Regolamento europeo privacy, in vigore dal 25 maggio. Alcuni punti chiave in attesa della nota Miur

di redazione
ipsef

item-thumbnail

Il 25 maggio p.v., com’è noto, entrerà in vigore il Regolamento europeo riguardante la protezione dei dati personali, al quale devono adeguarsi anche le scuole.

L’Anquap, in prossimità della scadenza, ha sintetizzato alcuni punti fondamentali del Regolamento, che riportiamo di seguito.

Il Regolamento:

  • disciplina la contitolarità del trattamento dei dati (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati;
  • stabilisce più dettagliatamente (rispetto al Codice Privacy, di cui al d.lgs. 196/2003) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
  • consente la nomina di subresponsabili del trattamento da parte di un responsabile (art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (art. 82, paragrafo 1 e paragrafo 3);
  • prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD-DPO nei casi previsti dal regolamento o dal diritto nazionale (art. 37 del regolamento).
  • definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice Privacy, d.lgs. 196/2003 attualmente in vigore.
  • non prevede espressamente la figura dell’“incaricato” del trattamento (ex art. 30 Codice Privacy), ma non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (art. 4, n. 10, del regolamento).

Indicazioni informali Miur

Il 18 maggio u.s., si è svolto un incontro al Miur, nel corso del quale l’Amministrazione ha comunicato ai sindacati che avrebbe emanato una nota al fine di fornire apposite indicazioni alle scuole. Pubblicazione ancora non avvenuta.

Nella nota (da pubblicare), secondo quanto riferito dalle OO.SS., l’amministrazione dovrebbe fornire indicazioni in merito a:

  • procedure di nomina dei RDP che saranno coordinate dagli Uffici Scolastici e porteranno alla designazione di un solo RPD per le scuole della stessa area territoriale;
  • percorso di formazione di dirigenti scolastici e direttori dei servizi (una piattaforma di formazione sarà disponibile tra un paio di settimane e sono previste iniziative in presenza con utilizzo dei fondi PON).
Versione stampabile
Argomenti:
anief anief
soloformazione