Praticamente a ridosso della scadenza del 25 maggio scorso, il MIUR ha emanato le prime indicazioni per le scuole dopo l’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (UE/2016/679).
In sintesi le indicazioni fornite:
- ogni scuola deve dotarsi in via prioritaria del Responsabile della protezione dati personali: figura, interna o esterna, connotata da requisiti di autonomia e indipendenza, deve operare senza conflitto di interessi e possedere specifiche competenze in materia di trattamento dei dati personali. È consentito a più scuole di avvalersi di un unico Responsabile. Deve essere sempre soddisfatto il requisito della cosiddetta “raggiungibilità” del Responsabile proprio per assicurare un efficace supporto al Titolare del trattamento;
- il MIUR provvederà a rendere accessibile a tutto il personale scolastico il corso di formazione on-line (9 ore), in questi giorni fruito dal personale del Ministero;
- saranno previsti incontri formativi interregionali indirizzati in via prioritaria ai DS e ai DSGA;
- nelle prossime settimane il MIUR trasmetterà un modello standard di Registro delle attività di trattamento dei dati personali.
Responsabile protezione dati
Il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO) è quella figura nominata dal titolare del trattamento o dal responsabile del trattamento, che dovrà:
- possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze;
- adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il RPD non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali;
- operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno). Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
Designazione del RPD
Il RGPD prevede all’art. 37, par. 1, che il titolare e il responsabile del trattamento designino il RPD.
Nel caso in cui la scelta del RPD ricada su una professionalità interna all’ente, occorre formalizzare un apposito atto di designazione a “Responsabile per la protezione dei dati”. In caso, invece, di ricorso a soggetti esterni all’ente, la designazione costituirà parte integrante dell’apposito contratto di servizi redatto in base a quanto previsto dall’art. 37 del RGPD.
Indipendentemente dalla natura e dalla forma dell’atto utilizzato, è necessario che nello stesso sia individuato in maniera inequivocabile il soggetto che opererà come RPD, riportandone espressamente le generalità, i compiti e le funzioni che questi sarà chiamato a svolgere.
Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio RPD.
Una volta individuato, il titolare o il responsabile del trattamento è tenuto a indicare, nell’informativa fornita agli interessati, i dati di contatto del RPD pubblicando gli stessi anche sui siti web e a comunicarli al Garante. Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione “Amministrazione trasparente”, oltre che nella sezione “Privacy” eventualmente già presente.
Non è necessario – anche se potrebbe costituire una buona prassi, in ambito pubblico – pubblicare anche il nominativo del RPD, mentre occorre che sia comunicato al Garante per agevolare i contatti con l’Autorità. Resta invece fermo l’obbligo di comunicare il nominativo agli interessati in caso di violazione dei dati personali.
