GDPR per le scuole e dilettanti allo sbaraglio

Scritto da Pietro Perziani on . Postato in Amministrazione Scuola

GDPR per le scuole e dilettanti allo sbaraglio

di

Salvatore Indelicato

Il 25 maggio 2018 è la data fatidica, tanto attesa, per l’avvio del nuovo regolamento per la protezione dei dati in ambito europeo, applicabile anche alle scuole.

Come al solito, il recepimento nella legislazione italiana vede dei ritardi, in quanto la completa attuazione del Regolamento potrà essere possibile solo a seguito della pubblicazione del decreto legislativo di modifica del Codice Privacy vigente (D.lvo 196/2003) e delle regole deontologiche demandate al Garante della Privacy.

Nel provvedimento n. 121 del 21 febbraio 2018 il Garante stesso ha evidenziato l’opportunità di differire di 6 mesi dalla data di pubblicazione del D.lvo di modifica del Codice Privacy, l’emanazione delle indicazioni per la corretta applicazione del Regolamento Europeo in Italia, compito di cui il Garante è investito dall’art. 1, comma 1021, della Legge n. 205/2017.

La solita confusione normativa italiana, che da un canto vuole che la normativa europea abbia subito effetto e dall’altro canto rincorre con affanno l’adeguamento legislativo della vecchia normativa.

Il MIUR ha emanato solo il 22 maggio 2018, a soli tre giorni di distanza dalla partenza del GDPR, le prime indicazioni per le scuole, da parte del capo dipartimento Carmela Palumbo che ha promesso un webinar di 9 h di formazione per tutti entro la prossima settimana, con la fornitura di uno standard di registro per il trattamento dei dati.

Nel frattempo abbiamo visto e letto le più incredibili sparate sull’argomento.

Per esempio, un comunicato di un piccolo sindacato di categoria suggerisce ai presidi “E’ consigliabile, quindi, procedere alla nomina, seppure provvisoria, del DPO, verosimilmente nella figura del DSGA.”

Si tratta di una sciocchezza madornale, perché il DSGA non può essere individuato come DPO; il DSGA é infatti la figura principale di Responsabile del trattamento dati per conto del titolare del trattamento, che é il dirigente scolastico.

Il DPO e il DSGA sono due figure nettamente distinte.

Il DPO (in italiano RPD) è forse l’unico adempimento da fare nella scuola, anch’esso in via provvisoria; la dott.ssa Palumbo suggerisce di utilizzare le reti di scuole o di scopo e invita gli USR a fungere da raccordo con le scuole.

In tal senso si sono mossi per primi l’USR del Veneto e l’USR dell’Emilia Romagna.

In Veneto un seminario regionale si è svolto presso il liceo Modigliani di Padova in data 22.05.2018, ove la dott.ssa Anna Armone ha presentato del materiale illustrato ad uso esclusivo dei Dirigenti delle Istituzioni scolastiche Statali del Veneto.

In Emilia Romagna si è svolta una conferenza di servizio convocata per il 22 maggio 2018, presso l’Istituto di Istruzione Secondaria Superiore “Aldini Valeriani Sirani” di Bologna con la partecipazione dell’avv. Paolucci.

Tutti gli altri USR dormono sonni profondi.

IL DS (preside) non necessariamente deve compilare nuove nomine, essendo sufficiente integrare la direttiva annuale al DSGA quale responsabile “ by default “ del trattamento, che a sua volta designa i sub responsabili degli uffici.

Anche per i docenti che gestiscono il registro elettronico si tratta di compiti “ by default” ed è sufficiente inserire apposite direttive cumulative.

Il DPO (Data Protection Operator) o RPD (Responsabile Protezione Dati) è una figura consultiva e di garanzia che le scuole designano singolarmente o in rete, che non necessita di nessuna particolare certificazione e titolazione specifica, bastando una comparazione di curricula.

Non c’è obbligo di compilare il DPIA, cioè la valutazione di impatto sulla protezione dei dati di cui all'art. 35, perché non c’è alcun rischio elevato nei database ma rischio semplice; in ogni caso l'art. 35 prevede che debba essere l'autorità di controllo a stabilire quali amministrazioni presentino questi “rischi elevati " e non vedo come il garante possa includere tra queste la scuola come singola istituzione.

Quindi nel registro del titolare che il MIUR ci fornirà nelle prossime ore ci limiteremo a scrivere che non esiste rischio elevato perché il tutto rientra nel design by default dei nostri database.

Come detto, l’incombenza più pressante è quella della nomina del DPO che può essere esterno o interno all’amministrazione, garantendo nel caso di scelta interna l’autonomia e l’indipendenza e l’assenza di conflitto di interessi.

A tale scopo alcuni sindacati e associazioni hanno messo gratuitamente a disposizione dei propri associati delle figure esterne, come ha fatto per esempio l’UDIR con la nomina di un Data Protection Officer altamente qualificato che possa tutelare le scuole anche solo per il primo anno (la forma gratuita della nomina permette tranquillamente un affidamento diretto).

L’art. 37, comma 6 infatti recita: “Il DPO può essere un dipendente del titolare o del responsabile del trattamento dati” Nella scuola può essere sia un docente sia un ATA.

L’art. 38, al comma 6 dice: “Il DPO può svolgere altri compiti e funzioni”, con ciò precisando che all’interno della scuola il docente continua a svolgere le sue funzioni, così come il personale ATA.

IL DPO ha la funzione di consulente, come precisa l’art. 39 sui suoi compiti, e non scarica di responsabilità il DS e il DSGA.

Il DPO non deve possedere alcuna certificazione specifica e non gli viene richiesto alcun particolare titolo professionale, se non un curriculum che documenti le sue conoscenze giuridiche e informatiche nel settore in cui opera.

Eventuali incompatibilità sono regolamentate a parte in altro articolo.

Sgombriamo subito il campo dalla DPIA, cioè la valutazione di impatto sulla protezione dei dati di cui all'art. 35; è del tutto evidente che il preside quale titolare del trattamento dati non é tenuto a fare la DPIA, perché questa si fa solo in presenza di rischi elevati presenti nei dati che vengono trattati.

Il concetto di “rischio elevato” non si presenta in genere nella scuola, ma esiste in organizzazioni quali banche, assicurazioni, ospedali società telefoniche e cose di questo tipo.

Procediamo con calma, senza angoscia in attesa delle altre news da parte del MIUR e degli USR

Salvatore Indelicato

Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo. cell 330365449

UA-12945503-14