Come noto, il GDPR ha introdotto la figura del DPO o Data Protection Officer, ossia di “un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del RGPD”. Ebbene il Dpo a scuola è una figura obbligatoria secondo la normativa europea, andiamo a scoprire perchè.
L’art. 37, par. 1, lett. a), del Regolamento europeo prevede che i titolari e i responsabili del trattamento designino un RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».
Il GDPR non fornisce una definizione di “autorità pubblica” o “organismo pubblico”.
A tal fine è intervenuto il WP29 che nelle sue linee guida relative alla nomina del DPO ha ritenuto che la definizione di “autorità pubblica” o “organismo pubblico” debba essere conforme al diritto nazionale.
Ne deriva che sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma che, in base al diritto nazionale, la nozione può estendersi anche a tutta una serie di ulteriori organismi di diritto pubblico.
In tale nozione vi rientrano indubbiamente le istituzioni scolastiche per le quali, con l’entrata in vigore del Regolamento 2016/679, la nomina del DPO è diventata obbligatoria e tanto trova applicazione non solo per le scuole pubbliche ma anche per quelle private, rientrando anche queste ultime nella categoria degli organismi di diritto pubblico.
Non solo, negli ultimi anni, complice anche la situazione epidemiologica che ha determinato un mutamento delle nostre abitudini, i dati personali trattati dalle scuole sono aumentati in modo esponenziale. Invero, l’utilizzo di strumenti necessari per la didattica a distanza ha reso ancora più importante il controllo e la gestione dei trattamenti di dati personali effettuati dalle istituzioni scolastiche.
Con le linee guida del gruppo di lavoro congiunto MIUR-Ufficio del Garante è stato infatti previsto, in relazione alla DDI (didattica digitale integrata), che il Responsabile per la protezione dei dati personali ha il compito di assicurare l’applicazione della normativa in materia di protezione dei dati anche per l’implementazione della DDI, collaborando con il Dirigente scolastico e assicurando:
- “consulenza in ordine alla necessità di eseguire la valutazione di impatto;
- supporto nella scelta delle tecnologie più appropriate per la DDI;
- consulenza nell’adozione delle misure di sicurezza più adeguate;
- supporto nella predisposizione del contratto o altro atto giuridico con il fornitore dei servizi per la DDI;
- supporto nella designazione del personale autorizzato al trattamento dei dati personali;
- supporto nelle campagne di sensibilizzazione rivolte al personale autorizzato e agli interessati sugli aspetti inerenti alla tutela dei dati personali e sull’uso consapevole delle tecnologie utilizzate per la DDI”.
Ne consegue che la figura del DPO per le istituzioni scolastiche ha assunto nel tempo una rilevanza sempre maggiore, essendo aumentato in modo significativo il flusso di dati personali trattati in tale ambito.
La scelta del DPO potrà ricadere sia su un soggetto interno all’istituzione scolastica o, come preferibile, su un soggetto esterno che possa avere tutti i requisiti previsti per ricoprire tale ruolo e in particolare una profonda conoscenza della normativa relativa alla protezione dei dati personali e alla normativa scolastica, nonché competenze giuridiche ed informatiche.
Invero, il compito svolto dal DPO è estremamente complesso poiché le scuole trattano dati personali appartenenti a minori!
Da anni siamo specializzati nello svolgimento della funzione di DPO sia per istituzioni scolastiche pubbliche che private.
CONTATTACI subito per avere informazioni sul nostro servizio!
Marta Strazzullo