essere consultato sulle questioni che lo riguardano.

Se il rappresentante autorizza il trattamento dei dati di un minore, questi, una volta raggiunta la maggiore età, può revocare il consenso. Se invece vuole che il trattamento continui, deve dare il proprio consenso esplicito ove richiesto.

Ad esempio, se il rappresentante ha acconsentito esplicitamente a che il minore (l'interessato) partecipi a una sperimentazione clinica, una volta che il minore ha acquisito la capacità di agire, il responsabile del trattamento deve assicurarsi che sussista una valida base per trattare i dati personali dell'interessato. In particolare, affinché la sperimentazione possa continuare, deve ottenere il consenso esplicito dell'interessato.

A questo proposito va ricordato che il diritto alla protezione dei dati appartiene al minore e non al rappresentante, che si limita a esercitarlo.

5) – Interessi concorrenti: vita privata e interesse superiore del minore

Il principio dell’interesse superiore può svolgere un duplice ruolo. In primo luogo, garantisce che la vita privata del minore sia protetta al meglio, rendendo effettivo, per quanto possibile, il diritto alla protezione dei dati del minore. Si possono tuttavia verificare situazioni in cui tale principio risulta incompatibile con il diritto al rispetto della vita privata del minore. In tali casi, il diritto alla protezione dei dati può soccombere dinanzi al principio dell'interesse superiore.

Ciò vale soprattutto per i dati medici, quando, ad esempio, i servizi di assistenza devono ottenere informazioni nei casi di abuso o abbandono di minori. Analogamente, gli insegnanti possono comunicare i dati personali di un minore agli assistenti sociali per tutelarlo fisicamente o psicologicamente.

In casi estremi, il principio dell’interesse superiore del minore può essere in conflitto con il requisito del consenso dei rappresentanti del minore. Anche in queste situazioni prevale l'interesse superiore del minore – ad esempio se ne è in gioco l'integrità mentale o fisica.

6) – Adeguamento al grado di maturità del minore

Poiché il minore è una persona in pieno sviluppo, l'esercizio dei diritti – compreso quello alla protezione dei dati – deve essere adeguato al suo livello di sviluppo fisico e psicologico. Il minore, per giunta, ha diritto allo sviluppo⁸. Il modo in cui gli ordinamenti giuridici affrontano la questione varia da uno Stato all'altro, ma in qualunque società il minore deve essere trattato secondo il suo grado di maturità⁹.

Per quanto riguarda il consenso, le soluzioni vanno dalla mera consultazione del minore al consenso parallelo del minore e del rappresentante, fino al consenso esclusivo del minore già maturo.

7) – Diritto alla partecipazione

I minori a poco a poco acquisiscono la capacità di contribuire alle decisioni che li riguardano. Man mano che crescono devono partecipare più regolarmente all'esercizio dei loro diritti, incluso quello alla protezione dei dati¹⁰.

Il primo grado del diritto alla partecipazione è il diritto ad essere consultati.

L'obbligo di consultazione impone di tenere conto del parere del minore, senza tuttavia esserne necessariamente vincolati¹¹.

Quando però il minore diventa sufficientemente capace, la sua partecipazione può aumentare e portare a decisioni congiunte o autonome.

Il diritto alla partecipazione può applicarsi in vari settori: geolocalizzazione, uso delle immagini dei minori, ecc.

B – Dal punto di vista della protezione dei dati

1) – Campo di applicazione del quadro normativo vigente in materia di protezione dei dati

Le direttive sulla protezione dei dati, ossia la 95/46/CE e la 2002/58/CE, non prevedono esplicitamente il diritto al rispetto della vita privata dei minori. Esse si applicano a tutte le persone fisiche, ma non contengono disposizioni specifiche per questioni peculiari riguardanti i minori. Ciò non significa però che i minori non godano del diritto al rispetto della vita privata ed esulino dal campo di applicazione delle due direttive, le quali, per l'appunto, come risulta dai rispettivi testi, si applicano a qualsiasi "persona fisica", quindi anche ai minori.

Dato il limitato campo di applicazione personale e materiale delle direttive, restano in sospeso svariate questioni sulla tutela della vita privata dei minori nell'attuale quadro normativo, in quanto la maggior parte delle disposizioni non tiene direttamente conto delle peculiarità della vita dei minori. I problemi sorgono in relazione al grado di maturità individuale del minore e al requisito della rappresentanza per gli atti giuridici.

La necessità di proteggere i dati dei minori deve tenere conto di due importanti aspetti: primo, i diversi gradi di maturità che determinano quando il minore può cominciare a gestire i propri dati; secondo, la misura in cui i rappresentanti hanno diritto di rappresentare il minore quando la comunicazione dei dati personali rischia di pregiudicarne l'interesse superiore. Di seguito si esaminerà come applicare al meglio le norme del quadro normativo vigente per garantire una tutela adeguata ed efficace della vita privata dei minori.

2) – Principi della direttiva 95/46/CE

a) Qualità dei dati

I principi generali sulla qualità dei dati enunciati nella direttiva 95/46/CE devono essere opportunamente adattati ai minori, il che comporta le seguenti conseguenze.

a.1) Lealtà

Quando i dati personali si riferiscono a un minore, l'obbligo di trattarli conformemente al principio di lealtà (articolo 6, paragrafo 1, lettera a)) va interpretato rigorosamente. Il responsabile del trattamento deve essere consapevole del fatto che il minore non è ancora una persona del tutto matura, e deve agire con la massima buona fede quando ne tratta i dati.

a.2) Proporzionalità e pertinenza dei dati

Il principio di cui all'articolo 6, paragrafo 1, lettera c), della direttiva 95/46/CE stabilisce che possono essere rilevati e trattati solo i dati adeguati, pertinenti e non eccedenti rispetto alle finalità.

Nell'applicare tale principio i responsabili del trattamento devono prestare particolare attenzione alla situazione del minore, di cui devono rispettare sempre l'interesse superiore.

Ai sensi dell'articolo 6, paragrafo 1, lettera d), della direttiva 95/46/CE, i dati devono essere "esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati".

Considerato che il minore è in costante sviluppo, i responsabili del trattamento devono rispettare scrupolosamente l'obbligo di mantenere aggiornati i dati personali del minore.

a.3) Conservazione dei dati

A questo riguardo occorre tenere conto del "diritto all'oblio" che tutela tutte le persone interessate dai dati, soprattutto i minori. L'articolo 6, paragrafo 1, lettera e), della direttiva va applicato di conseguenza.

Poiché i minori sono in fase di sviluppo, i loro dati cambiano e possono diventare rapidamente obsoleti e irrilevanti rispetto alle finalità iniziali della raccolta. In tal caso non devono più essere conservati.

b) Legittimità

La direttiva 95/46/CE sancisce i principi fondamentali in materia di protezione dei dati che gli Stati membri devono rispettare e attuare. Per quanto riguarda il diritto al rispetto della vita privata dei minori, rivestono particolare importanza gli articoli 7 e 8 che enunciano i criteri di legittimità del trattamento dei dati.

Innanzitutto, il trattamento può essere autorizzato se l'interessato ha manifestato il proprio consenso univoco. Il significato del termine "consenso" è chiarito nell'articolo 2, lettera h), della direttiva.

In altre parole, il consenso deve essere informato e libero. Tuttavia non è sempre obbligatorio. Il trattamento è infatti legittimo anche quando ricorrono altri requisiti ai sensi dell'articolo 7, lettere da b) a f); ad esempio il trattamento può essere autorizzato alla firma di un contratto.

Qualora i rappresentanti violino la privacy del minore vendendo o pubblicando i suoi dati, sorge il problema di come tutelare il diritto al rispetto della vita privata del minore che non sia consapevole della violazione. Il minore necessita di un tutore, ma in casi come questo non può esercitare il suo diritto. Se è sufficientemente maturo per rendersi conto della violazione deve essergli data la possibilità di essere ascoltato dalle autorità competenti, comprese le autorità per la protezione dei dati.

Tra le altre condizioni che rendono legittimo il trattamento dei dati a norma dell'articolo 7 della direttiva, vanno rispettati anche i principi dell'interesse superiore del minore e della rappresentanza. A una certa età, ad esempio, il minore è giuridicamente capace di assumere obblighi contrattuali, ad esempio in materia di lavoro. Tuttavia, tali contratti sono validi solo se a dare il consenso – ove obbligatorio per legge – sono i rappresentanti. Prima di concludere il contratto, o durante la sua esecuzione, l'altra parte può essere interessata a raccogliere dati sul minore in quanto prestatore di lavoro.

I rappresentanti facilitano il trattamento dei dati dando il loro consenso. I genitori o i tutori devono decidere in base all'interesse superiore del minore. Tenendo conto del modo in cui la comunicazione dei dati rischia di violare la privacy o contravvenire agli interessi vitali del minore, ad esempio non comunicando dati sanitari. Esistono altri settori in cui perfino i minori sono autorizzati a decidere indipendentemente dai loro rappresentanti.

Per quanto attiene alla condizione di cui all'articolo 7, lettera e), va osservato che il principio dell'interesse superiore del minore può qualificarsi anche come interesse pubblico. È il caso, ad esempio, dei servizi di assistenza per minori che devono accedere ai dati personali del minore per potersene occupare. Le disposizioni della direttiva possono pertanto applicarsi direttamente a tali circostanze.

Si pone tuttavia il problema di stabilire se i minori che in alcuni casi possono concludere atti giuridici senza il consenso dei loro rappresentanti (se godono di diritti parziali) possano anche acconsentire validamente al trattamento dei loro dati.

In base alla normativa locale vigente, al minore è riconosciuta tale facoltà in caso di matrimonio, lavoro subordinato, questioni religiose, ecc. In altri casi la validità del consenso del minore può essere subordinata all'assenza di obiezioni del rappresentante.

È inoltre chiaro che va tenuto conto del livello di maturità fisica e psicologica dell'interessato, e del fatto che a partire da una certa età questi è in grado di esprimere giudizi sulle questioni che lo riguardano. Ciò può essere importante quando il rappresentante non è d'accordo con il minore ma questi è sufficientemente maturo per decidere nel proprio interesse, ad esempio, in ambito medico o sessuale. Non vanno poi dimenticati i casi in cui l'interesse superiore del minore limita o addirittura prevale sul principio di rappresentanza, che anzi meritano un esame più approfondito.

La condizione di legittimità più ampia riguarda l'interesse legittimo del responsabile del trattamento oppure del terzo cui vengono comunicati i dati (articolo 7, lettera f)), purché che non prevalgano l'interesse o i diritti e le libertà fondamentali dell'interessato. Nel soppesare gli interessi in gioco occorre considerare con attenzione lo status del minore quale persona interessata, usando sempre il suo interesse superiore come parametro.

c) Sicurezza dei dati

L'articolo 17 della direttiva 95/46/CE stabilisce che "[g]li Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall'alterazione, dalla diffusione o dall'accesso non autorizzati" e precisa che "[t]ali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell'applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere."

I dati dei minori meritano precauzioni e attenzioni adeguate. Le misure di sicurezza devono essere adeguate alle loro condizioni. Si ricorda che un minore tende ad essere meno consapevole di un adulto dei rischi che corre.

d) Diritti degli interessati

d.1) Diritto ad essere informati

Il requisito del consenso previsto dalla direttiva va beninteso di pari passo con l'obbligo di informare adeguatamente gli interessati (articoli 10, 11 e 14).

Il gruppo di lavoro si è già espresso sui requisiti di informazione in vari documenti, in particolare, il parere sulla maggiore armonizzazione della fornitura di informazioni (WP 100) e la raccomandazione relativa ai requisiti minimi per la raccolta di dati on-line nell'Unione europea (WP 43), di cui sarebbe opportuno tenerne conto in quanto forniscono orientamenti chiari.

Nell'informare i minori o i loro rappresentanti, è bene optare per messaggi strutturati, redatti in un linguaggio semplice, conciso e pedagogico, facilmente comprensibile. Un breve messaggio dovrebbe contenere le informazioni di base da fornire al momento della raccolta dei dati personali presso l'interessato o un terzo (articoli 10 e 11), e parallelamente, magari tramite un hyperlink, andrebbero fornite, nel dettaglio, tutte le informazioni per esteso.

I destinatari delle informazioni devono essere (sempre) i rappresentanti e, una volta che avrà raggiunto una capacità adeguata, anche il minore.

Per le informazioni pubblicate on-line valgono requisiti speciali.

Come rilevato dal gruppo di lavoro nella raccomandazione sul trattamento dei dati online, è fondamentale che le informazioni compaiano nel posto e al momento giusti, ossia direttamente sullo schermo prima della raccolta dei dati. Oltre ad essere richiesta dalla direttiva, questa misura è particolarmente importante per sensibilizzare i minori ai rischi e pericoli delle attività on-line. Si può infatti affermare che nel mondo virtuale, a differenza di quello reale, questa è l'unica occasione che hanno i minori di essere messi in guardia contro tali pericoli.

d.2) Diritto di accesso

Di norma il diritto di accesso è esercitato dal rappresentante del minore, ma sempre nell'interesse di quest'ultimo. A seconda del grado di maturità del minore, può essere esercitato al suo posto o assieme a lui. In alcuni casi il minore può essere autorizzato ad esercitare il diritto da solo.

Quando sono in gioco diritti personalissimi (ad esempio, in ambito sanitario), il minore può addirittura chiedere al medico di non comunicare i dati sanitari ai rappresentanti.

È il caso, ad esempio, dell'adolescente che abbia comunicato dati relativi alla sfera sessuale a un medico o a un servizio telefonico di assistenza, escludendo esplicitamente i rappresentanti.

Può anche essere il caso del minore che non si fidi dei suoi rappresentanti e contatti il servizio di assistenza per minori perché, ad esempio, si droga o ha pensieri suicidi.

Si pone il problema di stabilire se i rappresentanti possano accedere a tali informazioni e se i minori si possano opporre. Per determinare se il diritto al rispetto della vita privata del minore prevalga sul diritto di accesso dei rappresentanti, occorre ponderare attentamente gli interessi di tutte le parti coinvolte. In tale valutazione l'interesse superiore del minore ha particolare rilievo.

Nel caso dei dati sanitari, il parere del medico può essere utile per valutare se sia opportuno di consentire ai rappresentanti di accedere ai dati.

Le pratiche nazionali possono fornire altre indicazioni utili: nel Regno Unito, ad esempio, gli adolescenti di età superiore a 12 anni possono esercitare il diritto di accesso da soli.

In molti paesi il diritto di accesso dei rappresentanti ai dati delle adolescenti è limitato in caso di aborto.

In linea generale, fra i criteri per accedere ai dati non figurerà soltanto l'età del minore, ma anche se i dati siano stati forniti dai genitori o dal figlio – il che è un ulteriore indizio del grado di maturità e autonomia del minore.

d.3) Diritto di rettifica, cancellazione o congelamento

Il diritto di accesso ha di per sé un valore e un significato.

Può tuttavia anche essere un mezzo per esercitare il diritto di rettifica, cancellazione o congelamento di dati che non sono corretti o aggiornati.

Per quanto riguarda l'esercizio di tale diritto, valgono considerazioni analoghe a quelle descritte per il diritto di accesso.

d.4) Diritto di opposizione

Ai sensi dell'articolo 14, lettera a), l'interessato ha il diritto – almeno nei casi di cui all'articolo 7, lettere e) e f) – di opporsi al trattamento di dati che lo riguardano per motivi preminenti e legittimi. Tali motivi possono essere quanto mai preminenti quando si tratta di minori. Va inoltre ricordato che l'interessato è in ogni caso autorizzato a opporsi al trattamento dei suoi dati personali a fini di invio di materiale pubblicitario (articolo 14, lettera b)).

e) Notificazione

Infine è necessario ricordare l'obbligo di notificare il trattamento nei casi previsti dalla legge.

 

III – Contesto scolastico

Nella seguente sezione il parere illustra come sia possibile precisare i richiamati principi fondamentali riconducendoli al contesto scolastico. La vita del minore si svolge infatti tanto a scuola quanto in famiglia, è quindi naturale che sorgano questioni sulla protezione dei dati connesse alla vita scolastica del minore. Si tratta di questioni di varia natura, che affrontano problemi diversi.

1) – Fascicoli scolastici

a) Informazione

Il problema della protezione dei dati dei minori (e talvolta dei loro familiari) può porsi rispetto ai fascicoli degli studenti sin dall'iscrizione a scuola. In alcuni paesi, infatti, la legge consente alle autorità scolastiche di creare dei fascicoli studenti con moduli contenenti dati personali, su supporto elettronico o di altro tipo.

Questi stessi moduli dovrebbero informare l'interessato della raccolta e del trattamento dei suoi dati personali, delle finalità del trattamento, dei responsabili del trattamento e delle modalità di esercizio dei diritti di accesso e di rettifica, nonché, se del caso, del fatto che i dati potranno essere comunicati a terzi.

b) Finalità limitata e proporzionalità

I dati personali possono essere inseriti nei fascicoli studenti solo se necessario per le finalità legittime perseguite dalle scuole, e non possono essere usati in modo incompatibile con tali finalità (articolo 6, paragrafo 1, lettera b), della direttiva).

I dati richiesti non devono eccedere le finalità perseguite: ad esempio, i dati concernenti il titolo di studio dei genitori, la loro professione o situazione lavorativa non sono sempre necessari. I responsabili del trattamento devono valutare la reale necessità di tali dati.

c) Non discriminazione

Alcuni dati contenuti nei moduli, come quelli relativi alla razza, allo status di immigrato o a determinate disabilità, potrebbero essere fonte di discriminazione.

In genere queste informazioni servono alla scuola per conoscere le eventuali difficoltà culturali (ad esempio linguistiche) o economiche degli alunni, e prestare loro la dovuta attenzione.

Il trattamento di tali informazioni deve rispettare i principi dell'interesse superiore del minore e della finalità limitata.

L'approccio deve essere particolarmente rigoroso per quanto riguarda la registrazione della religione del minore, che va consentita solo se lo giustificano la natura della scuola (scuola religiosa) e le finalità amministrative, e solo se strettamente necessario. Non possono essere tratte conclusioni superflue sulla religione del minore se i dati sono necessari esclusivamente per fini amministrativi (ad esempio, partecipazione ad un corso di religione o indicazione delle preferenze alimentari).

Anche le informazioni sul patrimonio e sul reddito della famiglia del minore possono essere all'origine di discriminazioni, ma possono essere trattate nell'interesse del minore, ad esempio se i rappresentanti chiedono una borsa di studio o una riduzione delle tasse scolastiche.

Tutti i dati che potrebbero causare discriminazioni devono essere protetti da misure di sicurezza adeguate, quali il trattamento in fascicoli distinti ad opera di personale qualificato vincolato dal segreto professionale, e altre misure appropriate.

Il consenso al trattamento di tutti i dati suscettibili di originare discriminazioni deve essere chiaro e univoco.

d) Principio di finalità

d.1) Comunicazione dei dati

In alcuni casi le autorità scolastiche comunicano i nomi e gli indirizzi degli alunni a terzi, molto spesso per fini commerciali.

Può succedere che trasmettano dati a banche o società di assicurazioni il cui scopo è attrarre nuovi clienti, o che comunichino i dati degli studenti a rappresentanti politici localmente eletti. Queste sono violazioni del principio di finalità, in quanto i dati destinati a finalità scolastiche sono usati per obiettivi incompatibili.

Ai sensi dell'articolo 6, paragrafo 1, lettera b), della direttiva 95/46/CE, i dati dei minori non possono essere usati in modo incompatibile con le finalità per le quali sono stati raccolti.

Il problema qui non è che i minori siano destinatari di messaggi commerciali – che è invece un problema di tutela dei consumatori – bensì che vengano raccolti dati personali al fine di inviare, in un secondo momento, messaggi commerciali agli interessati. Tale trattamento deve essere sempre soggetto al previo consenso dei rappresentanti (e del minore, a seconda del suo grado di maturità).

In tutti i casi in cui un'operazione commerciale è considerata legittima e compatibile, è necessario che il trattamento sia effettuato sempre nel modo meno intrusivo possibile.

Oltre alle condizioni menzionate sopra, se a richiedere i dati dei genitori o degli alunni è un terzo, per fini commerciali, la loro trasmissione deve essere sempre soggetta alla previa informazione e al previo consenso dei rappresentanti (e del minore, a seconda del suo grado di maturità).

d.2) Accesso ai dati

I dati contenuti nei fascicoli studenti sono strettamente riservati, conformemente al principio generale sancito nell'articolo 16 della direttiva 95/46/CE.

Il trattamento dei dati di natura speciale è soggetto a particolari requisiti di sicurezza.

Esempi di tali dati sono:

- i procedimenti disciplinari,

- la registrazione di casi di violenza,

- il trattamento sanitario a scuola,

- l'orientamento scolastico,

- l'insegnamento speciale per disabili,

- l'assistenza sociale per gli alunni meno abbienti.

Il rappresentante dell'alunno (e l'alunno se è già maturo) deve avere accesso ai dati e tale accesso deve essere disciplinato rigorosamente e limitato alle autorità scolastiche, agli ispettori scolastici, al personale sanitario, agli assistenti sociali e alle autorità di polizia e giudiziarie.

d.3) Risultati scolastici

Per quanto riguarda la pubblicazione dei risultati scolastici, le tradizioni variano a seconda del paese.

In alcuni paesi pubblicare i risultati scolastici è una tradizione consolidata.

L'obiettivo della pubblicazione è permettere di confrontare i risultati e facilitare eventuali reclami o ricorsi. In questi sistemi le scuole devono osservare rigorosamente la legislazione del paese e pubblicare solo il numero minimo di dati personali necessari per raggiungere l'obiettivo.

Nei paesi in cui vige la regola della riservatezza dei risultati scolastici, questi possono essere comunicati al rappresentante e all'alunno che esercitano il diritto di accesso.

La pubblicazione è subordinata al consenso dei rappresentanti (o anche dell'alunno, a seconda della sua capacità).

Un problema particolare si pone quando i risultati scolastici sono pubblicati su Internet, che è un mezzo pratico di comunicazione con gli interessati. Considerati i rischi che questo mezzo comporta, è necessario che l'accesso ai dati sia possibile solo con garanzie specifiche, ad esempio usando un sito web protetto o password personali assegnate ai rappresentanti o agli alunni che siano già maturi.

Le modalità di esercizio del diritto di accesso saranno diverse a seconda del grado di maturità del minore. È probabile che nella scuola primaria il diritto sia esercitato per lo più dai rappresentanti, mentre nella scuola secondaria gli studenti saranno in grado di accedere ai dati per conto loro.

d.4) Conservazione e cancellazione

Anche a questo contesto si applica il principio per cui i dati non devono essere conservati oltre il tempo necessario per conseguire le finalità per le quali sono stati raccolti. Particolare attenzione pertanto meritano i dati dei fascicoli studenti che devono essere conservati per motivi didattici o professionali, e quelli che devono essere cancellati, ad esempio perché si riferiscono a procedimenti e sanzioni disciplinari.

2) – Vita scolastica

Il problema di proteggere i dati personali si pone in alcuni settori della vita scolastica quotidiana.

Esistono strumenti di controllo della popolazione scolastica, soprattutto degli alunni, che possono rivelarsi particolarmente intrusivi.

Si tratta in particolare della raccolta dei dati biometrici e dell'uso di sistemi CCTV e RFID.

Il ricorso a tali strumenti di controllo deve essere sempre preceduto da una discussione approfondita tra insegnanti e genitori (o altri rappresentanti degli alunni), che tenga conto delle finalità dichiarate e dell'adeguatezza degli strumenti proposti.

a) Dati biometrici – accesso a scuole e mense scolastiche

Negli ultimi anni sono aumentati i controlli d'accesso nelle scuole, che possono comportare la raccolta all'entrata di dati biometrici quali impronte digitali, iride o contorno della mano. Talvolta tali sistemi risultano sproporzionati allo scopo e intrusivi.

In ogni caso, il principio di proporzionalità deve applicarsi anche all'uso delle biometrie.

Si raccomanda vivamente che i rappresentanti possano opporsi con facilità all'uso dei dati biometrici del minore. Se i rappresentanti esercitano il diritto di opposizione, il minore dovrebbe ricevere un tesserino o un altro mezzo di accesso ai locali scolastici interessati.

b) Televisione a circuito chiuso (CCTV)

Cresce la tendenza, nelle scuole, a usare sistemi CCTV a fini di sicurezza. Non esiste una soluzione valida per tutti gli aspetti della vita scolastica e per tutti gli spazi delle scuole.

Poiché i sistemi CCTV possono incidere sulle libertà personali, la loro installazione nelle scuole richiede particolari precauzioni. In altri termini, andrebbero autorizzati se necessari e se l'obiettivo non può essere raggiunto con altri mezzi disponibili meno intrusivi.

In alcuni spazi la sicurezza è di capitale importanza per cui si giustifica più facilmente il ricorso a sistemi CCTV, ad esempio all'entrata e all'uscita delle scuole e negli spazi in cui circolano persone – non solo la popolazione scolastica, ma anche persone che per qualsiasi motivo possano trovarsi in una scuola.

La scelta di installare sistemi CCTV deve essere sempre pertinente, adeguata e non eccedere le finalità del trattamento. In alcuni paesi, ad esempio, si è ritenuto adeguato rispetto ai principi della protezione dei dati ricorrere a sistemi CCTV al di fuori dell'orario scolastico.

D'altro canto, nella maggior parte degli altri spazi scolastici il diritto al rispetto della vita privata degli alunni (e degli insegnanti e del restante personale scolastico) e la libertà fondamentale di insegnamento si oppongono all'esigenza di una sorveglianza permanente con sistemi CCTV.

Ciò vale soprattutto per le aule, dove la videosorveglianza può interferire non solo con la libertà di apprendimento e di parola degli studenti, ma anche con la libertà di insegnamento. Lo stesso dicasi per gli spazi ricreativi, le palestre e gli spogliatoi, dove la sorveglianza può interferire con il diritto al rispetto della vita privata.

Queste osservazioni si basano inoltre sul diritto allo sviluppo della personalità, di cui godono tutti i minori. In effetti i minori vanno sviluppando una concezione della loro libertà che può essere distorta se fin da piccoli considerano una cosa normale essere sorvegliati da sistemi CCTV, tanto più se per sorvegliare a distanza i minori durante l'orario scolastico vengono usate webcam o apparecchi simili.

Ogni qualvolta i sistemi CCTV risultano giustificati è necessario che, i minori, il resto della popolazione scolastica e i rappresentanti siano informati del fatto che è in corso una sorveglianza, che esiste un responsabile del trattamento e delle finalità di tale sorveglianza. Le informazioni destinate ai minori devono essere appropriate al loro livello di comprensione.

Va inoltre tenuto presente che gli interessi da considerare non sono solo quelli degli alunni, ma anche quelli degli insegnanti e del restante personale scolastico. In alcuni paesi vigono perfino norme sull'uso dei sistemi CCTV per sorvegliare i lavoratori¹².

Le autorità scolastiche devono esaminare regolarmente se il sistema CCTV si giustifica ed è pertinente, per decidere se mantenerlo o meno. I rappresentanti dei minori devono essere informati di conseguenza.

c) Condizioni sanitarie

I dati sulle condizioni sanitarie degli alunni sono dati sensibili. Per questo motivo devono essere trattati nel rispetto dei principi sanciti nell'articolo 8 della direttiva.

Possono essere trattati solo da medici o da coloro che si occupano direttamente degli alunni, come gli insegnanti e altro personale scolastico vincolato da segreto professionale.

Il trattamento dei dati di questo tipo è subordinato al consenso dei rappresentanti del minore o agli interessi vitali legati alla vita scolastica o educativa.

d) Siti web scolastici

Un numero sempre maggiore di scuole crea siti web destinati agli studenti/alunni e alle loro famiglie, usandoli come strumento principale per le comunicazioni esterne. Le scuole devono essere consapevoli del fatto che la divulgazione di informazioni personali richiede un'osservanza più rigorosa dei principi fondamentali sulla protezione dei dati, in particolare dei principi di proporzionalità e di minimizzazione dei dati. Inoltre si raccomanda di mettere in atto meccanismi di accesso limitato per proteggere le informazioni personali in questione (ad esempio login con user ID e password).

e) Foto dei minori

Spesso le scuole sono tentate di pubblicare le foto dei loro alunni (su stampa o Internet).

Occorre fare molta attenzione alla pubblicazione su Internet. Si deve sempre valutare il tipo di foto, la pertinenza della pubblicazione e le finalità perseguite. I minori e i loro rappresentanti devono essere informati della pubblicazione.

Se la scuola intende pubblicare singole foto di minori con tanto di identità è necessario il consenso preventivo dei genitori o di altri rappresentanti (o del minore, se è già maturo).

Per quanto riguarda le foto collettive, segnatamente di eventi scolastici, la scuola può non chiedere il consenso preventivo dei genitori se le foto non consentono la rapida identificazione degli alunni, salvo il rispetto della normativa nazionale. In tali casi, tuttavia, la scuola deve informare i minori, i genitori e i rappresentanti che verrà scattata la foto e dell'uso che ne farà.

Essi potranno così rifiutare di comparire nella foto.

f) Tesserini scolastici

Per il controllo d'accesso e la sorveglianza degli acquisti: molte scuole utilizzano tesserini scolastici non solo per controllare l'accesso negli edifici scolastici, ma anche per sorvegliare gli acquisti fatti dagli alunni. Sorgono dubbi sulla piena compatibilità della seconda finalità con il rispetto della vita privata dell'alunno, soprattutto a partire da una certa età.

In ogni caso le due funzioni devono essere distinte, in quanto la seconda può sollevare problemi di rispetto della vita privata.

Per la localizzazione degli alunni¹³: un altro strumento di controllo usato in alcune scuole (con o senza tesserino) è la localizzazione degli alunni attraverso badge RFID.

La pertinenza di un sistema di questo tipo deve essere giustificata in relazione ai rischi specifici in gioco, soprattutto se sono disponibili metodi alternativi di controllo.

g) Videofoni nelle scuole

Le scuole possono svolgere un ruolo decisivo nell'elaborazione di misure precauzionali per l'uso di MMS e registrazioni audio e video che possono implicare dati personali di terzi senza che questi ne siano al corrente. Le scuole devono avvisare gli studenti che la circolazione senza restrizioni di registrazioni video e audio e di foto digitali può costituire una seria violazione della privacy degli interessati e della protezione dei dati personali.

3) – Statistiche scolastiche e altri studi

Nella maggior parte dei casi i dati personali non sono necessari per effettuare statistiche (tranne in casi eccezionali, ad esempio quando le statistiche riguardano l'integrazione professionale).

Conformemente all'articolo 6, paragrafo 1, lettera e), della direttiva, i risultati delle statistiche non devono consentire l'identificazione diretta o indiretta degli interessati.

Gli studi si avvalgono spesso dei dati personali degli alunni, ottenuti attraverso questionari più o meno dettagliati. La raccolta di questi dati deve essere autorizzata dai rappresentanti (soprattutto se si tratta di dati sensibili), che devono essere informati delle finalità e dei destinatari dello studio.

Si devono inoltre privilegiare le modalità che consentono di condurre gli studi senza identificare i minori.

IV – Conclusione

1) – Normativa

Dal presente parere si evince che nella maggior parte dei casi le disposizioni del quadro normativo vigente garantiscono una protezione efficace dei dati dei minori.

Tuttavia, il presupposto affinché il diritto al rispetto della vita privata dei minori riceva una tutela efficace è che le disposizioni siano applicate osservando il principio dell'interesse superiore del minore. L'applicazione deve tenere conto delle situazioni specifiche dei minori e di quelle dei loro rappresentanti. Le direttive 95/46/CE e 2002/58/CE vanno quindi interpretate e applicate di conseguenza.

In caso di interessi concorrenti, la soluzione va cercata interpretando le direttive alla luce dei principi generali della convenzione dell'ONU sui diritti del fanciullo, in particolare l'interesse superiore del minore, e richiamandosi agli altri strumenti giuridici già citati.

Gli Stati membri sono invitati ad adeguare la legislazione nazionale a tale interpretazione adottando le disposizioni necessarie. A livello comunitario, sarebbero auspicabili raccomandazioni o altri strumenti appropriati in materia.

Come già indicato, il presente parere si sofferma sui principi generali di tutela della vita privata e protezione dei dati in relazione ai dati dei minori, e sulla loro applicazione nell'importante settore dell'istruzione. Altri settori specifici potrebbero richiedere in futuro una disamina distinta del gruppo di lavoro.

2) – Pratica

Il presente parere espone preoccupazioni e considerazioni generali con riguardo alla protezione dei dati e alla tutela della vita privata dei minori. Come primo passo, il gruppo di lavoro ha scelto di affrontare la questione partendo dal settore dell'istruzione, data la sua importanza nella società. Come si può constatare, l'approccio seguito per tutelare la vita privata dei minori si basa sull'educazione – in famiglia, a scuola, a cura delle autorità per la protezione dei dati, fra minori, ecc. – all'importanza della protezione dei dati e della vita privata e alle conseguenze della comunicazione dei dati personali quando questa non sia necessaria.

Se le nostre società vogliono creare un vera cultura della protezione dei dati, in particolare, e della difesa della vita privata, in generale, occorre cominciare dai minori, non solo perché costituiscono una categoria bisognosa di protezione o perché hanno il diritto di essere protetti, ma anche perché devono essere informati del loro dovere di rispettare i dati personali altrui.

Per raggiungere questo obiettivo la scuola deve assumere un ruolo centrale.

I minori e gli alunni devono essere educati in modo da diventare cittadini autonomi nella società dell'informazione. A tal fine è fondamentale che imparino sin da piccoli l'importanza del rispetto della vita privata e della protezione dei dati. Tali nozioni permetteranno loro, a tempo debito, di decidere con cognizione di causa quali informazioni comunicare, a chi e a quali condizioni. La protezione dei dati deve essere integrata sistematicamente nei programmi scolastici, in funzione dell'età degli alunni e della natura delle materie insegnate.

I minori non devono essere mai sottoposti, per motivi di sicurezza, a una sorveglianza eccessiva che ne limiti l'autonomia. Al riguardo occorre trovare un giusto nesso tra la protezione dell'intimità e della vita privata dei minori e la loro sicurezza.

I legislatori, i leader politici e le organizzazioni educative devono, nell'ambito delle rispettive competenze, prendere misure efficaci per risolvere tali questioni.

Come si è detto e ripetuto in questo documento, l’istruzione e la responsabilità sono strumenti cruciali per la protezione dei dati dei minori. Per migliorarne il livello è fondamentale che coloro che si occupano direttamente dell'istruzione dei minori ricevano prima una formazione completa sui principi relativi alla protezione dei loro dati personali.

Il ruolo delle autorità per la protezione dei dati è quadruplice: istruire e informare, soprattutto i minori e le autorità responsabili del benessere dei giovani; fare in modo che i responsabili politici prendano decisioni giuste in materia di minori e vita privata; informare i responsabili del trattamento dei loro obblighi; esercitare i poteri di cui dispongono nei confronti di quanti non osservano la legislazione, i codici deontologici né le migliori pratiche del settore.

In questo contesto, può essere una strategia efficace concludere accordi tra autorità per la protezione dei dati, ministri dell'Istruzione e altri organi responsabili, che definiscano condizioni chiare e concrete di cooperazione reciproca finalizzata a diffondere la nozione che la protezione dei dati è un diritto fondamentale.

In particolare bisogna insegnare ai minori che spetta a loro, per primi, proteggere i dati che li riguardano. Partendo da questo criterio, la partecipazione graduale dei minori alla protezione dei loro dati personali (dalla consultazione alla presa di decisioni) può diventare realtà. Questo è un settore in cui è possibile dimostrare l'efficacia della responsabilizzazione.

Fatto a Bruxelles, l'11.2.2009

Per il Gruppo di lavoro

Il Presidente

Alex TÜRK

 

 

NOTE                                                 
1 - Si veda in particolare l’articolo 1 della convenzione ONU sui diritti del fanciullo del 20.11.1989.

2 - Si vedano anche:

- la dichiarazione di Helsinki del giugno 1964 (punto I-11);

- il patto internazionale sui diritti economici, sociali e culturali del 16.12.1966 (articolo 10, paragrafo 3);

- il patto internazionale sui diritti civili e politici del 16.12.1966 (articoli 16 e 24);

- il protocollo facoltativo del 16.12.1966.

3 - Si vedano anche:

- la dichiarazione ONU sui diritti del fanciullo del 20.11.1959;

- le raccomandazioni dell’Assemblea parlamentare del Consiglio d’Europa su vari aspetti della protezione dei minori (nn. 1071, 1074, 1121, 1286, 1551);

- le raccomandazioni del Comitato dei Ministri del Consiglio d’Europa sulla partecipazione dei minori alla vita familiare, R (98)8, e sulla protezione dei dati medici, R (97), 5;

- la convenzione n.192 del Consiglio d’Europa sulle relazioni personali riguardanti i fanciulli del 15.5.2003.

4 - Orientamenti dell’OCSE del 23.9.1980;

- Convenzione n. 108 del Consiglio d’Europa del 28.1.1981 e protocollo addizionale dell’8.11.2001;

- Orientamenti dell’ONU del 14.12.1990.

5 Sancito dalla convenzione ONU sui diritti del fanciullo (articolo 3) e poi ribadito nella convenzione n. 192 del Consiglio d’Europa (articolo 6) e nella Carta dei diritti fondamentali dell'Unione europea (articolo 24, paragrafo 2).

6 Il diritto alla protezione è talmente fondamentale che è stato sancito dalla dichiarazione universale dei diritti dell'uomo (articolo 25) e ribadito nel patto internazionale sui diritti civili e politici (articolo 24), nel patto internazionale sui diritti economici, sociali e culturali (articolo 10, paragrafo 3) e, più recentemente, nella carta dei diritti fondamentali dell'Unione europea (articolo 24).

7 Questo diritto ribadisce il diritto generale alla vita privata, sancito dall'articolo 12 della dichiarazione universale, dall'articolo 17 del patto internazionale sui diritti civili e politici e dall'articolo 8 della convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

8 Articoli 7, 27 e 29 della convenzione ONU sui diritti del fanciullo.

9 Alcuni ordinamenti giuridici applicano questo principio generale distinguendo tra fasce di età:

inferiore a 12 anni, tra 12 e 16 anni e tra 16 e 18 anni.

10 Articolo 12 della convenzione ONU sui diritti del fanciullo, articolo 24, paragrafo 1 della carta dei diritti fondamentali dell'Unione europea e articolo 6 della convenzione sulle relazioni personali riguardanti i fanciulli.

11 Tale criterio è chiaramente enunciato nella raccomandazione n. R (97) 5, del 13 febbraio 1997, del comitato dei ministri del Consiglio d'Europa relativa alla protezione dei dati sanitari (punti 5.5 e 6.3).

12 Si veda inoltre il documento WP 89 (parere 4/2004 dell'11 febbraio 2004).

13 Si veda il parere WP 115 (adottato il 25 novembre 2005) sui principi relativi alla localizzazione dei minori.