La scelta del Responsabile della Protezione dei Dati nella scuola pubblica: gli errori da evitare

di Avv. Bruno Cantarone
ipsef

item-thumbnail

L’art. 37 del GDPR impone alle pubbliche amministrazioni in genere, e pertanto anche alle scuole statali di ogni ordine e grado, la obbligatoria designazione del Responsabile della Protezione dei Dati, che i Dirigenti scolastici ricercano, in primo luogo, tra il personale interno.

I presupposti normativi che determinano questa prassi sono evidentemente costituiti, da un lato, dal comma 6 dello stesso art. 37 del Regolamento UE 2016/679 e, dall’altro lato, dall’art. 7, comma 6, del D. Lgs. 165/2001 (recante “Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche”).

Il primo espressamente ammette che il Responsabile della Protezione dei Dati possa essere un “dipendente del titolare del trattamento o del responsabile del trattamento”.

Il secondo invece subordina la possibilità per le pubbliche amministrazioni di conferire incarichi individuali con contratti di lavoro autonomo, alla concreta sussistenza di determinati presupposti di legittimità fra i quali, per quello che qui interessa, vi è il preliminare accertamento della impossibilità oggettiva di utilizzare le risorse umane disponibili al loro interno.

Sulla scorta di tali indicazioni, lo svolgimento dei compiti che il GDPR pone in capo al Responsabile della Protezione dei dati viene quindi affidato dai Dirigenti scolastici, di preferenza, a soggetti interni che normalmente appartengono al corpo docente o al personale amministrativo, tecnico e ausiliario.

Si tratta di un favor che, legittimo dal punto di vista strettamente formale, lo diventa anche nella sostanza solo laddove il soggetto interno che risponde alla chiamata risulti in possesso del doppio requisito fissato dal comma 5 dell’art. 37 del GDPR, abbia cioè adeguate “qualità professionali” (che comprendono la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati ma non si esauriscono in essa), nonché la effettiva “capacità di assolvere i compiti” di cui all’art. 39.

Sotto il primo aspetto, a specificare le qualità professionali che il Responsabile della Protezione dei dati (interno o esterno che sia) deve necessariamente avere, è intervenuta una pronuncia del Tribunale Amministrativo Regionale del Friuli Venezia Giulia, la sentenza n. 287/2018, stabilendo che resta “la minuziosa conoscenza e l’applicazione della disciplina di settore … il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.”.

Così delineato il profilo professionale del candidato ideale, il novero dei titoli di accesso alla procedura di selezione per l’affidamento dell’incarico di Responsabile della Protezione dei Dati nelle istituzioni scolastiche pubbliche, dovrebbe risultare più ristretto rispetto a quello che di frequente si riscontra invece nei relativi avvisi pubblici.

Non riservati a giuristi, simili bandi infatti comprendono (ove addirittura non richiedono in via esclusiva) quali titoli di accesso alla selezione, quelli afferenti gli ambiti tecnico-informatici.

E’ la prima “forzatura” da correggere: il professionista che meglio è in grado di svolgere il ruolo di Responsabile della Protezione dei Dati è, di elezione, un giurista piuttosto che un informatico.

Il secondo errore evitabile deriva dalla omessa o superficiale valutazione dell’altro requisito che, ai sensi dell’art. 37, comma 5, del GDPR, deve indefettibilmente sussistere in capo al Responsabile della Protezione dei Dati, ossia della sua effettiva “capacità di assolvere i compiti” di cui all’art. 39.

Ammesso che il Dirigente possa rinvenire, all’interno dell’organizzazione scolastica, un dipendente in possesso di adeguate “qualità professionali” (il riferimento alla “professionalità”, è bene ribadirlo, supera di gran lunga la mera conoscenza specialistica della materia), e che queste qualità siano del tutto coerenti con il profilo (eminentemente giuridico) da ricercare, resta sempre da verificare, in concreto e con un certo rigore, se la sua eventuale designazione soddisfi anche il requisito della “capacità di assolvere i compiti” connessi.

La questione, posta in termini più diretti ed espliciti, è la seguente: un Responsabile della Protezione dei Dati stabilmente incardinato (ad altro titolo, magari come docente di scienze giuridico-economiche) nella stessa organizzazione scolastica che lo designa, potrà effettivamente svolgere tale delicato ruolo con la necessaria indipendenza, in piena libertà e senza condizionamenti di sorta?

E’ lecito dubitarne perché si tratterebbe in ogni caso di un esercizio molto difficile considerando che, ad esempio, un Responsabile interno inevitabilmente si trova ad assommare in sé tre diversi ruoli con riferimento ai dati personali trattati all’interno della scuola:

  1. interessato dal trattamento, per quanto riguarda i suoi dati personali che, come dipendente, l’amministrazione ordinariamente tratta;
  2. autorizzato/incaricato al trattamento, per quanto riguarda i dati di terzi che lui stesso tratta nel quotidiano disimpegno delle sue mansioni quale lavoratore subordinato;
  3. Responsabile della Protezione dei Dati, per effetto della designazione.

Oltre alla doppia veste di sorvegliante e sorvegliato che assumerebbe, un ulteriore elemento di contraddizione deriverebbe poi nel fatto che, mentre come Responsabile della Protezione dei Dati egli non deve ricevere alcuna istruzione in merito alla esecuzione dei relativi compiti (art. 38, comma 3), come soggetto autorizzato al trattamento dei dati personali sotto l’autorità del titolare deve, al contrario, attenersi strettamente alle istruzioni obbligatoriamente ricevute da quest’ultimo (art. 29).

Poniamo allora la eventualità che tali istruzioni non siano pienamente conformi al GDPR. Come dovrebbe comportarsi in quel caso il soggetto interno designato? Dovrebbe applicarle (essendovi tenuto come autorizzato) o disattenderle (in base ad una valutazione effettuata come Responsabile della Protezione dei Dati)?

E il catalogo delle cause potenzialmente in grado di interferire con il corretto ed efficace svolgimento del ruolo di Responsabile della Protezione di Dati potrebbe ancora continuare: si pensi ai rapporti personali e di colleganza instauratisi con la frequentazione quotidiana, al metus reverenziale nei confronti del Dirigente, alla sottoposizione funzionale rispetto a quest’ultimo, e così via.

Proviamo quindi a giungere ad alcune conclusioni.

E’ vero che il Responsabile della Protezione dei Dati può essere un dipendente del titolare: lo prevede il comma 6 dell’art. 37. Ed è anche vero che egli può svolgere altri compiti e funzioni: lo consente la prima parte del comma 6 dell’art. 38, che però prosegue – è questo il punto forse sottovalutato – imponendo al titolare del trattamento di assicurarsi che tali compiti e funzioni “non diano adito a un conflitto di interessi”.

Ebbene, proprio l’obbligo di evitare il rischio anche solo potenziale che il Responsabile della Protezione dei Dati venga a trovarsi, nell’esercizio di tale importante funzione, in situazione di latente conflitto di interessi, dovrebbe indurre i Dirigenti scolastici a rinunciare alla designazione domestica, effettuando un bilanciamento tra le opposte esigenze in gioco (da una parte, quelle espresse dall’art. 7, comma 6, del D. Lgs. 165/2001 e dall’altra quella, appunto, di evitare al designato pericolose sovrapposizioni di ruoli o interferenze pregiudizievoli nello svolgimento dell’incarico) ed accordando preferenza a quella, fra le due, che meglio è in grado di garantire l’effettività dell’intero sistema di norme a protezione dei dati (e quindi delle persone fisiche alle quali essi appartengono), piuttosto che a quella che, supinamente adagiata sulla lettera della legge, al massimo, conduce ad una apparente compliance.

Bruno Cantarone, avvocato cassazionista, Privacy Officer, consulente e formatore privacy nonché Responsabile della Protezione dei Dati per numerose istituzioni scolastiche pubbliche di ogni ordine e grado.

Vedi anche

Scuole, privacy e GDPR. Il registro delle attività di trattamento: cos’è, cosa contiene, criticità modello Ministeriale

Gestione privacy dopo il GDPR, qual è il ruolo del DSGA

GDPR, sicurezza del trattamento e data breaches: cosa deve fare la scuola per evitare o gestire le violazioni della sicurezza dei dati

Versione stampabile
Argomenti:
anief banner
soloformazione