GDPR – Più di 8 milioni di euro di sanzioni riscosse, a rischio anche le scuole: come evitarle
Ad un anno dall’entrata in vigore del GDPR, ne analizziamo i primi importanti effetti che il Garante privacy ha riportato nella sua ultima relazione annuale.
E’ trascorso un anno dall’entrata in vigore del GDPR, in italiano: RGPD – Regolamento Generale sulla Protezione dei Dati personali e l’intervento del Garante privacy si è fatto sentire. I numeri che il Presidente uscente Soro ha riportato nella sua ultima relazione annuale sono importanti: 5.640 riscontri a segnalazioni e reclami, 159 ordinanze-ingiunzione, 150 ispezioni, 27 comunicazioni all’autorità giudiziaria, 488 sanzioni contestate, più di 8 milioni di euro di sanzioni riscosse.
Nell’anno trascorso, tante organizzazioni, pubbliche o private, hanno lavorato per l’adeguamento dei propri metodi operativi rispetto alle nuove norme sulla protezione dei dati personali, ed hanno compreso che non è sufficiente compilare moduli e distribuire lettere di nomina al proprio personale.
Le scuole, in particolare, hanno messo a fuoco il proprio ruolo costante di “Titolare delle attività di trattamento”, ossia di soggetto che determina le finalità ed i mezzi per le proprie continue acquisizioni di dati personali (degli alunni, delle famiglie, del personale, …), e ne affida spesso “il trattamento”, cioè l’elaborazione, la conservazione, etc. ad altri soggetti: i cosiddetti “Responsabili del trattamento”, ossia i “Processors”, come come sono chiamati nella versione del GDPR in lingua inglese.
Ciò che il GDPR chiede a tutte le organizzazioni che trattano dati personali, e quindi anche alle scuole, è una nuova maturità e consapevolezza, una nuova “accountability“. Più che semplicemente “responsabilizzazione”, questo termine deve essere letto come quella condizione in cui si è in grado “di dare conto” ai terzi del perché raccogliamo dati personali e del come li trattiamo: una chiara e solida evidenza della propria accountability è il miglior modo per affrontare qualsiasi contestazione di terzi innanzi al Garante e/o innanzi alla Magistratura ordinaria.
Per questa primaria finalità abbiamo impostato la nostra attività come DPO certificati secondo la norma UNI 11697 ed abbiamo organizzato i nostri team di assistenza privacy ed il nostro modo di lavorare. Oggi diamo un supporto strutturato, continuo e facilmente accessibile ai nostri assistiti, attraverso un back-office online in cui le competenze legali e quelle tecnologiche permettono di affrontare qualsiasi quesito o evenienza. Cerchiamo di guidare i nostri assistiti nel processo di una sempre maggiore comprensione delle dinamiche con le quali le tecnologie informatiche, i social, la rete incidono sui diritti e le libertà delle persone i cui dati ci troviamo a trattare. La formazione, quindi: non già generale ed astratta, ma finalizzata ad organizzarci e ad operare riducendo al minimo il rischio di contestazioni dei nostri “interessati” (coloro i cui dati personali trattiamo) e di sanzioni conseguenti. Con una piena comprensione delle problematiche, i nostri assistiti affrontano facilmente il percorso di adeguamento organizzativo e tecnico al GDPR, anche attraverso la predisposizione di modelli, informative e lettere di designazione e nomina, che di esso costituiscono solo un piccolo tassello.
Facendo tesoro dell’opportunità di lavorare con un significativo numero di committenti che ci hanno attribuito l’incarico di DPO, siamo riusciti ad ottimizzare un servizio uno-a-uno, cioè individuale e personalizzato, nel quale ciascun committente viene affidato ad un nostro responsabile, sempre raggiungibile online, di raccordo fra committente e back-office multi-disciplinare interno. Senza ricorrere a software commerciali più o meno sfuocati, abbiamo perfezionato un sistema informatico specifico e finalizzato anzitutto a dare evidenza dell’accountability, non solo a …produrre pre-stampati. Presto apriremo il sistema ai nostri committenti, in modo che possano essi stessi accedere al proprio dossier privacy, con il vantaggio di disporre del quadro dinamico della propria situazione in materia di protezione dati.
Anche sul piano della formazione ci accingiamo ad introdurre alcune novità, fra le quali spicca un webinar dedicato agli studenti, con il quale vorremmo trasmettere loro, con concretezza ed attraverso esempi pratici, quella consapevolezza, spesso carente, sui diritti e soprattutto sui doveri e sui rischi che li investono come cittadini della rete.
Altre informazioni, con i nostri contatti, sono disponibili all’indirizzo: http://www.afasystems.it/gdpr
Il nostro servizio DPO può essere acquistato tramite il portale MePA
Codice MePA: AFA-DPO400 (per Istituzione Scolastica fino a 400 alunni)
Codice MePA: AFA-DPO800 (per Istituzione Scolastica fino a 800 alunni)
Codice MePA: AFA-DPO1500 (per Istituzione Scolastica fino a 1500 alunni)
Oltre 1.500 alunni e raggruppamenti di scuole (es. reti di scuole): quotazione su richiesta al numero verde 800 852 640