Scuola e GDPR. L’importanza del Responsabile protezione dati

88
scuola e responsabile protezione dati
adv

Partito l’anno scolastico e formati gli organici ormai quasi definitivamente, un dibattito coinvolge il mondo scolastico, ed è collegato alla nuova normativa europea sulla protezione dati. Perché è così importante un RPD? È più opportuno assumerne una risorsa esterna o scegliere in organico?

Che quella del GDPR fosse una vera rivoluzione l’avevamo immaginato, e poi detto e spiegato abbondantemente. Quello che forse non immaginavamo è la dimensione in cui una normativa sarebbe entrata nel nostro quotidiano, regolamentando tanti campi in cui le nostre vite quotidianamente operano. In questi giorni si è parlato tanto di una sentenza della Cassazione, che dà l’alt al badge lavorativo con impronta digitale, a meno di un ok del Garante per la privacy. O dell’obbligo per avvocati e amministratori di condominio del registro dei dati sensibili. Ma a un mese circa dall’inizio delle attività, c’è un’altra galassia che sta facendo i conti con le novità prescritte dal regolamento.

È il caso della scuola. In questi giorni, infatti, c’è un grande dibattito, non solo on-line, riguardo l’obbligo di nomina, da parte degli istituti scolastici, di un Responsabile della protezione dati ad hoc. La figura del DPO (Data protection officer) o RPD (Responsabile protezione dati) è infatti prevista per tutte le autorità pubbliche, e in tutte le circostanze in cui i dati trattati dal titolare e dal responsabile del trattamento, necessitino di un monitoraggio su larga scala. Non fanno eccezione quindi, gli istituti educativi.

Perché le scuole

Perché l’amministrazione scolastica opera con minori, perché va responsabilizzata, perché le “politiche” di trattamento devono necessariamente essere conformi al nuovo regolamento europeo. Per questo la figura prescelta dovrà essere esperta in legislazione e pratiche inerenti alla gestione e alla protezione dei dati; per questo, oltre alle conoscenze intrinseche al proprio ruolo, questa figura dovrà affiancare gli interessati, consigliando i responsabili del trattamento, prima fornendo pareri sulle linee generali e specifiche, e poi anche verificando che queste siano attuate in maniera coerente rispetto al regolamento. Un ruolo quindi di affiancamento, ma anche di controllo.

Compiti e caratteristiche del Responsabile protezione dati

Il RPD avrà infatti il compito di verificare la tenuta dei registri, nonché il fatto che, progressivamente, le figure professionali coinvolte effettuino un percorso di formazione tale da essere sempre aggiornate sui nuovi sviluppi nel un prossimo futuro. Si tratta di un ruolo delicato e proprio per questo blindato: il RPD – che potrà essere sia un dipendente già presente in organico scolastico, che una risorsa esterna – infatti non può essere rimosso (fatta eccezione per gravi e “giustificati motivi”) né penalizzato. Un elemento non da poco che dà l’idea di come il suo lavoro venga considerato prioritario. L’autonomia, anche rispetto all’accesso e al trattamento dati, sar quindi pressoché totale.

Ancora, così come previsto dalle linee guida (art.29), in caso di inadempienze, il RPD non sarà considerato penalmente responsabile: spetterà al titolare del trattamento o al responsabile del trattamento garantire che tutto si sia svolto in coerenza con le normative.

RPD, interno o esterno all’organico?

Come detto in precedenza, questo delicato ruolo può essere assegnato sia a una risorsa già presente in organico, sia a un’altra individuata all’esterno. Nel primo caso, naturalmente, per evitare ogni possibile conflitto di interessi, la figura non dovrà coincidere con quella del titolare o del responsabile, o in ogni caso con chi definisce le politiche di protezione dei dati all’interno dell’istituto. Un paletto fondamentale, che mette alle strette rispetto al possibile utilizzo di un dipendente già in organico.

Nel caso in cui si opti per una risorsa esterna, invece, la figura va individuata dal dirigente, e assorbita in organico attraverso un vero e proprio contratto con la scuola. L’assunzione dovrà naturalmente soddisfare determinati requisiti e caratteristiche tecniche, oltre che presupporre un know-how ben determinato. Allo stesso tempo, l’amministrazione scolastica dovrà garantire al RPD un adeguato supporto finanziario, di infrastrutture e personale. Nel caso in cui la scuola non avesse a disposizione questo tipo di risorse, dovrà dotarsene in tempi immediati, sempre nell’ottica di un adeguamento alla normativa continentale.