Descrizione

Ai sensi dell’articolo 13 del Regolamento (UE) 2016/679 (“GDPR”) 

Titolare del trattamento

  • Denominazione: Istituto Comprensivo “Corrado Melone”
  • Codice meccanografico: RMAA8DW016 (Infanzia) – RMEE8DW01B (Primaria) – RMMM8DW01A (Secondaria di I grado)
  • Sede: Piazza Giovanni Falcone, 2 – 00055 Ladispoli (RM)
  • C.F.: 91038360581
  • Telefono: 06/99231600
  • E-mail: rmic8dw009@istruzione.it
  • PEC: rmic8dw009@pec.istruzione.it
  • Sito web: www.icmelone.edu.it

Il titolare del trattamento ha nominato un DPO, Data Protection Officer (Responsabile della protezione dei Dati RDP), contattabile ai seguenti recapiti 

  • Nome referente: Antonio Vargiu
  • Denominazione: Vargiu Scuola Srl
  • Codice Fiscale/P.IVA: 03679880926
  • Sede legale: Via dei Tulipani 7/9 – Assemini (CA) – Italia
  • Telefono: 070/271560 – 070/271526
  • E-mail: dpo@vargiuscuola.it
  • PEC: vargiuscuola@pec.it

Titolare del trattamento (art. 4, C.1, n.7 GDPR)

Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità ed i mezzi di trattamento di dati personali. In una amministrazione scolastica il titolare del trattamento è l’istituzione stessa rappresentata dal dirigente scolastico. Il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide quali dati trattare oltre che perché e come devono essere trattati. Il titolare è il capo che decide, ma è anche quello che sopporta le conseguenze dei trattamenti effettuati.  È questo il principio di responsabilizzazione che chiede al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Poiché l’attività di protezione delle persone muta in relazione ai luoghi e ai tempi, il principio di responsabilizzazione comporta anche che il titolare dimostri di essersi continuativamente preoccupato di adeguare nello scorrere del tempo le misure di risposta adeguata.

Responsabile Protezione Dati (RPD) o Data Protection Officer (DPO)

Il Regolamento UE dispone che il titolare del trattamento di una pubblica amministrazione deve provvedere alla nomina di un Responsabile Protezione Dati (RPD) o, in inglese, Data Protection officer (DPO), figura di alto livello professionale con idonee competenze giuridiche, informatiche, di risk management e di analisi dei processi che deve essere coinvolta in tutte le questioni inerenti alla protezione dei dati personali.

Il Regolamento UE riconosce al RPD funzioni consultive, di vigilanza e di controllo attraverso le seguenti azioni:

  • “fornire assistenza” (considerando 97 GDPR) e consulenza al designante in condizioni di assoluta autonomia e indipendenza (cfr. spec. art. 38 commi 3 e 6 GDPR);
  • verificare l’applicazione e l’attuazione sia delle norme sia delle politiche dettate dal designante relativamente al trattamento dei dati personali (cfr. art. 39 c.1, lett. b);
  • fungere da interlocutore dell’Autorità Garante e degli interessati (cfr. art. 39 e 38 c. 4);
  • “sorvegliare l’osservanza” di tutte le norme e delle politiche del designante in ordine al trattamento dei dati personali “compresi l’attribuzione delle responsabilità e la sensibilizzazione del personale che partecipa ai trattamenti e alle connesse attività di controllo” (art. 39 c.1, lett. b).

Il RPD può anche essere una figura interna all’amministrazione anche se ciò accade molto di rado nelle istituzioni scolastiche a causa delle competenze necessarie e dei possibili conflitti di interessi o di mancanza di autonomia che possono riscontrarsi in figure interne all’amministrazione.

Nel nostro istituto il ruolo di DPO è stato assunto da Vargiu Scuola Srl – sito: vargiuscuola.it - tel. 070271526 – email: dpo@vargiuscuola.it. 

Responsabili del trattamento (art. 4, C.1, n.8 GDPR)
Nel suo ruolo di titolare del trattamento il dirigente scolastico deve anche provvedere alla nomina dei responsabili del trattamento, figura definita dall’art. 4, c.1, n.8 del Regolamento UE come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Il responsabile del trattamento, al pari del titolare, deve rispondere del suo operato alla luce del principio di responsabilizzazione e, nel caso di trattamento in violazione delle norme del regolamento europeo, deve rispondere per il danno cagionato all’interessato congiuntamente con il titolare. La responsabilità del responsabile è tuttavia meno diretta di quella del titolare: un responsabile del trattamento risponde per il danno causato solo se non ha adempiuto gli obblighi del Regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.Il dirigente scolastico procede alla nomina del responsabile del trattamento ogni qualvolta affida ad un soggetto esterno (di solito persona fisica o giuridica ma in certi casi anche un’autorità pubblica o altro organismo) trattamenti di dati personali per il conseguimento dei propri fini istituzionali. I rapporti tra titolare e responsabile sono di natura contrattuale o comunque legale. La designazione del responsabile deve contenere la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. 

Modelli di nomina/autorizzazione dell'IC "C. Melone":

Il contratto o altro atto giuridico va stipulato in forma scritta. Secondo quanto disposto dal CAD il contratto deve avere formato elettronico (attenzione alle operazioni di firma, protocollazione e conservazione presso conservatore accreditato). I grandi fornitori di servizi per le istituzioni scolastiche (come Argo, Spaggiari o Axios) hanno già predisposto i modelli per la loro nomina a responsabili del trattamento, che la scuola detiene agli atti firmata digitalmente anche dal DS per accettazione.

Anche Microsoft e Google devono essere nominati responsabili del trattamento dalle scuole che utilizzano le piattaforme cloud delle due aziende per lo svolgimento di attività didattiche a distanza. In questo caso la formalizzazione della nomina a responsabile del trattamento avviene attraverso dei check in appositi form che vengono compilati dalla scuola al momento dell’attivazione dei servizi.

Medico competente, psicologo e società assicurative
Posizione particolare assumono medico competente, psicologo scolastico e società assicurative per le quali il Garante ha espresso parere contrario alla nomina a responsabili del trattamento da parte del dirigente scolastico. Queste sono infatti figure particolari che hanno ampia autonomia d’azione e che possono accedere a dati personali degli interessati che sono preclusi al dirigente scolastico stesso (si pensi a certificazione medica del personale, nel caso del medico competente, o a relazioni dello psicologo coperte dal segreto professionale). Tutte queste figure dovrebbero quindi operare quali autonomi titolari del trattamento e non come responsabili del trattamento.

Gli autorizzati al trattamento
Abbiamo visto come il titolare è colui che decide le sorti del trattamento mentre il responsabile è il soggetto esterno che opera per conto del titolare. Il Regolamento UE individua un altro soggetto attivo nel trattamento di dati personali che viene definito come “terzo”, ossia come “persona autorizzata al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile”. È questo quello che il Codice privacy italiano aveva già definito “incaricato” del trattamento. Stiamo qui parlando del personale scolastico (DSGA, docenti, personale amministrativo, personale tecnico, collaboratori scolastici ed ogni altro dipendente eventualmente presente) che tratta dati personali sotto l’autorità diretta del dirigente scolastico e che per questi trattamenti devono essere autorizzati. Secondo l’impostazione del Regolamento UE tutto il personale opera come autorizzato del trattamento per cui non è previsto che il DSGA o, ad esempio, il docente che amministra il sito web debbano essere nominati responsabili del trattamento, come invece accadeva secondo il codice privacy italiano.

La formalizzazione delle autorizzazioni al trattamento

Il Regolamento UE non prevede quindi formali nomine del personale ad incaricati del trattamento ma è importante documentare (ai fini della “responsabilizzazione” del titolare) le modalità di autorizzazione e di verifica costante dei profili di autorizzazione. 

Con l’avvio di ogni nuovo anno scolastico vengono emanate apposite circolari con le quali tutto il personale in servizio diventa consapevole di appartenere ad una unità organizzativa autorizzata ad effettuare determinati trattamenti di dati personali per determinate e specifiche finalità, e edotto in materia di Privacy, attraverso apposite specifiche linee guida, sul corretto trattamento dei dati personali. 

In particolare, è importante la formalizzazione dell’autorizzazione dei docenti all’uso della piattaforma cloud. Anche i collaboratori e docenti esterni possono essere autorizzati al trattamento dei dati personali necessari allo svolgimento delle attività didattico/formative previste dal contratto di prestazione d’opera sottoscritto. Poiché anche il consiglio di istituto potrebbe trattare dati personali anche i suoi membri saranno autorizzati al trattamento. Tutto il personale in servizio viene dunque assegnato alle precedenti unità organizzative. Ulteriori nomine sono formalizzate inoltre per il personale che dovesse assumere altri incarichi quali, ad esempio: 

  • gestione sito web istituto;
  • gestione sistemi di formazione e di didattica a distanza.

La formazione del personale autorizzato al trattamento

L’autorizzazione al trattamento non è mai un’operazione formale, ma presuppone che gli autorizzati siano valutati nella loro capacità di trattare i dati e che agli stessi il titolare dia gli strumenti (conoscitivi e gli strumenti di lavoro tout court) per poter svolgere l’attività autorizzata dal titolare. Il regolamento UE impone che chiunque abbia accesso a dati personali ed agisca sotto l’autorità del titolare del trattamento o del responsabile, debba essere istruito al trattamento dal titolare. L’obbligo di istruzione si compone di due aspetti. Il primo aspetto è l'istruzione nel senso di ordine di servizio; il secondo aspetto è la fornitura delle necessarie informazioni per potere eseguire gli ordini di servizio. Da ciò deriva l’obbligo per il titolare del trattamento di definire ed avviare un piano di formazione degli autorizzati. La formazione del personale deve essere intesa prima che come adempimento formale, e comunque necessario per il rispetto del principio di “responsabilizzazione”, come uno strumento necessario per prevenire violazioni della normativa sulla privacy derivanti, come spesso accade, dal fattore umano. Fra le componenti da formare al primo posto va inserito il personale amministrativo e direttivo che ogni giorno tratta dati personali anche sensibili, pubblica documenti nel sito web istituzionale e risponde alle richieste di dati, anche personali, provenienti da privati, aziende ed altre amministrazioni pubbliche. Segue poi il personale docente che a sua volta tratta dati personali, anche sensibili. Per i collaboratori scolastici può essere sufficiente invece una riunione ad inizio anno scolastico nella quale viene commentata la lettera con la quale vengono autorizzati al trattamento dei dati personali.
Tutta l’attività di formazione condotta va riportata in un registro della formazione che tutte le scuole devono tenere agli atti. 

VargiuScuola, l'operatore economico che fornisce al nostro istituto il servizio DPO e consulenza privacy, offre la possibilità per tutto il personale della scuola di avere accesso in modalità asincrona ai seguenti corsi:

  • Corso privacy personale docente (2 moduli di 2 ore complessive)
  • Corso privacy personale amministrativo e direttivo (3 moduli di 3 ore e mezza complessive)

Di norma i corsi sono fruiti a settembre da tutto il personale presente ad inizio anno scolastico e rimangono a disposizione per una fruizione autonoma da parte di tutto il personale che dovesse prendere servizio in seguito. Al termine del corso la piattaforma rilascia un attestato di partecipazione. In tal modo il dipendente può dimostrare di aver svolto la formazione obbligatoria secondo gli ordini impartiti dal Dirigente che a sua volta è nelle condizioni di poter dimostrare l’avvenuta formazione di tutto il personale in servizio (compreso quello a tempo indeterminato).

I referenti privacy

Per aiutare l’amministrazione a garantire l’attuazione della normativa vigente in materia di privacy può essere utile individuare uno o più referenti privacy. Queste sono figure interne di coordinamento che si interfacciano con il DPO per garantire il supporto all'amministrazione nella gestione degli adempimenti privacy. 

Nomina DSGA-referente-Privacy-interno.docx 

Gruppo di lavoro

Di fronte alla complessità degli adempimenti in materia di privacy, trasparenza e digitalizzazione è importante istituire un gruppo di lavoro che possa valutare e rivedere l’organizzazione e le procedure adottate dall’amministrazione, costituito: 

  •  DS
  •  DSGA
  • Tutto il personale amministrativo
  • Personale docente con incarichi specifici (animatore digitale, referente sito, referente privacy, collaboratori del DS, team digitale, ecc....). Le attività del gruppo di lavoro permettono la revisione dei processi adottati dalla scuola e la formazione continua del personale più direttamente coinvolto nei trattamenti.