– Il Miur ha emanato la nota 0000563 del 22 maggio 2018 per fornire prime indicazioni alle istituzioni scolastiche
per la nomina del Responsabile della protezione dei dati personali.
Ogni scuola deve avere un Responsabile della protezione dei dati personali
Ciascun istituto scolastico, in virtù della propria autonomia, deve dotarsi in via prioritaria del Responsabile della protezione dati personali. Tale figura, interna o esterna.
E’ consentito a più scuole di avvalersi di un unico Responsabile.
Requisiti
Si legge nella nota “tale figura deve essere connotata dai requisiti di autonomia e indipendenza, operare senza conflitto di interessi e possedere specifiche competenze in materia di trattamento dei dati personali”
Corso di formazione di 9 ore
Il MIUR provvederà a rendere accessibile entro la prossima settimana a tutto il personale scolastico il corso di formazione on line, della durata di nove ore, in questi giorni fruito dal personale del Ministero.
Nelle prossime settimane verrà, poi, definita l’organizzazione di un sistema di formazione a rete, prevedendo degli incontri formativi interregionali indirizzati in via prioritaria ai dirigenti scolastici e ai direttori dei servizi generali ed amministrativi (DSGA).
Infine, per supportare ulteriormente le istituzioni scolastiche, al fine di assicurare la creazione di un corretto sistema di protezione dei dati personali, sarà trasmesso nelle prossime settimane un modello standard di Registro delle attività di trattamento dei dati personali come previsto dall’articolo 30 del succitato Regolamento
Regolamento europeo privacy, in vigore dal 25 maggio. Alcuni punti chiave
Il 25 maggio p.v., com’è noto, entrerà in vigore il Regolamento europeo riguardante la protezione dei dati personali, al quale devono adeguarsi anche le scuole.
L’Anquap, in prossimità della scadenza, ha sintetizzato alcuni punti fondamentali del Regolamento, che riportiamo di seguito.
Il Regolamento:
- disciplina la contitolarità del trattamento dei dati (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati;
- stabilisce più dettagliatamente (rispetto al Codice Privacy, di cui al d.lgs. 196/2003) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
- consente la nomina di sub–responsabili del trattamento da parte di un responsabile (art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (art. 82, paragrafo 1 e paragrafo 3);
- prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD-DPO nei casi previsti dal regolamento o dal diritto nazionale (art. 37 del regolamento).
- definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice Privacy, d.lgs. 196/2003 attualmente in vigore.
- non prevede espressamente la figura dell’“incaricato” del trattamento (ex art. 30 Codice Privacy), ma non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (art. 4, n. 10, del regolamento).
Indicazioni informali Miur
Il 18 maggio u.s., si è svolto un
incontro al Miur, nel corso del quale l’Amministrazione ha comunicato ai sindacati che avrebbe emanato una nota al fine di fornire apposite indicazioni alle scuole. Pubblicazione ancora non avvenuta.
Nella nota (da pubblicare), secondo quanto riferito dalle OO.SS., l’amministrazione dovrebbe fornire indicazioni in merito a:
- procedure di nomina dei RDP che saranno coordinate dagli Uffici Scolastici e porteranno alla designazione di un solo RPD per le scuole della stessa area territoriale;
- percorso di formazione di dirigenti scolastici e direttori dei servizi (una piattaforma di formazione sarà disponibile tra un paio di settimane e sono previste iniziative in presenza con utilizzo dei fondi PON).
--