Una delle prime azioni che un DS, neoassunto o nuovo arrivato in un’istituzione scolastica si trova a portare a termine è la nomina del RPD che, insieme al Medico Competente e al RSPP, Responsabile del Servizio Prevenzione e Protezione costituisce la struttura di supporto esterno che coadiuva il Dirigente scolastico nelle scelte e nella gestione della vita scolastica. Se l’RSPP si occupa del settore sicurezza fisica dei lavoratori e il Medico Competente della sicurezza sanitaria, l’RPD ha un ruolo per certi versi importantissimo ma spesso poco considerato, non solo nelle scuole ma più o meno in tutte le amministrazioni pubbliche: la gestione dei dati.
Che cos’è l’RPD
Il Responsabile della Protezione dei dati è una figura ormai imprescindibile anche per le istituzioni scolastiche. Nell’ultimo decennio, infatti, le scuole hanno visto moltiplicarsi il numero di attività burocratiche. Di conseguenza, esse finiscono per trattare una mole infinita di dati personali di alunni, genitori, personale dipendente, fornitori e di qualunque altro soggetto che abbia rapporti con l’Istituto medesimo e che a questo conferisca, volontariamente o per obbligo, i propri dati personali. Una gestione che si è fatta man mano sempre più complessa, data anche la profonda informatizzazione che i servizi legati alle scuole hanno intrapreso. Proprio in virtù di questa situazione, un soggetto competente nella gestione e nel trattamento dei dati che affianchi il Dirigente in primis, ma l’Istitutizone scolastica in toto, nella gestione, complessa dei dati trattati è imprescindibile, anche perché l’articolo 37 del Regolamento (UE) 2016/679, in vigore dal 24 maggio 2016 e applicabile in Italia a partire dal 25 maggio 2018, prevede l’obbligo per il titolare o il responsabile del trattamento di designare il RPD quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico. Si tratta, in sintesi, di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).
Il Responsabile della protezione dei dati (RPD), altrimenti detto Data Protection Officer (DPO), è dunque una figura obbligatoria la cui scelta deve essere adeguatamente motivata. Come accade anche per l’RSPP, l’RPD può essere una figura interna o esterna, ma è buona norma che la scelta sia fatta in funzione delle sue qualità professionali, ovvero, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, oltre che della capacità di assolvere i compiti assegnati ai sensi del GPDR.
Qualora si scelga di individuare quale figura del DPO un soggetto interno, la procedura di nomina è più semplice: basterà formalizzare la scelta attraverso un apposito atto di nomina, in ordine al quale il Garante ha reso disponibile uno schema tipo.
Se invece si opta per un soggetto esterno, la designazione deve costituire parte integrante del contratto di lavoro autonomo o di servizi, redatto conformemente all’art.37 del GDPR. Il Garante ha di recente precisato che il DPO, per il quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Coopera con il Garante e proprio per questo, il suo nominativo va comunicato al Garante; (faq 6).
Il mondo di Radar 