GDPR 2018, le Scuole italiane come si devono adeguare?

Il GDPR 2018 e le Scuole Italiane: un connubio che ancora non è abbastanza stretto. Qual è la situazione per le Scuole? Come si devono adeguare?

Il GDPR 2018 anche per le Scuole Italiane si applicherà a partire dal 25 maggio 2018. La sigla GDPR sta diventando familiare, anche se in molti si stanno ancora interrogando sulle conseguenze: cosa comporterà il GDPR, in termini di adempimenti?

Le scuole, sia pubbliche che private, risulteranno essere, tra tutte le istituzioni, quelle maggiormente nell’occhio del ciclone. Non solo per l’enorme mole di dati che dovrà essere messa in sicurezza ma soprattutto perché, nella stragrande maggioranza dei casi, le informazioni riguarderanno i minori.

Si deve intanto riflettere sulla quantità e qualità dei dati personali che le scuole sono tenute, per compiti istituzionali, a trattare e ad archiviare ma anche ad altri che si trovano a detenere, sui processi di trattamento e le modalità anche tecniche di archiviazione e comunicazione.

Non ci sono alibi:

• Il GDPR è un Regolamento, non una Direttiva: non richiede una legge nazionale di recepimento, è immediatamente esecutivo.
• Il GDPR è stato approvato il 24 maggio 2016: non richiede ulteriori approvazioni.
• Il GDPR prevede, con un proprio articolo, che la piena applicabilità delle nuove norme decorra dal 25 maggio 2018, solo per consentire alle organizzazioni pubbliche e private di adeguarsi: non ci saranno rinvii.

Necessario dunque che ogni Scuola, in questi ultimi giorni faccia un riepilogo e metta a fuoco gli ultimi interventi necessari per adeguare la propria organizzazione:

• aggiornare la tecnologia,
• rivedere i rapporti con i fornitori di servizi – outsourcing, cloud, supporto applicativo, call center
• assolvano ai propri compiti in modo conforme al nuovo quadro legislativo.

Cosa dovranno fare le Scuole?

Come ogni altra amministrazione pubblica, le scuole dovranno nominare un RPD, un (Responsabile Protezione Dati) che dovrà occuparsi delle politiche della privacy dell’istituto e che sarà responsabile come il dirigente di eventuali violazioni del regolamento.

La nuova norma dice anche che qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui alla legge ed il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

Tra gli adempimenti che vanno messi in atto c’è quello di adottare un registro in cui saranno inseriti i dati degli utenti sia che se ne venga in possesso in forma fisica che elettronica.

Le sanzioni per eventuali violazioni sono pesanti e coinvolgono anche dirigenti scolastici e direttori amministrativi.

Che cos’è il DPO?

Il DPO  è un consulente esperto, che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali; in tal modo si garantisce che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e le misure di sicurezza, in considerazione della crescente importanza e complessità del settore.

Banca Dati DPO

In questi giorni è stata predisposta la banca dati dei DPO: i dati sensibili, inviati tramite la procedura telematica, consentiranno all’Autorità di organizzare e gestire l’elenco nazionale dei Dpo. L’obiettivo è quello di creare una banca dati nazionale che possa rispondere a diversi scopi, primo fra tutti, quello di poter contattare e dialogare in modo rapido con i responsabili della protezione dei dati. Avere una mappa aggiornata di tutti i Dpo, infatti, consentirà di poterli contattare per inviare documentazione e aggiornamenti o segnalare iniziative.