Il 25 maggio 2018, come ormai è notorio, prenderà avvio anche nel nostro Paese la piena applicazione (ai sensi dell’art.99 del GPDR) del “REGOLAMENTO (UE) 2016/679” relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati- e conseguentemente il Codice Privacy, di cui al d.lgs. 196/2003 attualmente in vigore in Italia.

Di seguito ed in estrema sintesi alcuni punti a nostro avviso nodali del regolamento che:

• disciplina la contitolarità del trattamento dei dati (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati;
• stabilisce più dettagliatamente (rispetto al Codice Privacy, di cui al d.lgs. 196/2003) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
• consente la nomina di sub-responsabili del trattamento da parte di un responsabile (art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (art. 82, paragrafo 1 e paragrafo 3);
• prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD-DPO nei casi previsti dal regolamento o dal diritto nazionale (art. 37 del regolamento).
• definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice Privacy, d.lgs. 196/2003 attualmente in vigore.
• non prevede espressamente la figura dell’“incaricato” del trattamento (ex art. 30 Codice Privacy), ma non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (art. 4, n. 10, del regolamento).

Ciò premesso, pare utile svolgere alcune considerazioni riguardanti la realtà specifica delle Istituzioni Scolastiche ed Educative:

Il TITOLARE del trattamento dei dati è il Dirigente Scolastico cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti, ivi compreso il profilo di sicurezza, utilizzati. Egli può avvalersi di figure di supporto. Incarna la figura del “garante supremo” della fiducia dell’interessato. Risponde all’interessato e all’Autorità Garante del trattamento dei Dati Personali;

Il RESPONSABILE del trattamento dei dati (persona fisica o giuridica) è il soggetto preposto dal titolare al trattamento di dati personali.

È una figura facoltativa, sia interna che esterna alla scuola, che va individuata e formalmente nominata (conferimento di incarico con formale accettazione o stipula di contratto).

In generale, secondo quanto previsto dal “Sistema Protezione Dati Personali”, il soggetto nominato responsabile del trattamento deve essere in possesso di “competenze elevate” e pertanto, per esperienza, capacità e affidabilità, deve fornire idonea garanzia circa il rispetto delle disposizioni normative vigenti.

Può essere chiamato a rispondere di eventuali danni cagionati all’interessato.

Il Titolare (DS) deve procedere, in primis, alla selezione interna con un bando per l’individuazione del responsabile tra tutto il personale docente ed ATA della scuola, in possesso di “competenze elevate” in materia.

Agli esiti della selezione interna, va redatto uno specifico atto di incarico che deve essere formalmente accettato dal soggetto interno selezionato ed in cui devono, tra l’altro, essere indicati compiti e funzioni, la durata dello stesso ed il compenso correlato al suo svolgimento.

L’idea da qualcuno improvvidamente avanzata, che il responsabile del tratttamento debba essere individuato d’ufficio nel Direttore Sga è priva di fondamento giuridico.

Qualora la selezione interna risultasse inutilmente esperita, il Titolare (DS) deve procedere ad un bando per selezionare, tra persone fisiche o giuridiche esterne alla scuola, il soggetto più idoneo secondo le consuete procedure previste dalla vigente normativa di legge.

Agli esiti va redatto uno specifico contratto, sottosritto da entrambe le parti, in cui devono tra l’altro essere indicate le prestazioni oggetto dello stesso, la durata ed il compenso correlato. 

Al TITOLARE e al RESPONSABILE del trattamento dei dati personali, spettano la definizione dei compiti, dei ruoli e delle responsabilità per la gestione di tutte le fasi del trattamento dei dati personali, con particolare riferimento alla necessità di garantire la loro sicurezza, nonché l’adozione di specifiche procedure atte a completare e rafforzare le contro misure tecnologiche presenti.

Le PERSONE AUTORIZZATE AL TRATTAMENTO, sono tutte le persone fisiche che operano su dati personali per conto del titolare o del responsabile. Il Regolamento dispone che chiunque, agendo sotto l’autorità del titolare o del responsabile del trattamento, abbia accesso a dati personali non possa trattare tali dati se non sia stato istruito in tal senso dal titolare del trattamento attraverso  formazione, lettere, mansionari, disciplinari interni.

Il DPO (Data Protection Operator) o RPD (Responsabile Protezione Dati) è una figura consultiva e di garanzia che amministrazioni ed enti pubblici (scuole comprese) fatta eccezione per le autorità giudiziarie, devono designare.  

Le norme in vigore dal 25 maggio 2018, prevedono che il Titolare debba obbligatoriamente individuare e nominare il DPO che deve essere designato in funzione delle qualità professionali, in particolare della “conoscenza specialistica della normativa e delle prassi in materia di protezione dei Dati Personali e della capacità di assolvere i compiti previsti dal Regolamento”.

Il Titolare (DS) deve procedere ad un bando per selezionare, tra persone fisiche o giuridiche esterne alla scuola, il soggetto più idoneo secondo le consuete procedure previste dalla vigente normativa di legge.

Agli esiti va redatto uno specifico contratto, sottosritto da entrambe le parti, in cui devono, tra l’altro, essere indicate le prestazioni oggetto dello stesso, la durata ed il compenso correlato. 

Qualora il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico (come nel caso delle scuole), un unico DPO - responsabile della protezione dei dati - può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Il che vuol dire che le scuole possono anche mettersi in rete, per arrivare all’individuazione di uno stesso DPO/RPD

Il Regolamento specifica che il DPO/RPD deve necessariamente informare e fornire consulenza al Titolare, sorvegliare l’attuazione e l’applicazione, fornire, se richiesto, un parere, cooperare con l’Autorità di controllo, fungere da punto di contatto.

La presenza del DPO aumenta la conformità alla normativa all’evidenza dell’Autorità Garante, degli interessati e dell’opinione pubblica.

Tanto premesso e, considerato che ad oggi non è intervenuto da parte del MIUR nessun atto ufficiale di indirizzo avente ad oggetto indicazioni attuativo /operative in materia, si deve prendere atto di uno stato di generale incertezza e disorientamento sia riguardo all’esatta interpretazione delle norme del “Regolamento” che alla corretta attuazione delle stesse.

Tale situazione, non contribuisce certo positivamente a stemperare un sempre più diffuso senso di insofferenza e disagio generato dalla pletora immane di impegni, scadenze, adempimenti che stanno man mano rendendo sempre più ardua, se non impossibile, l’ottimale gestione dell’attività amministrativa delle scuole.

In attesa non ci resta che sperare che qualcosa cambi, ma si sa … “spes ultima dea” …!

Nel frattempo, però le scuole non possono “permettersi il lusso” di sottrarsi agli adempimenti prescritti dal Regolamento Europeo di anzi sinteticamente riassunti.

Lì, 22.05.2018                                   

IL DIRIGENTE NAZIONALE

Salvatore Gallo

IL PRESIDENTE

 Giorgio Germani