image1 image1 image1

Una settimana di GDPR nelle scuole

E’ ormai passata una settimana dalla piena operatività del Regolamento UE 2016/679 (GDPR) con le scuole impegnate a fronteggiare i primi adempimenti in una corsa al pieno rispetto della normativa che richiederà molto tempo. Come consulenti di più di 200 scuole abbiamo avuto modo di constatare gli approcci più disparati al nuovo Regolamento che vanno da scuole che non hanno ancora nominato il Responsabile Protezione Dati (RPD nel seguito) e nemmeno hanno avviato le relative procedure di individuazione ad altre che sono scattate come un atleta che deve fare i 100 metri piani quando invece l’aspetta una lunga maratona. 

 
IL CONTESTO

Come sempre il giusto approccio sta nel mezzo e passa per la piena consapevolezza delle difficoltà da affrontare, per l’acquisizione degli strumenti necessari (a partire da un buon RPD) e per la programmazione delle attività finalizzate al conseguimento di obiettivi realistici.
Il contesto in cui le scuole, già sovraccariche di lavoro e sottodimensionate nel personale e nelle risorse, si trovano ad operare è quello di una legislazione nazionale in grave ritardo nell’adeguamento del Codice Privacy al GDPR (spostato al 21 agosto il termine ultimo per il relativo decreto legislativo) e di un Ministero dell’Istruzione che si è fatto vivo con una nota a quattro giorni dalla scadenza del 25 maggio solo per suggerire alle scuole di fare “rete” nell’individuazione del loro RPD (sic!).

 
LE NOVITA' DEL GDPR

Per venire alle novità introdotte dal GDPR c’è prima di tutto da osservare come i principi generali che sono alla base del trattamento dei dati personali (liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza) sono in gran parte gli stessi del DL 196/2003 basato su una direttiva europea (n. 95/46) di oltre vent’anni fa. Nel rispetto complessivo di tali principi, con il Regolamento anche le amministrazioni scolastiche vengono catapultate da un’epoca in cui la maggioranza delle persone si scambiava ancora la corrispondenza con fax e francobolli ad una nuova dimensione pensata per gli scenari più complessi dell’Internet of Things e dei Big Data, in cui anche gli studenti più giovani usano internet ed i social. Ciò ha indotto ad introdurre nel nuovo Regolamento rilevanti novità sul piano della tutela dei diritti delle persone con la previsione di strumenti per responsabilizzare maggiormente le imprese e le amministrazioni. Le nuove regole hanno quindi l’obiettivo di adeguare le norme di protezione dei dati ai cambiamenti determinati dall’incessante evoluzione delle tecnologie e dal conseguente mutamento degli scenari sociali ed economici e di creare il giusto clima per lo sviluppo del mercato digitale recuperando la fiducia dei cittadini, ai quali sono stati riconosciuti nuovi diritti e maggiore controllo dei loro dati.

 
LE PRIORITA' DEL GARANTE

Il processo di adeguamento al regolamento UE che aspetta anche le amministrazioni scolastiche è quindi lungo e complesso con tempi che variano da scuola a scuola anche in relazione al contesto locale e alla situazione di partenza. Esistono infatti delle scuole che partono da un contesto già abbastanza rispettoso del Codice privacy mentre altre, e sono la maggioranza, sono molto lontane anche dagli standard in vigore con un Codice sempre applicato con leggerezza a causa di un approccio formale della legge e di sanzioni contenute, fattori su cui non si può più contare con l’entrata in vigore del GDPR.
Il Garante stesso di fronte alla rilevanza degli impegni e alla mancanza del decreto di armonizzazione della normativa italiana al Regolamento (rinviato, come detto, al 21 agosto 2018) ha individuato le seguenti priorità:

  • nomina del Responsabile della Protezione dei Dati (RPD)
  • istituzione del Registro dei Trattamenti
  • Definizione delle procedure di Data Breach

 
LA NOMINA DEL RPD

Rimandando ad altri appuntamenti le nostre osservazioni sugli ultimi due punti vogliamo dire qui qualcosa sul primo e più importante adempimento che è quello della nomina del Responsabile della Protezione dei Dati e di cui ci sembra non sia stata colta da tutti l’importanza. Prima di tutto c’è da dire che dal 25 maggio tale figura deve essere presente in tutte le pubbliche amministrazioni e che la mancata nomina, particolarmente grave per il Regolamento, comporta pesanti sanzioni a carico del Dirigente Scolastico. Certamente il Garante, consapevole della difficoltà in cui versano tutte le aziende pubbliche e private, non sta facendo alcun controllo ma c’è da considerare che la mancanza del RPD sarebbe rilevata e di conseguenza sanzionata se dovesse accadere qualche incidente nel trattamento di dati personali ed il Garante dovesse chiedere i riferimenti del RPD dell’amministrazione. Ammettiamo che tale eventualità è abbastanza remota ma non ci sembra di fare cosa avventata nel raccomandare almeno l’avvio della procedura per l’individuazione del RPD. 

 
Vorremmo poi fare chiarezza su ruolo e responsabilità della figura del RPD che, ci rendiamo conto dai colloqui che teniamo quotidianamente con le scuole, non sono compresi appieno da tutti. Come dice il Regolamento UE il RPD è una figura con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Il suo ruolo è centrale nell’applicazione della legge perché non solo deve supportare l’amministrazione nel rispetto della normativa ma costituisce punto di contatto per qualunque comunicazione con il Garante o con gli interessati.


Tale figura può essere anche interna all’amministrazione
ma deve avere i requisiti sopra richiamati cosa che, conoscendo bene almeno le realtà scolastiche locali, possiamo di norma escludere. In ogni caso è escluso che questo ruolo possa essere ricoperto dal Dirigente Scolastico (in quanto titolare del trattamento) o dal DSGA (che potrà invece essere nominato responsabile interno del trattamento).


Di norma le amministrazioni scolastiche devono quindi cercare il proprio RPD fra aziende e liberi professionisti che abbiamo l’alta professionalità ed esperienza richiesti dalla normativa e che siano disposti ad assumere tale incarico ad un costo contenuto (causa la limitatezza delle risorse finanziarie). La scelta dell’RPD non può essere fatta con leggerezza perché il RPD non funziona da parafulmine per il dirigente riguardo i trattamenti personali operati dall’amministrazione la cui responsabilità rimane sempre a carico del titolare e del responsabile del trattamento che rispondono personalmente in caso di inosservanza del GDPR (Art. 24 delle Linee Guida Gruppo Art. 29) e che devono essere in grado di dimostrare che le operazioni di trattamento sono conformi alle disposizioni del regolamento stesso (principio di accountability).

 
I NOSTRI SERVIZI

La nostra azienda fornisce oggi servizi di assistenza e consulenza normativa a più di 200 amministrazioni scolastiche o come RPD o come consulente privacy. In queste ultime settimane abbiamo acquisito più di 50 nuovi istituti scolastici per lo più del nord Sardegna per i quali, in mancanza di rapporti pregressi, svolgiamo il ruolo di RPD senza possibilità di conflitto di interessi.


Per le numerose scuole che assistiamo da anni come amministratori di sistema o a cui forniamo i nostri siti web e che ci hanno proposto di assumere l’incarico di RPD, questa incompatibilità va invece approfondita ed analizzata caso per caso. Causa possibili conflitti di intesse con altri servizi prestati dalla Vargiu Scuola Srl, in molti istituti del sud Sardegna non potremo quindi assumere o mantenere l’incarico di RPD ma, in presenza della fiducia dei nostri clienti, potremo continuare ad assistere queste scuole nell’attuazione del GDPR come consulenti privacy. In un simile contesto la nostra attività dovrà essere inquadrata in un ruolo consulenziale che si affiancherà a quello svolto dal RPD che dovrà comunque essere nominato.


Questo approccio garantisce a nostro parere una maggiore tutela del dirigente che potrà contare su due consulenti in materia di privacy, oltre che su un amministratore di sistema, riducendo addirittura i costi rispetto alla nomina di un solo RPD. C’è infatti da rilevare che un buon RPD ad una pubblica amministrazione, per piccola che sia, può costare qualche migliaia di euro se ci si rivolge ad un professionista che dia le dovute garanzie in termini di preparazione, competenza ed esperienza. Mettiamo in evidenza che i nostri costi decisamente contenuti non denotano la mancanza di tali caratteristiche ma derivano da una economia di scala che ci permette di proporre lo stesso servizio ad una molteplicità di clienti.


Le scuole nelle quali ricopriremo il ruolo di consulenti privacy e che ripongono in noi la loro fiducia possono invece scegliere il proprio RPD con maggiore serenità ed utilizzare come criterio di valutazione principale il costo, senza pretendere competenze ed esperienza particolarmente avanzate (e quindi costose). D’altronde questa figura potrà contenere le proprie pretese economiche considerando che la sua consulenza potrà essere svolta dietro richiesta esplicita della scuola mentre la nostra azienda garantirà la ben più impegnativa e dispendiosa consulenza di tipo proattivo con la produzione della documentazione, revisione delle procedure, definizione e gestione delle misure di sicurezza, etc. Come amministratori di sistema avremo poi la possibilità di implementare direttamente qualunque misura adottata dalla scuola a differenza del RPD che dovrà limitarsi ad esprimere il suo parere su cosa bisogna fare senza possibilità di implementarla direttamente per non cadere a sua volta in un conflitto di interessi.


In pratica le scuole devono entrare nell’ottica di avere due fornitori che in modo indipendente garantiscano uno il servizio di RPD e l’altro quello di amministratore del sistema informatico. La nostra azienda, grazie ad una struttura costituita da 7 tecnici e consulenti esperti, è in grado di svolgere in modo ottimale entrambe le funzioni con una predilezione del ruolo di RPD per le scuole sarde più lontane e di amministratore di sistema e consulente privacy per le scuole più vicine.


Servizi di consulenza privacy a costi estremamente contenuti possono essere forniti alle scuole del continente che potranno ricevere il nostro materiale e la nostra consulenza come anche alle scuole sarde che hanno già nominato il loro RPD ma sono comunque interessate ai nostri servizi.

 
Per qualunque informazione o richiesta di preventivo scrivete a Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo. o chiamate i numeri 070271526 - 070271560

 

 

 

 

 

 

 

 

 

Via dei Tulipani 7-9 09032 Assemini tel 070271560 - 070278289
2020  Vargiuscuola.it  P. IVA 03679880926  informativa privacy - note legali