Alzi la mano chi, navigando su internet alla ricerca di qualche informazione sul GDPR, non si è mai imbattuto nel termine accountability.
Tutti gli articoli presenti in rete lo definiscono come uno dei pilastri su cui si fonda l’impianto normativo del nuovo regolamento in materia di protezione dei dati.
Ma cosa si intende propriamente per accountability?
Questa parola, tradotta in italiano, suona come “responsabilizzazione”, ed è riferita al titolare del trattamento dei dati, il quale deve operare nel pieno rispetto dei principi elencati dalla nuova normativa europea.
Nel caso della scuola, il titolare è il dirigente scolastico, il quale, oltre a dover affrontare ogni anno i soliti problemi legati all’amministrazione e alla didattica, deve ora anche fare i conti con la novità GDPR.
Per rendere la scuola conforme al regolamento, egli ha dunque il compito di valutare quali siano le azioni più appropriate da svolgere nel corso del trattamento dei dati, documentarle, e dimostrarne la piena rispondenza ai nuovi principi introdotti.
Ma perché è davvero fondamentale essere “accountable”?
Perché la mancata conformità al GDPR potrebbe comportare l’applicazione di pesanti sanzioni e ledere i diritti di riservatezza di ogni singolo utente della scuola, in particolar modo dei minori.
Quindi, in sostanza, quali sono i principi da rispettare?
Quelli definiti dal legislatore europeo all’articolo 5 del GDPR, ossia:
1) Liceità, correttezza e trasparenza del trattamento
Liceità: il trattamento dei dati deve essere rispettoso delle disposizioni del Regolamento e delle Carte sovranazionali e nazionali dei diritti dell’uomo e del cittadino e delle altre norme di legge.
Correttezza: il titolare non deve violare norme di legge o commettere abusi nel trattamento dei dati.
Trasparenza: il titolare deve essere il più possibile chiaro e preciso negli obblighi informativi nei confronti dell’interessato.
2) Limitazione delle finalità
I dati devono essere raccolti per finalità determinate, esplicite e legittime.
3) Minimizzazione dei dati
I dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati.
4) Esattezza
I dati trattati devono essere esatti e se necessario aggiornati (compresa la tempestiva cancellazione delle informazioni improprie rispetto alle finalità del trattamento).
5) Limitazione della conservazione
I dati devono essere conservati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento (una volta conseguite le finalità di trattamento, i dati vanno eliminati o anonimizzati).
6) Integrità e riservatezza
I dati devono essere trattati in maniera da garantire un’adeguata sicurezza delle informazioni, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti, e dalla perdita, dalla distruzione o dal danno accidentale.
Ora ti chiederai: ma è sufficiente che il dirigente scolastico faccia propri questi principi?
Assolutamente no! Deve anche essere in grado di comprovarne il pieno rispetto da parte della scuola!
Nell’articolo 24 del GDPR viene infatti affermato che il titolare deve mettere “in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento”.
Spetta pertanto al dirigente decidere autonomamente modalità, garanzie e limiti del trattamento alla luce dei criteri sopra indicati.
Perciò, riassumendo, ecco gli obblighi imposti al dirigente dal principio di responsabilizzazione:
- Fornire informazioni agli interessati in merito ai trattamenti
- Redigere un registro delle attività di trattamento
- Formare il personale
- Designare un responsabile della protezione dei dati
- Nominare i responsabili del trattamento dei dati e gli incaricati
- Progettare il trattamento
- Adottare opportune misure tecniche e organizzative per garantire un livello di sicurezza adeguato in base al rischio
- Valutare l’impatto sulla protezione dei dati
- Notificare le violazioni dei dati alle autorità di controllo
Come puoi immaginare, adempiere a tutti questi obblighi non è per nulla semplice.
Le cose da fare sono tante ed è pertanto necessario affidarsi a professionisti del settore che uniscano competenze amministrative, normative e giuridiche.