L’applicazione del Regolamento europeo 679/16 all’interno di una scuola necessita di una particolare attenzione nell’organizzare il percorso di adeguamento che coinvolge sia il corpo insegnanti sia gli alunni, sia la famiglia stwessa degli studenti, chiamati a “collaborare” con i docenti affinchè il trattamento dei dati personali dei propri figli sia il più possibile lecito e sicuro.
Tali figure non sono le sole ad essere coinvolte nella compliance al GDPR.
Ed invero, proprio per le peculiarità dei delicati trattamenti nonché per l’ampia eterogeneità della tipologia dei dati trattati da ogni Istituto, come già visto nel precedente contributo (GDPR e SCUOLA: I parte) è consigliabile che nelle scuole si proceda alla nomina di un Responsabile per la protezione dei dati (data-protection-officer).
Brevemente, si ricorda al lettore che tale figura rappresenta una delle tante novità introdotte dal Regolamento GDPR.
Nello specifico, Il DPO ha la funzione di affiancare titolare e i soggetti autorizzati coadiuvandoli al rispetto dei principi e delle misure di protezione dei dati imposte dal Regolamento europeo.
Il DPO è un consulente che svolge il proprio ruolo in completa autonomia e indipendenza, fornendo pareri di natura tecnico- legale.
Il suo ruolo è caratterizzato da una “doppia anima” in quanto, ai sensi dell’articolo 39 GDPR, non solo è chiamato ad intervenire qualora un soggetto interessato lo richieda espressamente, ma ha anche il compito di consigliare e sorvegliare l’applicazione del Regolamento GDPR, fungendo da tramite fra l’organizzazione e l’Autorità Garante.
Il DPO può essere un soggetto esterno o interno all’Istituto. Qualora si opti per un soggetto esterno, l’Istituto procederà a stipulare un contratto di servizio con la persona – fisica o giuridica – aggiudicataria della procedura selettiva, nella quale saranno indicati i requisiti di partecipazione, la durata e le caratteristiche di esecuzione della prestazione. Il contratto dovrà poi individuare in maniera inequivocabile il soggetto che opererà come responsabile della protezione dei dati disciplinando compiutamente tutto quanto previsto dalla normativa di riferimento.
Il ruolo di RPD può essere affidato anche a soggetto interno all’Istituto la cui nomina andrà formalizzata, anche qui, con un atto di designazione. Da tale atto, oltre ai compiti e alle funzioni che vengono assegnate al DPO, dovranno emergere le motivazioni che hanno determinato la scelta di individuare il proprio responsabile della protezione dei dati nella persona fisica selezionata.
Come precisato dal Garante, la specificazione dei criteri utilizzati nella valutazione compiuta dall’Istituto nella scelta di tale figura, oltre a essere indice di trasparenza e buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di responsabilizzazione (la cd. “accountability”).
Nell’attribuzione interna del ruolo del DPO, il titolare dovrà porre particolare attenzione a che gli altri compiti e funzioni svolti dal dipendente non determinino, anche solo in potenza, alcun conflitto di interessi.
Le attività che il DPO sarà chiamato a svolgere funzioni “ibride” come, a titolo esemplificativo:
1. informare e fornire consulenza al titolare;
2. curare la formazione del personale;
3. sorvegliare l’osservanza della normativa;
4. fornire un parere in merito alle valutazioni d’impatto (se richiesto);
5. cooperare con l’autorità di controllo (che in Italia è il Garante per la protezione dei dati personali);
6. fungere da punto di contatto tra l’Autorità Garante e il titolare.
In linea di principio, la scelta del DPO dovrà ricadere su di un dirigente o un funzionario di alta professionalità che possa svolgere le proprie funzioni in autonomia e indipendenza senza necessità di ricevere al riguardo istruzioni da parte del titolare su come espletare le funzioni attribuitegli.
Al fine di garantire al DPO il corretto svolgimento delle proprie funzioni, avuto riguardo anche al grado di complessità dei trattamenti e dell’organizzazione, il titolare dovrà fornire al responsabile della protezione dei dati le risorse necessarie per assolvere ai compiti demandati, accedere ai dati personali e ai trattamenti e mantenere la propria conoscenza specialistica. Talora potrebbe dunque prospettarsi l’opportunità di realizzare un’unità o gruppo di lavoro sotto il diretto controllo del RPD il quale indicherà a ciascun collaboratore i compiti assegnati. In tal caso il DPO resterà sempre e comunque il punto di contatto nelle relazioni con il titolare.