La diffusione di una tecnologia sempre più pervasiva, di social network e di supporti come smartphone e tablet, ha orientato già da tempo l’Unione europea verso una revisione delle politiche sulla privacy, tanto che ora il Regolamento europeo 679/2016 abroga la Direttiva prima ricordata, introducendo un orientamento nuovo, attento alla dimensione della responsabilità più che ad approcci di tipo autorizzatorio.
L’attenzione è concentrata sul Titolare del trattamento che deve poter dimostrare di aver posto in essere un insieme di misure atte alla protezione dei dati personali, anche mediante la messa in atto di modelli organizzativi.
Come sappiamo, il Regolamento è direttamente applicabile dal 25 maggio 2018 e non richiederebbe un ulteriore intervento del legislatore nazionale.
Tuttavia, come è avvenuto in altri Paesi, si è ritenuto necessario adeguare la normativa italiana. La delega è stata conferita con legge 25 ottobre 2017, n. 163.
È stata nominata, presso il Ministero della Giustizia, una Commissione incaricata di adeguare la normativa italiana; lo schema di decreto legislativo è stato approvato in via preliminare. Dovrà ora proseguire il suo iter.
Lo Schema di decreto legislativo prevede l’abrogazione del dlgs 196/2003. Una parte del Codice della Privacy è comunque sostituita dal Regolamento; tuttavia alcuni articoli sarebbero rimasti in vigore e pertanto la scelta dell’abrogazione consentirà di mantenere due riferimenti normativi (il Regolamento e il decreto di adeguamento) anziché tre (la parte che sarebbe stata ancora in vigore del Codice).
Ai dirigenti scolastici con maggiore anzianità di servizio tornano alla mente i tormenti del Documento programmatico della Sicurezza (DPS). Infatti, con la pubblicazione del Codice in materia di protezione dei dati personali, fu estesa anche alle istituzioni scolastiche l’applicazione delle misure minime di sicurezza, entro la data del 31 dicembre 2004. Tra queste misure particolare importanza veniva assegnata per il trattamento con strumenti elettronici, alla redazione del DPS da aggiornare entro il 31 marzo di ogni anno. In rete sono ancora rintracciabili modelli ed indicazioni per questo adempimento.
Successivamente, con sollievo generale, l’obbligatorietà della redazione del DPS è stata eliminata con DL 5/2012, convertito con modificazioni dalla L. 4 aprile 2012, n. 35.
Il DPS, doveva contenere:

1. l’elenco dei trattamenti di dati personali;
2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
3. l’analisi dei rischi che incombono sui dati;
4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.”(punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza- Allegato B al Codice)

Non sono però mai stati aboliti gli altri obblighi in materia di sicurezza nel trattamento dei dati, in termini ad esempio di individuazione e formazione del Responsabile e degli Incaricati del trattamento, di assegnazione di password di autenticazione, di protezione dei sistemi informatici da rischio di intrusione.
La questione privacy è divenuta in questi anni così rilevante nelle istituzioni scolastiche da costringere il Garante ad intervenire addirittura con un Vademecum (La scuola a prova di privacy) mentre sono stati innumerevoli i contenziosi accesi in materia di trattamento dei dati.
Ora il fondato timore è che la situazione si aggravi ulteriormente e che alle istituzioni scolastiche vengano richiesti adempimenti anche molto onerosi. Ad esempio una domanda che molti si pongono è se anche per le singole istituzioni scolastiche sia obbligatoria l’individuazione del Responsabile della protezione dei dati (RPD). Questa figura, prevista dal Regolamento, deve possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze. Il Responsabile della protezione dei dati deve adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. Si tratta evidentemente di una professionalità elevata e la cui retribuzione potrebbe impegnare in modo importante i bilanci delle istituzioni scolastiche.
La Cisl Scuola ha sollecitato un intervento del Miur, affinché vi sia un’azione di accompagnamento e anche per verificare la possibilità di un’individuazione del RPD da parte di reti di scuole. Il Regolamento lo consentirebbe e la scelta potrebbe consentire un’economia di scala.
In attesa che la Direzione generale per i contratti, gli acquisti e per i sistemi informativi e la statistica offra indicazioni, a partire dal prossimo numero di Dirigenti news forniremo chiarimenti ed approfondimenti per la messa in atto di efficaci modelli organizzativi.