Non solo adeguamenti formali e documentali: l’applicazione delle norme contenute all’interno del General Data Protection Regulation nel mondo della pubblica amministrazione richiedono una vera e propria rivoluzione culturale.
Un tema delicato, che diventa particolarmente sensibile se applicato al mondo scolastico, dove i dati personali su larga scala riguardano soggetti in condizioni di “particolare vulnerabilità” come i minorenni.
Ruoli, nomine e funzioni all’interno della scuola
All’interno dell’ambito scolastico, i soggetti autorizzati al trattamento sono insegnanti, impiegati amministrativi e assistenti scolastici che trattano i dati personali di genitori e alunni.
Il regolamento non prevede una nomina formale di queste figure, ma i soggetti, per una corretta compliance, devono seguire delle istruzioni operative sotto forma di misure di sicurezza e formazione, che si traduce molto spesso in un documento di autorizzazione e il titolare del trattamento, o in altri casi il responsabile, deve poter dimostrare che l’autorizzato è stato adeguatamente istruito, nel rispetto del principio di accountability.
Dopo aver individuato i soggetti autorizzati, occorre definire i diversi ruoli previsti dalla normativa.
I ruoli sono:
- Titolare del Trattamento;
- Responsabile del Trattamento;
- Responsabile della Protezione dei Dati (DPO).
Titolare del Trattamento
Il titolare del trattamento determina finalità e mezzi del trattamento dei dati personali, funge da garante di sicurezza.
Questa figura è sempre ricoperta dall’istituto scolastico nel suo complesso: il dirigente scolastico dovrà eseguire le determinazioni del titolare.
Le funzioni del titolare sono:
- coadiuvare la tenuta del registro delle attività di trattamento;
- coordinare l’attività di aggiornamento delle informative da rendere agli interessati;
- valutare i soggetti inquadrati come responsabili del trattamento;
- assicurare immediato riscontro alle richieste del DPO riconducibili al settore di appartenenza;
- coordinare le attività di valutazione dell’impatto privacy sugli interessati fin dal momento della progettazione dei processi di trattamento e degli applicativi informatici di supporto.
Responsabile del Trattamento
Il responsabile del trattamento è una persona fisica o giuridica differente dal titolare, che elabora i dati personali del titolare, proprio sotto il suo controllo.
Ogni soggetto esterno alla scuola, se coinvolto in un’attività di trattamento di dati personali, deve essere inquadrato responsabile del trattamento perché capace di mettere in atto misure tecniche a tutela dei rischi per i diritti e le libertà degli interessati.
L’incarico deve essere formalizzato chiarendo obblighi, limiti e istruzioni riguardanti il trattamento, attraverso un contratto che rispetti i requisiti previsti dalla normativa.
Il responsabile del trattamento in alcuni casi potrà essere chiamato a rispondere anche all’autorità di controllo.
Con l’autorizzazione del titolare, il responsabile può anche nominare un sub-responsabile per il compimento di determinate attività che avrà i suoi stessi obblighi.
Il Responsabile della Protezione dei Dati – DPO
Il Responsabile della Protezione dei Dati (RPD, che in Inghilterra equivale al Data Protection Officer, DPO) è una nomina obbligatoria per tutte le autorità e organismi pubblici. Non fa eccezione la scuola, anche privata.
Considerando la tipologia, il volume e la qualità dei dati trattati e dei trattamenti realizzati, la figura del DPO all’interno di un istituto scolastico riveste un’importanza strategica.
La figura del DPO deve essere completamente autonoma e indipendente, anche dal titolare, che non dovrà fornire istruzioni. Il titolare dovrà fornirgli le risorse necessarie per il corretto svolgimento delle funzioni. In alcuni casi potrebbe essere necessario creare un team, c.d. Privacy Office, guidato dal responsabile della protezione dei dati.
Questa figura può essere sia interna, sia esterna all’istituto.
In caso di soggetto esterno, la persona fisica o giuridica incaricata dovrà superare una procedura selettiva in cui saranno indicati i requisiti di partecipazione, la durata e le caratteristiche dell’incarico.
Anche nel caso di nomina interna, è necessario un atto di designazione indicante i compiti, le funzioni e le motivazioni della scelta. Le attività del responsabile della protezione dei dati dovranno essere compatibili con le mansioni ordinariamente svolte per non creare un conflitto di interessi
I rischi che portano al Data Breach a scuola
I rischi insiti nel trattamento dei dati riguardano la distruzione, perdita, modifica, divulgazione, accesso non autorizzato che mettono in pericolo la sicurezza sulla protezione dei dati personali, fondata sui criteri di riservatezza, integrità e disponibilità.
Il verificarsi di questi rischi comporta una violazione dei dati personali (Data Breach).
Le cause possono essere riassunte in tre categorie.
- Comportamenti errati (disattenzione, inconsapevolezza, condotte fraudolente, furto, smarrimento) del personale amministrativo scolastico, dei docenti, degli alunni o dei genitori.
- Violazione informatica (virus, malware, sabotaggio, intercettazioni, obsolescenza, degrado, malfunzionamento) esterna e/o interna.
- Violazione contestuale (eventi imprevedibili naturali, dolosi, artificiali o accidentali) all’impianto scolastico.
Come reagire al Data Breach
Il verificarsi del Data Breachfa scattare al titolare tre adempimenti:
- notifica di violazione al Garante per la protezione dei dati personali;
- eventuale comunicazione della violazione all’interessato;
- aggiornamento del registro delle violazioni con circostanze, conseguenze e provvedimenti adottati per porvi rimedio.
E tu? Vuoi specializzarti nel campo della Privacy a Scuola? Iscriviti al corso Data Protection Officer a Scuola targato Musa Formazione e continua a seguire gli aggiornamenti dal nostro blog!