La privacy per i centri di formazione

I centri di formazione professionale presentano alcune peculiarità, dal punto di vista del trattamento di dati personali, che vedremo a breve; mentre alcuni altri trattamenti possono essere, in generale, considerati comuni:

gestione del personale, sia esso dipendente che a collaborazione o a progetto;
gestione amministrativa, contabile, etc;
marketing/attività promozionali;
eventuale videosorveglianza delle sedi e degli ambienti in cui vengono svolte le attività formative;
sito internet (inclusi form di richiesta informazioni o iscrizioni ai corsi).

In funzione della dimensione del centro (inteso come quantità di studenti partecipanti alle attività), potrebbe nascere la necessità della nomina di un DPO: non è possibile dare riferimenti precisi, in virtù della ben nota indeterminatezza del concetto di “larga scala”, che di fatto rimanda alla responsabilità (accountability) del Titolare; tuttavia, si può dare la parziale indicazione che, a parità di dimensione, in presenza di mezzi tecnologici avanzati, soprattutto se permettono qualche forma di profilazione, allora si dovrebbe propendere verso l’opportunità della nomina (ed anche, molto probabilmente, di una Valutazione di Impatto, o DPIA).

Attività formative

Le attività formative dei centri sono dirette, in generale, sia a studenti che si presentano autonomamente che a studenti “inviati” da aziende o altri enti/associazioni; dal punto di vista dei trattamenti dei loro dati personali, necessari ad usufruire dei corsi, cambia poco. Però allo studente “privato” possono essere offerti servizi ulteriori, come: promozioni per altri corsi, e pubblicazione dei nominativi, o perfino del curriculum vitae, in elenchi che possono essere poi forniti a chi ne fa richiesta o anche messi a disposizione pubblicamente; per queste finalità, è necessario acquisire il consenso esplicito degli studenti (oltre, ovviamente, all’inserimento di queste finalità nell’informativa dedicata). Così come è necessario il consenso nel caso si vogliano pubblicare online o su carta immagini che raffigurino gli studenti durante l’attività formativa.

I contenuti formativi stessi possono includere dati personali degli studenti, degli insegnanti, o anche di chiunque altro: immagini, articoli, semplici informazioni. Anche per questi è necessario verificare se esistono i presupposti legali: in primis, i diritti di utilizzo (copyright); ma anche se si rispettano tali diritti, si dovrebbe verificare se l’uso formativo era incluso tra le finalità previste quando sono stati raccolti quei dati, e anche su quale base giuridica; ma al di là di questo, sarebbe opportuno, sempre in ottemperanza al principio di responsabilità, chiedersi se l’utilizzo di questi dati possano ledere la dignità e i diritti degli interessati.

Nei confronti però delle aziende o enti che richiedono i corsi per i propri lavoratori o rappresentanti, è necessario normare il trasferimento dei dati personali, attraverso rapporti di contitolarità o di Titolare/Responsabile del Trattamento (dove il Titolare è l’ente/azienda, e il centro di formazione è il Responsabile); è probabile che quest’ultimo risulti il più indicato, ma è opportuno verificare caso per caso. Un criterio per stabilire se si è in un caso o nell’altro può essere la modalità di organizzazione dei corsi: per i corsi a catalogo, eseguiti nella sede del centro o a distanza con strumenti scelti da esso, e con calendario stabilito a priori, ci si trova nel caso di titolarità; per i corsi con contenuti e/o calendario concordati col cliente (azienda), eseguiti presso la sede o con strumenti scelti da esso, allora ci si trova nel caso di responsabilità del trattamento. Qualora, com’è probabile che sia, si fornisca la formazione in entrambe le modalità, allora il Registro dei Trattamenti deve contenere il trattamento e le relative informazioni in entrambe le sezioni.

Formazione finanziata

Per formazione finanziata si intende che aziende, associazioni professionali, o anche singoli possano usufruire di finanziamenti pubblici, erogati attraverso enti dedicati (Fondi) o direttamente da enti pubblici (regioni, comuni, Unione Europea), a copertura totale o parziale dei costi delle attività formative. La rendicontazione dei corsi effettuati è necessaria per il versamento dei finanziamenti, per cui avviene un trasferimento di dati personali tra il centro di formazione e l’ente che eroga il finanziamento: in questo caso il centro non è considerato un fornitore dell’ente erogante, per cui non è necessaria la nomina a Responsabile del Trattamento; il trasferimento ha come base giuridica un obbligo legale o contrattuale, e come tale deve essere correttamente riportato nel Registro dei Trattamenti e nell’informativa dedicata agli studenti.

Formazione a distanza

La formazione a distanza, cioè per il tramite di strumenti tecnologici, di per sé è solo una diversa modalità didattica; tuttavia l’utilizzo di piattaforme tecnologiche che giocoforza aggiungono ulteriori trattamenti deve essere opportunamente considerata. Risulta pertanto fondamentale una scelta consapevole, verificando il rispetto almeno dei principi di minimizazione dei dati e delle finalità aggiuntive; e, per quanto riguarda le misure di sicurezza, che esistano i controlli minimi per impedire l’intrusione nella sessione di persone non invitate o autorizzate.

Nel solo caso che il centro di formazione utilizzi strumenti proprietari (cioè che risultano nella disponibilità e controllo completo del centro), a parte l’eventuale necessità di nomina degli amministratori di sistema e delle piattaforme cloud, l’unica incombenza è quella di inserire nella documentazione privacy (registro dei trattamenti, informative, istruzioni e manuali per gli addetti, etc) tutti i dati in più relativi all’utilizzo della piattaforma.

Nel caso più comune di utilizzo di piattaforme commerciali o comunque esterne, allora entra in gioco, come sempre, la necessità di normare il trattamento congiunto dei dati personali degli studenti, sempre con i consueti schemi di contitolarità o titolare-responsabile. In questo caso, è probabile che piattaforme specificatamente dedicate alla formazione a distanza siano da ritenere Responsabili del Trattemento; qualcosa invece si utilizzino piattaforme di tipo diverso (per esempio, di webconference, in particolare se gratuita), è più probabile che si tratti di contitolarità se non proprio di titolarità autonome. La scelta di tali piattaforme deve ovviamente comprendere la valutazione di questo aspetto, che se non ben gestito potrebbe rendere illecito il trattamento relativo all’uso della piattaforma. Come di consueto, ogni caso deve essere analizzato nelle sue specificità.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

La privacy per i centri di formazione

Condividilo nel tuo Social

Post correlati

Corso GDPR for dummies – 41 – Le sanzioni per le organizzazioni

Corso GDPR for dummies – 40 – Trasferimenti fuori SEE

Corso GDPR for dummies – 39 – Trasferimenti entro SEE

Corso GDPR for dummies – 38 – Violazioni

Corso GDPR for dummies – 37 – Sicurezza degli archivi cartacei