Privacy, nuovo regolamento europeo. Cosa devono fare le scuole?

di Gianlorenzo Perri

item-thumbnail

Il regolamento (UE) 2016/679 (entrato in vigore in tutta la comunità Europea il 29 maggio 2018) rappresenta la direttiva emanata dal Parlamento Europeo in materia di privacy.

Tale direttiva mira a indicare i parametri di “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” (art. 1 par

Questo regolamento “General Data Protection Regulation”, noto come GDPR, abroga la direttiva 95/46 (Direttiva che ha attivato in italia il Codice della Privacy) e si pone rispetto a quest’ultimo in una situazione tecnologica e informatica distante anni luce rispetto a quella presente nel 1995. Basta pensare a come il mondo di internet, dei social media, dei servizi in rete e di gestione dei dati ha completamente cambiato la nostra vita in ambito personale e lavorativo.

E’ importante tenere a mente però che tale regolamento non abroga le leggi nazionali che disciplinano l’ambito della privacy attualmente in vigore – D.lgs n. 196 del 2003 e successive modifiche – a meno che le sue indicazioni non si trovino in contrasto con quanto indicato del GDPR.

La data del 25 maggio 2018 rappresenta l’inizio del riesame di una serie di misure di sicurezza da adottare nelle Istituzioni Scolastiche.

Le procedure proposte in tale decreto non sono un mero regolamento tecnico di misure minime di sicurezza da adottare, ma spostano il baricentro dell’attenzione sulla responsabilità del titolare del trattamento dei dati. A tal fine quest’ultimo, a seguito di un’attenta analisi, dovrà attivare una serie di procedure di sicurezza al fine di garantire la privacy dei dati personali trattati.

L’attività di valutazione attiva una decodificazione giuridica finalizzata alla verifica delle regole, documenti e procedure interne al fine di rispettare gli obblighi del GDPR.

Tale attività viene “gravata” dal fatto che il GDPR non fornisce indicazioni specifiche in tale direzione ma richiede misure sufficienti al rispetto di tale normativa.

In che direzione devono quindi muoversi le scuole per adeguarsi al GDPR?

Le scuole hanno come priorità quella di definire chi, tra il proprio personale, debba occuparsi di adeguare le procedure interne al GDPR. Questo però non vuol dire riformare interamente le procedure di gestione della privacy esistenti, tutt’altro, queste devono essere mantenute e utilizzate come base per lo sviluppo e l’adeguamento al nuovo regolamento.

Tre sono gli adempimenti fondamentali imposti dal GDPR:

  • La nomina di un responsabile della protezione dei dati DPO (Data Protection Officer).

Tra i compiti del DPO rientrano la formazione, la sensibilizzazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto.

  • L’attivazione (a partire dal 25 maggio 2018) e l’aggiornamento di un registro delle attività di trattamento dati.

Deve essere in forma scritta, anche elettronica e deve essere esibito su richiesta al garante. Questo è uno strumento fondamentale per tracciare un quadro aggiornato dei dati trattati.

  • La notifica delle violazioni dei dati personali.

I fornitori di servizi di comunicazione dovranno entro 72 ore notificare le eventuali violazioni di dati personali.

Versione stampabile
Argomenti: