privacy

GDPR e privacy: due elementi che riguardano la scuola

La figura del Responsabile del trattamento dei dati personali e la valutazione di impatto: due elementi introdotti dal GDPR che riguardano da vicino la scuola.

Il nuovo regolamento sulla privacy e il trattamento dei dati personali (GDPR) entrato in vigore il 25 maggio 2018, riguarda anche il mondo della scuola.

L’articolo 37 infatti prevede che i soggetti pubblici e privati individuino all’interno del proprio personale o in una figura esterna, un Responsabile della protezione dei dati (anche conosciuto con il termine di DPO – Data Protection Officer). Il nominativo del responsabile deve essere comunicato al Garante, in modo da garantire un canale di comunicazione diretto con le autorità. Può essere incaricato anche solo un responsabile della protezione per più autorità pubbliche o organismi pubblici, in base alla loro struttura organizzativa.

Il regolamento stabilisce anche i requisiti che deve possedere il DPO: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

Un altro elemento che può riguardare la scuola è la valutazione di impatto: questa valutazione deve essere effettuata per capire quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (per esempio a causa del monitoraggio sistematico dei loro comportamenti).

Il Garante ha evidenziato che “Le valutazioni d’impatto sulla protezione dei dati sono strumenti importanti per la responsabilizzazione in quanto sostengono i titolari del trattamento non soltanto nel rispettare i requisiti del regolamento generale sulla protezione dei dati, ma anche nel dimostrare che sono state adottate misure appropriate per garantire il rispetto del regolamento (cfr. anche l’articolo 24)5. In altre parole, una valutazione d’impatto sulla protezione dei dati è un processo inteso a garantire e dimostrare la conformità. A norma del regolamento generale sulla protezione dei dati, l’inosservanza dei requisiti stabiliti per la valutazione d’impatto sulla protezione dei dati può portare a sanzioni pecuniarie imposte dall’autorità. Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l’osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.”

Questa valutazione dovrebbe essere effettuata sul registro elettronico, strumento introdotto nella scuola dal 2012, il quale è diventato una forma di controllo nei confronti dei lavoratori: tramite il registro elettronico i genitori possono tenere monitorati non solo i voti dei propri figli, ma anche la tempestività del docente nell’inserire tali dati; un’altra forma di controllo è la registrazione dell’orario in cui il docente firma il registro.

Renova Consulenza, grazie alla collaborazione con beta imprese, viene incontro alla regolarizzazione delle scuole in tema privacy, proponendo un corso formativo per la figura di DPO.