Come saprai la figura del responsabile della protezione dei dati (RPD) o data protection officer (DPO) è una delle novità introdotte dal GDPR.
Nell’articolo 39, il nuovo regolamento generale sulla protezione dei dati assegna al DPO i seguenti compiti:
- Informare e fornire consulenza al titolare del trattamento
- Sorvegliare l’osservanza del regolamento e di altre disposizioni dell’Unione o degli Stati membri, relative alla protezione dei dati
- Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento
- Cooperare con l’autorità di controllo
- Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento
Come puoi evincere da ciò, al DPO non vengono assegnati compiti relativi all’analisi dello stato di conformità dell’istituto o di produzione documentale.
Per far sì che la scuola risponda in maniera adeguata alle richieste del GDPR è pertanto necessario integrare alla nomina del DPO quella di una figura dotata di competenze specifiche in ambito scolastico, deputata a svolgere le operazioni sopra descritte.
Noi di “GDPR Scuola” ci assumiamo l’onere di analizzare ogni singolo trattamento, in modo da evidenziarne le criticità e risolverle, e di produrre la documentazione necessaria a comprovare l’adeguamento alla nuova normativa europea da parte della scuola.
Per fare ciò abbiamo sviluppato il metodo “GDPR Scuola”.
Con tale metodo, abbiamo incentrato i nostri servizi per le scuole su:
- Obbligo di valutazione preliminare di impatto sulla tutela dei dati (“Data Protection Impact Assessment”), con una puntuale analisi dei rischi
- Adozione del “principio di “Accountability”, che si esplica nel dimostrare di avere adottato misure di sicurezza adeguate ed efficaci a protezione dei dati e che le proprie attività sono in linea con quanto prescritto dal regolamento europeo
- Creazione e aggiornamento di un “Registro delle attività di trattamento dei dati”, con relativa descrizione delle misure di sicurezza adottate (adempimento molto più rigoroso rispetto al precedente “Documento programmatico per la sicurezza”)
- Obbligo di nomina di un “Data Protection Officer” (DPO) o “Responsabile della protezione dei dati (RPD)”, figura che dovrà garantire la sorveglianza sulla corretta applicazione della normativa
- Rispetto dei principi di “Privacy by design e by default”, in base ai quali il titolare del trattamento garantisce la protezione dei dati personali fin dalle prime fasi di sviluppo degli strumenti atti a raccogliere le informazioni e dall’inizio della raccolta delle stesse
- Notifica in caso di violazioni dei dati personali (“Data breach”), tramite comunicazione immediata delle infrazioni al Garante e agli interessati