Spread the love

Difficoltà delle scuole nell’individuazione del Responsabile per la protezione dei dati (RPD)

Si è svolto venerdì scorso al Miur l’incontro di informativa relativo alle modalità di applicazione del “Regolamento europeo sulla protezione dei dati personali”. Lo scorso 26 aprile le organizzazioni sindacali, in una nota unitaria, avevano richiesto che l’Amministrazione fornisse indicazioni relativamente agli obblighi del Titolare del trattamento e che i singoli istituti scolastici non fossero costretti a procedere in solitudine all’individuazione del Responsabile per la protezione dei dati (RPD); nella nota sindacale, inoltre era stato sottolineato come la professionalità richiesta per questa figura fosse elevata e i costi conseguentemente impegnativi.
La riunione di venerdì si è aperta con una preliminare protesta di tutte le organizzazioni sindacali presenti, per l’emanazione da parte di alcuni USR di indicazioni inviate alle scuole, prima ancora che si svolgesse l’incontro tra Amministrazione e sindacati. Nel merito della questione oggetto dell’incontro, ancora una volta, la Cisl Scuola ha evidenziato le difficoltà delle scuole nell’individuazione del RPD e sottolineato come la mancanza di fondi a ciò dedicati sia un ulteriore aggravante nella gestione dell’impianto organizzativo per la protezione dei dati. L’Amministrazione, nella persona della dott.ssa Palumbo, Capo Dipartimento per la programmazione e la gestione delle risorse umane, finanziarie e strumentali, ha affermato che il Miur fornirà quanto prima istruzioni (probabilmente oggi stesso, come ipotizzato), invitando gli Uffici Scolastici Regionali ad assumere un ruolo di coordinamento per consentire l’individuazione e designazione di uno stesso RPD su ambiti territoriali ampi (provinciali o sub-provinciali). La nota pertanto conterrà indicazioni sulle procedure di nomina e sulle modalità di coordinamento degli USR. Sarà annunciato anche il rilascio di un modello per il Registro dei trattamenti.
Entro due settimane sarà resa disponibile un’iniziativa di formazione “on line” della durata di 9 ore, alla quale seguirà una formazione in presenza (grazie all’impiego di fondi PON-FSE) con il coinvolgimento della rete dei poli formativi già utilizzata per quella legata ai temi PNSD. La formazione in presenza dovrebbe coinvolgere Dirigenti scolastici e DSGA. Si tratta evidentemente di costruire un sistema di procedure complesse: non aiuta, al riguardo, il ritardo con il quale il Miur ha affrontato la questione, insieme al fatto che non sono stati previsti fondi dedicati e che ancora non è definito il testo del decreto legislativo per l’adeguamento della normativa nazionale, provvedimento del quale ci è stata fornita una bozza (vedi allegato).

Per quanto riguarda la redazione del Registro dei trattamenti, rimandiamo al modello che il Miur si è impegnato a fornire alle scuole, ricordando comunque che l’art. 30 del Regolamento indica le informazioni che necessariamente il Registro del Titolare deve contenere:
– “il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
– le finalità del trattamento;
– una descrizione delle categorie di interessati e delle categorie di dati personali;
– le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
– ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
– ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
– ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1”.
Tra le indicazioni relative alle misure di sicurezza il Regolamento indica l’introduzione di pseudonimi e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Nella redazione del Registro possiamo suggerire di fare riferimento al DM 305/2006, costituendo una sezione nel Registro per ogni trattamento elencato nelle schede allegate al DM stesso.
Segnaliamo infine che l’autorità Garante ha reso disponibile la procedura per la comunicazione in via telematica dei dati di contatto del Responsabile per la protezione dei dati. La comunicazione che è prevista dall’art. 37, par. 7 del Regolamento UE, va eseguita accedendo all’applicativo disponibile all’indirizzo https://servizi.gpdp.it/comunicazione-rpd/.