La scuola è chiamata ogni giorno a costruire le condizioni per un futuro migliore delle nuove generazioni. Non solo nello studio, ma anche nelle esperienze di vita che coinvolgono studenti, docenti e personale scolastico si definisce il mondo dei valori che permette alla società di crescere nel rispetto reciproco.

Questa sfida riguarda anche il “corretto trattamento dei dati personali”.Un’espressione che costituisce una condizione essenziale per il rispetto della dignità delle persone, della loro identità, del loro diritto alla riservatezza.

Nelle scuole, di ogni ordine e grado, vengono trattate giornalmente numerose informazioni sugli studenti e sulle loro famiglie, sui loro problemi sanitari o di disagio sociale, sulle abitudini alimentari. A volte può bastare una lettera contenente dati sensibili (quelli più delicati) su un minorenne, o un tabellone scolastico con riferimenti indiretti sulle condizioni di salute degli studenti, per violare anche involontariamente la riservatezza, la dignità di una persona.

Anche le istituzioni scolastiche, durante lo svolgimento dei loro compiti, hanno il dovere di rispettare la privacy e tutelare e proteggere i dati personali che trattano, in particolare perchè si tratta di soggetti spesso minorenni.

Le scuole, quindi, sia pubbliche che private, hanno l'obbligo di informare (tramite apposita informativa) gli interessati delle caratteristiche e modalità del trattamento dei loro dati, indicando i responsabili del trattamento. Si intende che gli interessati non sono solo gli studenti, ma anche le famiglie, e gli stessi professori. E' importante che le scuole verifichino i loro trattamenti controllando se i dati siano eccedenti rispetto alle finalità perseguite.

In sintesi, sono elencati i punti necessari da soddisfare per rendere compliant ogni Istituto Scolastico al Regolamento UE 2016/679 :

• Redigere e mantenere un registro dei trattamenti dei dati: sia per il titolare che per il responsabile dei trattamenti
• Valutazione dei rischi sulla privacy: (definita nel regolamento Data Protection Impact Assessment o PIA) relativamente ad alcune tipologie di trattamento dei dati sensibili.Le istituzioni scolastiche pubbliche e private possono trattare anche dati sensibili, come ad esempio dati relativi alle origini razziali per favorire l'integrazione degli alunni, dati relativi alle convinzioni religiose al fine di garantire la libertà di culto, e dati relativi alla salute per adottare misure di sostegno degli alunni, come i dati vaccinali con le asl.
• Analisi di processo sulla raccolta/gestione del consenso: occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica o sul proprio sito web istituzionale. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20), ma devono ad esempio adeguare tutta la modulistica al Regolamento UE 2016/679 e predisporre una lettera di incarico per il trattamento dei dati al personale ATA, ai collaboratori scolastici e ai docenti.
• Adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti :
  • analisi del sito web istituzionale di riferimento con proposte volte a  migliorare la sicurezza e la protezione dei dati trattati:
    • valutazione di migrazione del sito da suffissi gov.it ( non piu validi per le istituzioni scolastiche secondo la determina n. 36 del 12 febbraio 2018 ) a suffissi edu.it  
    • progettazione del nuovo sito secondo i concetti di privacy by default e by design
    • utilizzo del protocollo HTTPS
    • utilizzo di un sistema di cifratura quando il trattamenti di dati lo richiede
    • sistema di backup
    • piano di disaster recovery
  • proposte di messa in sicurezza della intranet scolastica :
    • sulle reti wifi installate
    • utilizzo di white list per la navigazione
    • utilizzo di un proxy
    • utilizzo di un firewall hardware 
  • istituire corsi di formazione destinati ai responsabili, agli incaricati ed eventualmente ai sub-incaricati del trattamento