Orizzontescuola.it – 01/06/2018 – Scuola e nuova privacy: tutto il personale deve essere incaricato al trattamento dei dati personali (di Avv. Marco Barone)
Tutti gli altri contenuti di www.orizzontescuola.it
Come è noto è entrato in vigore il nuovo Regolamento in materia di tutela dei dati personali. Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016. E tante incombenze sussistono nei confronti delle scuole.
Nell’attesa di avere indicazioni certe da parte del MIUR, ogni istituzione si è mossa autonomamente. Quando sarebbe stato utile avere delle chiare linee guida, e fac simile standard per tutte le scuole. Molte delle disposizione da ottemperare a dire il vero altro non sono che una conferma di quelle esistenti, solo che in passato, probabilmente, non vi è stata una mera applicazione rigorosa della norma.
Ad esempio già con il pregresso Dlgs 196/03 il titolare dei dati del trattamento dei dati personali, quale il DS, aveva l’obbligo ai sensi degli art. 29 e 30 del Testo Unico in materia di trattamento dei dati personali D.lgs 196/03; tenendo conto dell’operato svolto dal personale scolastico, a partire da quello dei docenti, stante il fatto che nell’ambito di tale funzione, veniva realizzate operazioni di trattamento dei dati personali nel rispetto delle norme previste in materia dalla regolamentazione citata, visti anche i regolamenti recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero della Pubblica Istruzione emanato con Decreto Ministeriale n.305 del 7.12.2006, nonché gli eventuali documenti programmatici della sicurezza adottati dalla scuola, di nominare il personale scolastico incaricato dei dati. Doveva essere consegnata la lettera d’incarico, questa andava sottoscritta dall’interessato/a e doveva ricevere tutta l’informativa e le istruzioni formative del caso. Quante volte è accaduto?
Se prima si poteva non essere in regola, ora non ci sono più scusanti. Con il nuovo regolamento gli adempimenti vanno a titolo di sicurezza e per evitare contenziosi spiacevoli ottemperati. Anche perché senza l’incarico non si possono trattare i dati personali degli studenti, ad esempio, ciò significherebbe il rischio del blocco dell’attività scolastica. Ed è da valutare se sarà necessaria una dovuta formazione per tutto il personale scolastico in materia.
L’articolo 24 del detto Regolamento prescrive che tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.
Dette misure sono riesaminate e aggiornate qualora necessario. In base all’articolo 28 il Responsabile del trattamento qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.
E sarà necessario dunque apposito atto scritto.
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento (…) b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; c) adotti tutte le misure richieste ai sensi dell’articolo 32.
In base all’articolo 29 il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto
dell’Unione o degli Stati membri. Ed andranno osservate le misure prescrittive di cui all’articolo 32 ben tenendo conto che il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri. Senza dimenticare la dovuta informativa ai sensi dell’articolo 13 del detto Regolamento che dovrà essere fornita all’utenza della scuola.