Privacy, scuole devono nominare responsabile. Indicazioni
Una delle novità assolute che si è presentata alle scuole e alle PA in genere, introtta dal GDPR, (General Data Protection Regulation) Regolamento UE 2016 /679, è l’individuazione e la nomina della figura del DPO (Data Protection Officer) o RPD – Responsabile della Protezione Dati.
Tale figura è prevista per le autorità pubbliche e ogni qual volta i dati, trattati dal titolare e dal responsabile del trattamento, richiedano un monitoraggio su larga scala.
Lo scopo principale che ha portato alla nascita di questa figura è stato quello di far fronte alla crescente necessità di tutela dei dati personali dovuta all’incremento dei dati sensibili trattati dalle nuove tecnologie.
L’RPD ha come scopo principale quello di “responsabilizzare” l’amministrazione della scuola, facendo sì che il responsabile del trattamento dati adotti delle politiche adeguate al fine di garantire (e dimostrare) che il trattamento dei dati è conforme al GDPR.
Tale figura (che dal 25 maggio 2018 dovrà essere presente nelle scuole) ha scopi, obiettivi e caratteristiche ben definiti. Come già detto in un precedente articolo, la scuola, da questa da questa data in poi, dovrà costantemente garantire la conformità alle regole europee delle proprie attività.
Andiamo a definire più nel dettaglio il profilo di tale figura.
Il RPD deve essere esperto di legislazione e di pratiche relative alla gestione e alla protezione dei dati.
Tale figura, oltre alle conoscenze amministrative appena accennate, avrà il compito di affiancare gli interessati consigliando i responsabili del trattamento, fornendo, ove richiesti, gli opportuni pareri e verificando la corretta esecuzione degli adempimenti. Potrà, attraverso l’inserimento di regole, chiarire l’informativa e il consenso al trattamento dei dati e dare una definizione dei limiti della automazione per il trattamento degli stessi.
Deve, inoltre, verificare la corretta tenuta dei registri e vigilare sugli obblighi di formazione delle figure coinvolte.
Al responsabile della Protezione verrà garantita la non rimozione dall’incarico (a meno che non vi sia un giustificato motivo) e il divieto di penalizzazione; avr, inoltre, una posizione di autonomia riguardo l’accesso ai dati e il loro trattamento.
Questi dovrà riferire l’andamento della sua attività e avrà obbligo di formazione e di aggiornamento permanente.
Il RDP, come previsto dalle linee guida art. 29, non è responsabile personalmente in caso di inosservanza del GDPR; quest’ultimo chiarisce, infatti, che spetta al titolare o al responsabile del trattamento garantire che le operazioni siano conformi alle disposizioni del trattamento stesso (art. 24).
La figura del RPD può essere individuata sia all’interno (un dipendente) che all’esterno della scuola.
Nel caso fosse nominato un dipendente della scuola, a seguito di specifico atto di designazione e in mancanza di conflitto di interessi, tale figura non deve coincidere con chi, all’interno della scuola stessa, definisce le politiche di protezione dei dati.
Viceversa se, a seguito di una procedura, la figura del RDP venisse individuata all’esterno dell’Istituzione scolastica, si procederà alla stipula di un vero e proprio contratto con la scuola. Tale figura dovrà essere individuata al termine di una procedura di selezione in cui vengano richiesti determinati requisiti e caratteristiche necessari all’esecuzione della prestazione richiesta.
In ogni caso, nello svolgimento di propri compiti, il RDP dovrà essere adeguatamente supportato da risorse finanziarie, infrastrutturali e di personale.
La scuola, quindi, nella consapevolezza dei dati e delle tecnologie a propria disposizione, dovrà prendere delle misure tecniche ed amministrative atte ad indirizzare il tutto verso un adeguamento del GDPR.
Molti dirigenti pensano di individuare la figura del RDP nella persona del DSGA ma, secondo lo scrivente, sarebbe opportuno che tale figura venisse individuata all’esterno della scuola, innanzitutto per evitare che la figura del RDP possa coincidere con quella del responsabile del trattamento dati, e poi perché si limiterebbe la sua libertà di movimento e indipendenza nelle scelte, fondamentali per consentire alla figura del responsabile della procedura di mettere in atto misure tecniche ed organizzative adeguate al fine di soddisfare i requisiti richiesti dal GDPR per il trattamento dei dati.