GDPR, incarico responsabile protezione dati (D.P.O.): quali compiti. Modello di nomina

Stampa

Se sei stato nominato Responsabile della protezione dei dati (DPO) della tua scuola? Probabilmente ti starai chiedendo cosa devi fare dopo. Per aiutarti a comprendere il ruolo e le responsabilità di essere un DPO, esamineremo tutto ciò che devi sapere sull’essere il DPO della tua scuola.

Il GDRP: cos’è?

Il Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR) è la normativa europea in materia di protezione dei dati.

Regolamento

Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018.
Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell’Unione ed è attuato allo stesso modo in tutti gli Stati dell’Unione senza margini di libertà nell’adattamento (tranne per le parti per le quali si prevede espressamente delle possibilità di deroga). Il suo scopo è, infatti, la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea. Questo perché col Trattato di Lisbona la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va garantito allo stesso modo in tutto il territorio dell’Unione. Aumentando la fiducia dei cittadini nella società digitale, grazie alla tutela più stringente, il regolamento è funzionale allo sviluppo digitale dell’Unione europea, e tutela anche la libertà di circolazione dei dati personali.

Il consenso

Col regolamento europeo si passa da una visione proprietaria del dato, in base alla quale non lo si può trattare senza consenso, ad una visione di controllo del dato, che favorisce la libera circolazione dello stesso rafforzando nel contempo i diritti dell’interessato, il quale deve poter sapere se i suoi dati sono usati e come vengono usati per tutelare lui e l’intera collettività dai rischi insiti nel trattamento dei dati.

Cosa dice il GDPR che dovrai fare?

L’articolo 39 del Regolamento generale sulla protezione dei dati (GDPR) afferma che i compiti del DPO includono:

“A) informare e consigliare il responsabile del trattamento o il responsabile del trattamento e i dipendenti che eseguono il trattamento dei loro obblighi ai sensi del presente regolamento e di altre […] disposizioni sulla protezione dei dati;

b) monitorare la conformità al presente regolamento, ad altre […] disposizioni in materia di protezione dei dati e alle politiche del titolare del trattamento o del responsabile del trattamento in relazione alla protezione dei dati personali, compresa l’assegnazione di responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento e relativi audit;

c) fornire consulenza, ove richiesto, per quanto riguarda la valutazione d’impatto sulla protezione dei dati e monitorarne le prestazioni […];

(d) collaborare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo su questioni relative al trattamento […] e consultare , se del caso, in merito a qualsiasi altra questione. ”

Ma cosa significa veramente?

In termini più semplici, come DPO designato dalla tua scuola, ti verrà richiesto di:

Conformità del monitoraggio

• assicurati che la tua scuola sia conforme al GDPR;
• raccogliere informazioni sulle attività di elaborazione dei dati della tua scuola;
• analizzare e verificare che le attività di elaborazione dati della tua scuola siano conformi;
• consigliare Il personale in merito alla conformità della tua scuola;

Formazione

• garantire che tutto il personale scolastico coinvolto nell’elaborazione dei dati sia adeguatamente formato;
• istruire tutto il personale scolastico sui requisiti di conformità al GDPR;

Contatto

• fungere da punto di contatto tra la tua scuola e le autorità di controllo del GDPR;
• comunicare con gli interessati per informarli su come vengono utilizzati i loro dati.

Il record delle attività elaborate

mantenere registrazioni complete di tutte le attività di elaborazione dei dati condotte dalla propria scuola.

Ma da dove inizi?

Comprendiamo che queste attività possano sembrare piuttosto scoraggianti all’inizio. Come primo passo, dovresti svolgere alcune delle tue ricerche sui requisiti del GDPR e sulle responsabilità specifiche di un DPO.

Chi ti può aiutare?

Durante il tuo ruolo di DPO ti verrà richiesto di impegnarti direttamente con il dirigente scolastico della tua scuola. Se non lo facessi già, dovresti organizzare un incontro il prima possibile con il tuo DS per discutere le tue responsabilità e assicurarti di capire come i dati vengono controllati ed elaborati nella tua scuola.

Il GDPR e le sue richieste

Il GDPR richiede che:
Riporti al più alto livello dirigenziale della tua scuola;
Agire in modo indipendente per non essere penalizzato per aver svolto il tuo ruolo di DPO.
È quindi importante che tu abbia il pieno supporto e assistenza del tuo DS.

Personale operativo

Dovrai anche collaborare con il personale ATA della tua scuola che gestisce i dati personali su base giornaliera. Ciò può includere:

  • gestori di rete;
  • rapporti con il DSGA;
  • responsabili della ristorazione;
  • personale docente (in particolare i fiduciari di plesso e, in primis, i collaboratori del DS).

È importante comunicare con il personale operativo della tua scuola in quanto saranno le persone migliori per aiutarti a comprendere i meccanismi ei processi utilizzati dalla tua scuola per controllare ed elaborare i dati, anche, su base giornaliera.

Ora che hai capito il tuo ruolo, cosa devi controllare?

Come punto di partenza, è una buona idea iniziare a verificare i meccanismi attualmente in atto in relazione ai dati personali nella tua scuola. È necessario eseguire una serie di controlli in modo da poter rispondere alle seguenti domande:

Dove vengono archiviati i dati personali della tua scuola?

Ad esempio, può essere archiviato in archivi, sistemi di messaggistica di posta elettronica, dischi rigidi di computer o registratori video e audio.
Ricorda di considerare tutti i dati scritti, audio e video.

Come vengono utilizzati i dati personali nella tua scuola?

Pensa a come vengono raccolti e registrati i dati; per quanto tempo vengono conservati i dati; quando verranno cancellati i dati; qual è la base giuridica per il trattamento dei dati? In che modo la tua scuola raccoglie e registra il consenso (ove richiesto) all’uso dei dati?

La tua scuola dispone di una politica sulla protezione dei dati? Questo è seguito da tutto il personale?

Considera se il personale della tua scuola memorizza e utilizza correttamente i dati personali.
Ad esempio, se la politica di conservazione dei dati della tua scuola prevede di conservare i dati personali di un alunno per un anno dopo che ha lasciato la scuola, questa politica viene seguita?

Vengono segnalate violazioni dei dati?

Quale formazione è attualmente offerta al personale scolastico sulla protezione dei dati? Questa formazione è stata registrata?
La tua scuola offre corsi online sulla protezione dei dati, giornate di formazione, ecc.?
La tua scuola ha una registrazione di tutta la formazione sulla protezione dei dati?
Tutto il personale della scuola ha compreso l’importanza di rispettare le leggi sulla protezione dei dati?
Assicurati di considerare tutto il personale: dal dirigente scolastico agli addetti alle pulizie.

Suggerimento

È buona norma tenere un registro delle risposte alle domande precedenti! Le prove sono utili per gli audit e anche durante le indagini se si verifica effettivamente una violazione dei dati!

La normativa di riferimento?

D. L.gs 101/2018 adeguamento della normativa nazionale alle disposizioni del Regolamento UE/2016/679.

R.D. 18 novembre 1923, n. 2440, concernente l’amministrazione del Patrimonio e la Contabilità Generale dello Stato ed il relativo Regolamento approvato con R.D. 23 maggio 1924, n. 827 e ss.mm.ii.;

Legge 7 agosto 1990, n. 241 “Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi e ss.mm.ii.;

D.P.R. 8 marzo 1999, n. 275, concernente il regolamento recante norme in materia di autonomia delle Istituzioni Scolastiche, ai sensi della legge 15 marzo 1997, n. 59;

Legge 15 marzo 1997, n. 59, concernente “Delega al governo per il conferimento di funzioni e compiti alle regioni ed enti locali, per la riforma della Pubblica Amministrazione e per la semplificazione amministrativa”;

Decreto legislativo 30 marzo 2001, n. 165 recante “Norme generali sull’ordinamento del lavoro alle dipendenze della Amministrazioni Pubbliche” e ss.mm.ii.;

Art. 36 del D.Lgs. 50/2016 “attuazione delle direttive 2014/23/UE, 2014/24/UE e 2014/25/UE” ;

D. Lgs. 56/2017 “Codice dei contratti pubblici di lavori, servizi e forniture”;

Regolamento di esecuzione del codice dei Contratti Pubblici (D.P.R. n. 207/2010);

D.I. 44/2001;

Legge 13 agosto 2010 n. 136 e ss.mm.ii.;

Legge n. 106 del 12 luglio 2011 di conversione del D.L. n. 70 del 13 maggio 2011;

Linee guida n. 4 attuative del Nuovo Codice Appalti emesse dall’ ANAC relative alle “procedure per l’affidamento dei contratti pubblici di importo inferiore alle soglie di rilevanza comunitaria, indagini di mercato e formazione e gestione degli elenchi di operatori economici”;

Art. 36 del D.Lvo 50/2016 per gli acquisti con affidamento diretto e inferiore ai 5000,00 euro importo deliberato dal Consiglio di Istituto nella seduta del 13/09/2016per ricorrere alla procedura di affidamento diretto ex art. 34 comma 1 del D.I. 44/2001;

Regolamento dell’Unione Europea 2016/679, in vigore dal 25 maggio;

Regolamento UE 679/2016 – Regolamento Generale sulla Protezione dei Dati (GDPR) le misure di protezione dei dati personali che sono trattati durante l’espletamento delle proprie funzioni istituzionali con l’introduzione della figura del Responsabile dei dati personali (RDP) – artt. 37-39;

Circolare MIUR 563 del 22 maggio 2018, che raccomanda alle Istituzioni Scolastiche la nomina del D.P.O.

Il modello allegato

Alleghiamo al nostro articolo un modello di “Avviso interno per l’affidamento dell’incarico di “Responsabile della protezione dei dati personali” (Data Protection Officer- DPO) per gli adempimenti previsti dal Regolamento U.E 2016/679”. Molte scuole, per la verità, hanno già predisposto, più o meno adeguatamente una modulistica per tale adempimento. Una fra tutte, come ottima prassi, quello dell’IISS Rosa Luxemburg di Acquaviva delle Fonti. Il modello che rendiamo disponibile, naturalmente, va adattato alle esigenze e all’organizzazione di ciascun istituto.

Scarica allegato di nomina

Stampa

Eurosofia, scopri un modo nuovo e creativo per approcciarti all’arte: “Il metodo del diario visivo” ideato da Federica Ciribì