DPO e Formazione obbligatoria del personale

Clicca qui per scaricare la nostra offerta

Una delle novità introdotte dal Regolamento è la figura del Data Protection Officier (DPO), ovvero il Responsabile della Protezione dei Dati (RPD); viene nominato dal titolare del trattamento o dal responsabile del trattamento e dovrà avere i seguenti requisiti:

  • Adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze.
  • Adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il DPO/RDP non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali.
  • Operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno). Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Nello svolgimento del suo compito dovrà, in particolare:

  • Sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  • Collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
  • Informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
  • Cooperare con il Garante e fungere per lui da punto di contatto su ogni questione connessa al trattamento;
  • Supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

La figura del DPO ha un ruolo obbligatorio fondamentale: deve possedere competenze normative, tecniche, comunicative e di conoscenza profonda dell’organizzazione. È una figura nuova e complessa per le Scuole e potrebbe essere una figura interna all’Ente e dotata di autonomia e di risorse. Con molta probabilità le Amministrazioni come le Scuole dovranno ricercare questa figura all’esterno della loro organizzazione, proprio per la mancanza di risorse adeguate. Poiché tale figura assume un ruolo strategico all’interno dell’Amministrazione, sarebbe opportuno esigere competenza e affidabilità.
Apicella Sistemi ha i requisiti previsti dalla normativa per rivestire il ruolo DPO/RPD, potendo contare  su competenze specifiche maturate nel settore scolastico, proprio nei campi dell’informatica giuridica e delle nuove tecnologie.
Sul sito del Garante sono pubblicate delle linee guida specifiche per la figura del Responsabile.

L’importanza della formazione nel nuovo Regolamento è confermata dall’art. 32 “Sicurezza del trattamento”, il cui paragrafo 4 prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto
dell’Unione o degli Stati membri”.
La competenza in materia, acquisita tramite le formazione, rappresenta un prerequisito per poter agire all’interno delle Scuole; dovrebbe essere interdisciplinare e curare aspetti sia informatici che giuridici, e altresì occuparsi di figure interne all’Amministrazione, con un taglio prevalentemente pratico.
La formazione ha il ruolo di chiarire i rischi generali e specifici del trattamento dei dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni. L’obbligo formativo non dovrebbe in alcun modo essere sottovalutato: l’adempimento degli obblighi formativi è spesso oggetto di accertamenti ispettivi da parte dell’Autorità Garante Privacy e da parte della Guardia di Finanza che ha rinnovato nel 2016 il protocollo di intesa con l’Autorità.
Proprio il Garante, in diversi casi, in sede ispettiva ha richiesto di acquisire il programma ed il piano di formazione, le dispense, i materiali erogati, il test finale ed ha analizzato il profilo delle istruzioniagli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materiadi password e di videosorveglianza).

Abbiamo pianificato percorsi formativi:

  • Per le diverse figure, quali le figure apicali, gli amministratori di sistema, i nuovi assunti e le persone autorizzate al trattamento.
  • Erogati in presenza.
  • Con sessioni di lavoro pratiche.
  • Con prove finali nel percorso formativo.
  • Con sessioni di aggiornamento alla luce delle modifiche normative, organizzative e tecniche.
  • Con percorso formativo alternativo, in caso di mancato superamento del test finale, ed un nuovo esame di verifica.

Tutti i nostri formatori sono altamente qualificati. La previsione di eventi formativi diretti al personalee ai collaboratori concretizza il principio di “accountability” ossia di responsabilizzazione del Titolaredel trattamento, previsto dal Regolamento Europeo.
La formazione è quindi uno strumento che dimostra che il trattamento dei dati sia lecito, corretto, trasparente, pertinente, adeguato, legittimo e che vengano rispettati i principi di minimizzazione, di conservazione dei dati e le misure di sicurezza adeguate previste.

< Torna al GDPR. 

Responsabile della protezione dati (RPD o DPO)
Soggetto interno/esterno
Persona fisica/giuridica o Gruppo di Lavoro con incarico specifico
Per tutte le Amministrazioni Pubbliche, incluse le Scuole, è obbligatoria la nomina di un Responsabile della Protezione Dati. L’incarico può essere affidato sia a personale interno che a soggetto esterno, quando non vi siano conflitti d’interesse. In funzione della complessità e della quantità di dati trattati, può essere individuato un team di persone che svolgono tale funzione, purché siano ben definite le mansioni e le responsabilità al suo interno. Così, anche nel caso di affidamento dell’incarico a persona giuridica esterna, la quale può assolvere tale compito incaricando più persone (ma sarebbe opportuno individuare una persona specifica quale referente nei rapporti con l’ente). Il RPD agisce in autonomia (non riceve alcuna istruzione per quanto riguarda l’esecuzione di tali compiti) e funge da collegamento fra Titolare/Responsabile, gli interessati e l’autorità di controllo. I suoi compiti devono essere chiaramente definiti e devono essergli garantiti supporto, risorse e tempi di lavoro adeguati allo svolgimento della sua funzione. Nel caso di personale interno deve inoltre essergli garantita una formazione permanente per permettergli di rimanere aggiornato sugli sviluppi nel settore della protezione dei dati. Al RPD deve essere dato ampio accesso alle informazioni e deve essere interpellato per ogni problematica inerente la protezione dei dati e per ogni attività che implica un trattamento dati, fin dalla sua progettazione. Il RPD ha il compito di coadiuvare il Titolare/responsabile nella valutazione d’impatto e nella redazione del Registro dei Trattamenti, oltre che nella sorveglianza del rispetto del GDPR all’interno dell’Amministrazione Scolastica; deve fornire consulenza al Titolare/Responsabile e al personale interno coinvolto nel trattamento dati sull’applicazione del GDPR. Curerà le comunicazioni con l’autorità di controllo e con gli interessati. Nell’assolvimento dei suoi compiti il RPD non potrà essere penalizzato o rimosso. Le eventuali osservazioni del RPD sull’applicazione del GDPR possono essere non accolte dal Titolare/Responsabile, specificandone i motivi. La responsabilità di eventuali mancanze è comunque a carico del solo Titolare/Responsabile. Il RPD deve essere facilmente contattabile dal personale interno, dagli interessati e dall’autorità di controllo. Pertanto i suoi recapiti (è consigliato indicare anche il nominativo, ma non è obbligatorio) devono essere ampiamente pubblicizzati.
I recapiti del RPD devono essere forniti all’interessato nell’informativa.
La figura deve avere ampia autonomia. Ogni Amministrazione Scolastica valuterà in base alle proprie disponibilità e caratteristiche se affidare l’incarico a personale interno o esterno. È importante verificare che non vi siano conflitti d’interesse, ossia che il RPD nominato non debba controllare attività nelle quali è direttamente coinvolto.