Da oggi, 25 maggio, in vigore il GDPR, il Regolamento generale sulla protezione dei dati. Il Ministero dell’Istruzione pubblica le indicazioni per le scuole che riportiamo di seguito.

Il Regolamento europeo in materia di protezione dei dati personali (c.d. GDPR) attribuisce ai soggetti pubblici una significativa discrezionalità nella individuazione delle modalità organizzative di adeguamento alle novità in esso previste. Al fine di consentire l’avvio di un percorso di attuazione del suddetto Regolamento, in attesa dell’emanazione del decreto legislativo nazionale di dettaglio, si ritiene opportuno, in accordo con il Dipartimento per il sistema educativo di istruzione e formazione, fornire indicazioni alle scuole, anche in considerazione delle necessità e delle criticità rappresentate dalle organizzazioni sindacali in occasione dell’incontro tenutosi presso questo Dipartimento in data 18 maggio u.s.

Il GDPR: in ogni scuola un Responsabile della protezione dati personali

Come noto, ciascun istituto scolastico, in virtù della propria autonomia, deve dotarsi in via prioritaria del Responsabile della protezione dati personali. Tale figura, interna o esterna, deve essere connotata dai requisiti di autonomia e indipendenza, operare senza conflitto di interessi e possedere specifiche competenze in materia di trattamento dei dati personali. Tenendo conto della previsione dell’articolo 37, comma 3 del Regolamento riguardo alla nomina di un unico Responsabile della protezione dei dati per più autorità pubbliche, è consentito a più scuole di avvalersi di un unico Responsabile. Pertanto, gli Uffici Scolastici Regionali dovranno svolgere in questo ambito un fondamentale ruolo di interlocuzione e di coordinamento nei confronti delle istituzioni scolastiche per promuovere soluzioni condivise. L’atto di designazione di un unico Responsabile della protezione dei dati personali potrà, ad esempio, avvenire attraverso la decisione congiunta di scuole già costituite in reti di scopo poste in essere per l’attuazione di procedure amministrative di interesse comune. Al medesimo risultato, si potrà pervenire favorendo la conclusione di accordi volti a disciplinare lo svolgimento in collaborazione di attività di interesse comune per l’individuazione di un unico Responsabile della protezione dei dati personali, attraverso il coinvolgimento contestuale degli istituti scolastici dislocati nello stesso ambito regionale, provinciale o subprovinciale, a seconda delle peculiarità territoriali, soddisfacendo, comunque, il requisito della cosiddetta “raggiungibilità” del Responsabile per la protezione dei dati proprio per assicurare un efficace supporto al Titolare del trattamento.

GDPR: il corso di formazione online del Miur

Inoltre, come importante misura di accompagnamento al percorso di adeguamento, per assicurare una formazione adeguata e capillare sui temi e le nuove problematiche che concernono il trattamento dei dati personali alla luce del suddetto Regolamento, il MIUR provvederà a rendere accessibile entro la prossima settimana a tutto il personale scolastico il corso di formazione on line, della durata di nove ore, in questi giorni fruito dal personale del Ministero. Nelle prossime settimane verrà, poi, definita l’organizzazione di un sistema di formazione a rete, così come configurato e realizzato per il Piano Nazionale Scuola Digitale, prevedendo degli incontri formativi interregionali indirizzati in via prioritaria ai dirigenti scolastici e ai direttori dei servizi generali ed amministrativi (DSGA).

GDPR: il modello standard di Registro delle attività di trattamento dei dati personali

Infine, per supportare ulteriormente le istituzioni scolastiche, al fine di assicurare la creazione di un corretto sistema di protezione dei dati personali, sarà trasmesso nelle prossime settimane un modello standard di Registro delle attività di trattamento dei dati personali come previsto dall’articolo 30 del succitato Regolamento.