Sui titolari del trattamento (e dunque anche sugli istituti scolastici) grava l’obbligo di sicurezza, disciplinato dall’art. 31 del Codice della Privacy: si tratta delle cosiddette “misure idonee”. La norma prevede, infatti, che “i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. Si impone quindi l’adozione preventiva di misure di sicurezza “idonee”, da non confondere con quelle “minime”,  che non sono esplicitamente determinate dalla legge, ma che devono essere individuate dal titolare, sulla base di vari fattori. Questi fattori sono, in primo luogo, il progresso tecnico, la natura dei dati e le specifiche caratteristiche del trattamento. Si impone quindi una continua attività di ricerca e di adattamento delle misure da adottare, attività che presuppone l’analisi dei rischi, e la successiva continua verifica di eventuali cambiamenti significativi. Si pensi, ad esempio, all’introduzione del registro elettronico, che ha imposto alle scuole l’obbligatoria digitalizzazione di un trattamento prima esclusivamente cartaceo. E’ evidente che la sua introduzione deve portare a un’analisi specifica dei rischi che, anche in base ai tipi di dati trattati, conduca all’adozione di specifiche misure, che devono essere individuate sulla base delle più adeguate conoscenze tecniche del settore. L’adozione delle misure di sicurezza “idonee” è necessaria per evitare di incorrere in responsabilità civili, con conseguente rischio di dover risarcire i danni. Il trattamento dei dati personali, infatti, è espressamente equiparato, dall’art. 15 del Codice della Privacy, ad una “attività pericolosa” disciplinata dall’art. 2050 del Codice Civile. Ciò determinerebbe, nell’eventuale giudizio per il riconoscimento del danno, un’inversione dell’onere probatorio in cui sarà il titolare del trattamento a dover dimostrare di aver adottato tutte le misure idonee a evitare il danno. Non solo: la stessa norma prevede anche la risarcibilità del danno non patrimoniale. Si pensi, ad esempio, a un accesso abusivo al registro elettronico, con conseguente alterazione dei dati (o illecita diffusione degli stessi), o alla illecita diffusione di dati sensibili, quali quelli relativi allo stato di salute o al credo religioso, dovuti al fatto (certo non infrequente) che i sistemi informatici della scuola non siano correttamente aggiornati, e presentino delle vulnerabilità non corrette. Il titolare risponderà dei danni eventualmente cagionati, salvo che, appunto, non provi di aver adottato le misure previste dall’art. 31 del Codice della Privacy. Il risarcimento dei danni non è automatico, ma occorre che il danneggiato dimostri di aver subito un danno, e che sussista un nesso causale tra danno e trattamento illecito. In particolare, anche laddove sia pacifica la sussistenza di un trattamento illecito, a questo fatto, secondo la Cassazione, non consegue un’automatica risarcibilità, dovendo il pregiudizio morale o patrimoniale essere provato secondo le regole ordinarie (quale ne sia l’entità e a prescindere anche dalla difficoltà della relativa prova) non essendo risarcibili quei pregiudizi che non presentino caratteristiche di “serietà”, consistendo in meri disagi o fastidi che non superino la soglia minima di tollerabilità imposta dai doveri di solidarietà sociale. Per fare un esempio pratico, si pensi alla pubblicazione nell’albo della scuola di curricula contenenti le generalità complete (compresi i numeri di telefono privati e gli indirizzi di residenza) dei consulenti esterni, pubblicazione dovuta a un errore umano, oppure a un errore di configurazione o ancora a una violazione informatica: ciò costituirà certamente un trattamento illecito, ma non necessariamente porterà a un risarcimento del danno, qualora appunto il pregiudizio patito sia un mero disagio o fastidio, che non superi la soglia minima di tollerabilità.

Fonte :  Miur