In generale la scuola ha sempre avuto attenzione e sensibilità nei confronti delle problematiche e delle esigenze delle famiglie, in particolare in caso di infortuni a scuola.
In questa ottica, dopo l’imputazione e gestione di dati, anche sensibili, nella piattaforma on-line del fornitore del servizio assicurativo, svariati uffici di segreteria hanno adottato la procedura di raccogliere, conservare e inviare al fornitore stesso documenti sanitari molto rilevanti per conto delle famiglie, accollandosi un lavoro sicuramente gravoso, anche per possibili inconvenienti.
Infatti, di recente, nel raccogliere e conservare la documentazione sanitaria da inviare all’assicurazione, un Istituto scolastico l’ha in parte smarrita, creando disappunto nella famiglia interessata, che si è vista sottrarre dei rimborsi anche cospicui. Inevitabilmente, in quel caso la famiglia ha richiesto il rimborso a quella scuola... ma potrebbe accadere ad altre.
Raccolta e conservazione
di documenti contenenti dati sensibili
La domanda che ogni DSGA si deve porre è se, alla luce delle molte novità in campo di scuola digitale e privacy, sia opportuno operare in piattaforme private on-line di un fornitore di servizi assicurativi. È chiaro che i compiti sono principalmente:
- inserire i dati degli alunni dell’Istituto scolastico, anche particolari (termine ora usato per i dati sensibili e supersensibili);
- comunicare l’eventuale sinistro. Peraltro la ricevuta eventualmente generata dalla piattaforma non ha alcun valore probatorio: la soluzione corretta è l’invio di una PEC;
- gestire i documenti prevalentemente sanitari (certificati medici, attestati di pagamento ticket ecc.) per conto delle famiglie degli alunni infortunati.
Ancorché sia un’azione etica, il DSGA deve comunque verificare se è un obbligo della scuola raccogliere, conservare e inviare la documentazione delle famiglie e se la scuola può risarcire i genitori in caso di eventuale mancato rimborso delle spese causato dallo smarrimento della documentazione detenuta dalla scuola stessa.
Nell’ambito del lavoro amministrativo della scuola il problema ha una notevole rilevanza e impatto.
Interoperabilità e cooperazione applicativa
Il Codice dell’Amministrazione Digitale (CAD), soprattutto dopo le recenti innovazioni, facilita iniziative per la razionalizzazione organizzativa e informatica dei procedimenti, anche attraverso pratiche di interoperabilità e cooperazione applicativa. Nel caso in questione bisogna, pertanto, capire:
- se si tratta effettivamente di un sistema di interoperabilità e cooperazione applicativa delle pubbliche amministrazioni;
- in caso contrario, qual è la fonte normativa, che stabilisce l’obbligo all’utilizzo della piattaforma on-line del fornitore assicurativo;
- quali sono i compiti assegnati alle scuole nell’ambito dei servizi amministrativi del settore alunni.
Verifichiamo le norme. Se con il termine interoperabilità s’intende il livello base della possibilità di “dialogo” fra sistemi informatici diversi, con cooperazione applicativa si identifica il livello applicativo di questo scambio di dati.
La cooperazione applicativa è quindi l’interoperabilità messa in pratica, realizzata attraverso dei servizi specifici, in cui due o più sistemi informatici si scambiano tipologie predefinite di dati, secondo regole (di accesso, di proprietà dei dati stessi, di finalità di utilizzo ecc.) e modalità (tempi di erogazione, formati di interscambio ecc.) decise di comune accordo con atti convenzionali fra le P.A. che controllano i suddetti sistemi informatici.
Nella Scuola si può prendere ad esempio, tra i tanti, la Gestione rapporti di lavoro in cooperazione applicativa (SW1- MU – rapporti di lavoro in cooperazione applicativa) che prevede il coinvolgimento del SIDI, del Service Personale Tesoro (SPT), della Ragioneria Territoriale dello Stato (RTS), del Ministero Economia e Finanze (MEF) e della Ragioneria Generale dello Stato (RGS), chiaramente tutti soggetti pubblici.
Il CAD, nella versione aggiornata, conferma gli aspetti legati al SPC (Sistema Pubblico di Connettività e rete internazionale della Pubblica Amministrazione). In particolare, è avvalorata la validità come invio documentale degli scambi di documenti informatici tra le sole P.A. nell’ambito dell’SPC, realizzati attraverso la cooperazione applicativa e nel rispetto delle relative procedure e regole tecniche di sicurezza (art. 76 CAD), sempre e solo tra PP.AA.
Per quanto riguarda, invece, i compiti amministrativi nell’area alunni, ai sensi dell’art. 14, comma 2 del D.P.R. 275/1999 (Regolamento recante norme in materia di autonomia delle istituzioni scolastiche) si ricorda che le scuole devono provvedere «a tutti gli adempimenti relativi alla carriera scolastica degli alunni e disciplinano, nel rispetto della legislazione vigente, le iscrizioni, le frequenze, le certificazioni, la documentazione, la valutazione, il riconoscimento degli studi compiuti in Italia e all’estero ai fini della prosecuzione degli studi medesimi, la valutazione dei crediti e debiti formativi, la partecipazione a progetti territoriali e internazionali, la realizzazione di scambi educativi internazionali».
Compiti e responsabilità per la scuola
Dall’analisi normativa si evince che l’utilizzo della piattaforma di un fornitore di servizi assicurativi non rappresenta una cooperazione applicativa: la scuola pubblica non scambia con il fornitore, peraltro privato, tipologie predefinite di dati, secondo regole e modalità decise di comune accordo con una convenzione – ammesso che una scuola possa sottoscrivere una tale convenzione. Non c’è alcun dialogo tra i due sistemi informatici, quello pubblico scolastico e quello privato del fornitore, tant’è che non si può neppure trasferire, ad esempio, l’anagrafica alunni dai vari software scolastici alla piattaforma del fornitore di servizi assicurativi: gli assistenti amministrativi devono invece digitarli ex novo in luogo dello stesso fornitore di servizi assicurativi... a scapito della semplificazione e del corretto utilizzo del personale amministrativo di un pubblico ufficio!
In altre parole, la scuola non fruisce di un servizio reciproco, ma a favore unilateralmente del fornitore di servizi assicurativi, appesantendo gli uffici già oberati da tanti impegni obbligatori che derivano da norme e non dalla sottoscrizione, talvolta poco attenta, di un contratto con il fornitore.
Per quanto riguarda invece i compiti della segreteria, sono circoscritti alla gestione amministrativa della vita dell’alunno nella scuola, tralasciando servizi a favore di fornitori di servizi assicurativi. In effetti, pur dovendo le scuole intrattenere corretti rapporti con tutti i fornitori, non è previsto si sostituiscano agli stessi nella raccolta e conservazione di documenti e nell’imputazione dati in piattaforme private. Ma il problema più grave è un altro.
Il Dirigente e il Direttore non possono essere considerati responsabili dell’eventuale danno provocato (smarrimento documentazione) nell’esercizio ognuno della propria funzione, in quanto i compiti descritti (digitazione dati, conservazione e invio documenti per conto dei genitori/fornitore ecc.) non sono obbligatori. In altre parole, non c’è immedesimazione organica, che viene meno quando il dipendente agisca come un semplice privato, escludendo un collegamento con le attribuzioni proprie (e obbligatorie) del dipendente scolastico.
Quindi, in questo caso la liquidazione dell’importo richiesto dalla famiglia non può essere posto a carico della scuola, ma a carico del Dirigente e del DSGA come soggetti privati.
Peraltro, è opportuno ricordare che in caso di utilizzo della piattaforma privata di un fornitore di servizi assicurativi, anche involontario, ai sensi del Regolamento UE 2016/679 il Dirigente titolare del trattamento dei dati:
- deve incaricare il fornitore di servizi assicurativi a svolgere la prevista funzione di Responsabile esterno del trattamento;
- deve dargli istruzioni operative relativamente a tale compito;
- deve chiedergli di elaborare il Registro dei trattamenti dei dati;
- deve coinvolgerlo nella valutazione di impatto, nelle attività per evitare/correggere un eventuale data breach ecc.
Sono sicuramente compiti complessi, ma soprattutto obbligatori in quanto previsti dal GDPR.
La situazione è complessa, ma bisogna trovare la giusta soluzione.
Il Direttore, che svolge compiti di istruzione degli atti amministrativi, non deve individuare tra i criteri di scelta del contraente l’utilizzo della piattaforma privata del fornitore di servizi assicurativi, evitando alla fonte, pertanto, qualunque ipotesi di denuncia/dati e di raccolta e conservazione di documenti sanitari degli alunni infortunati.
Il Dirigente, che sottoscrive e pertanto stipula il contratto, deve verificare che il contratto non preveda l’obbligatorietà dell’utilizzo di una piattaforma privata, con le altre conseguenti azioni.
In alternativa sarebbe opportuno che il Ministero dell’Istruzione mettesse a disposizione una piattaforma unica, come è stato fatto per gli infortuni INAIL: ciò consentirebbe, in caso di cambio di fornitore di servizi assicurativi, che tutti i dati rimanessero nella disponibilità della scuola che li ha imputati. Infatti, ad oggi, i dati inseriti nella piattaforma del fornitore rimangono a disposizione della scuola solo in costanza di rapporto contrattuale, dopodiché transitano nell’esclusiva disponibilità dell’agenzia fornitrice di servizi assicurativi, con rilevanti problematiche connesse alla privacy e responsabilità a carico del Dirigente/datore di lavoro.
Tramite la piattaforma unica invece ogni scuola potrebbe conservare lo storico sinistri tanto utile alla Dirigenza e al Responsabile della Sicurezza, scorrettamente privati di importanti dati necessari alla quotazione del rischio.