Upload
vuongcong
View
218
Download
0
Embed Size (px)
Citation preview
1 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
Questo paragrafo è estratto dal capitolo “Diritto alla riservatezza: dal Codice Privacy al GDPR”
in quanto a partire dal 25 maggio 2018 dovrà essere attuato il nuovo Regolamento europeo sulla
protezione dei dati personali che sostituisce il Codice privacy (D. Lgs 196/2003). I fondamenti di
liceità del trattamento del Regolamento coincidono, in linea di massima, con quelli previsti dal
Codice privacy D.lgs. 196/2003.
Evoluzione storica dal Codice privacy al GDPR
Il 24 maggio 2016 è entrato in vigore il Regolamento Generale Europeo (UE 679/2016 - Pubblicato
nella Gazzetta Ufficiale europea il 4 maggio 2016) sulla protezione dei dati personali delle persone
fisiche denominato GDPR (General Data Protection Regulation). Il Regolamento rappresenta la
normativa di riforma della legislazione europea in materia di protezione dei dati. La sua attuazione,
è stata prevista a distanza di due anni, quindi a partire dal 25 maggio 2018. Trattandosi di un
regolamento europeo, non necessita di recepimento da parte degli Stati dell'Unione e verrà attuato
da tutti allo stesso modo, attuandosi così di fatto la definitiva armonizzazione della
regolamentazione in materia di protezione dei dati personali all'interno dell'Unione europea.
Il GDPR più esplicito della direttiva 95/46/CE, proclama la tutela del diritto alla protezione dei dati
personali inteso come diritto fondamentale delle persone fisiche. Art. 1 par. 2 “Il presente
regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto
alla protezione dei dati personali”.
La Direttiva 95/46/CE del Parlamento e del Consiglio d'Europa, sino all’attuale riforma, è stato il
principale strumento giuridico dell'Unione europea in materia di protezione dei dati. È stata
adottata il 24 ottobre 1995, con lo specifico fine di armonizzare il livello di tutela dei diritti delle
persone riguardo al trattamento di dati personali.
L'applicazione della suddetta Direttiva si estendeva a tutto lo Spazio Economico Europeo, quindi
ben oltre il territorio dell'Unione. In Italia è stata attuata con la legge n. 675 del 31 dicembre 1996,
poi abrogata dal Codice privacy cioè dal D.Lgs 30 giugno 2003, n. 196, nel quale si prevede il
diritto a non vedere trattati i propri dati senza consenso, ma anche l’adozione di cautele tecniche ed
organizzative che tutti devono rispettare per procedere in maniera corretta al trattamento dei dati
altrui.
La Direttiva 95/46/CE presentava evidenti carenze, dovute all'evoluzione della tecnologia, e dei
trattamenti automatizzati, successivi alla sua approvazione. Per questo motivo si è reso necessario
affiancarle un altro strumento normativo dell'Unione europea in materia di protezione dei dati
personali, la Direttiva 2002/58/CE (ePrivacy), poi modificata dalla Direttiva 2009/136/CE, relativa
al trattamento dei dati personali e alla tutela della vita privata nel settore delle
comunicazioni elettroniche.
L'aumento esponenziale dei servizi online e i conseguenti rischi per i diritti dei cittadini, da
coniugare con i crescenti problemi di sicurezza, e quindi le necessità di accedere per fini di polizia
e prevenzione alle telecomunicazioni, hanno portato ad un ripensamento radicale dell'intero
impianto normativo, che è sfociato nella riforma del 2016, ovvero nell’attuale Regolamento
(GDPR) che sarà attuato a partire dal 25 maggio 2018.
Il GDPR è una normativa che deve essere rispettata da tutte le Pubbliche amministrazioni,
Istituzioni scolastiche comprese, dai professionisti e dalle aziende con sede nell’Unione Europea,
nonché da tutti quei soggetti che, pur avendo sede al di fuori della UE, elaborano trattano e
collezionano dati dei cittadini dell’Unione Europea, quest’ultimi c.d. “interessati”.
2 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
Le sanzioni per le aziende che disattendono il Regolamento sono molto pesanti, potranno arrivare
fino a 20 milioni di euro o al 4% del fatturato mondiale totale dell’anno precedente se superiore.
Ciascuno Stato europeo avrà inoltre la facoltà di definire ulteriori sanzioni che dovranno essere
effettive, proporzionate e dissuasive. L’informativa deve essere molto dettagliata e deve indicare le
finalità, i soggetti terzi che hanno accesso ai dati e deve essere fornita a tutti gli interessati.
DPO (Data Protection Officer)
Tra le specifiche misure sulla protezione dei dati personali obbligatorie, per gli Enti pubblici e le
organizzazioni che effettuano il trattamento su larga scala di dati sensibili vi è la designazione di
una nuova figura (anche per le Istituzioni scolastiche), il DPO (Data Protection Officer), ovvero il
Responsabile della protezione dei dati (acronimo italiano RPD).
Il responsabile della protezione dei dati personali è una figura prevista dall'art. 37 del Regolamento
(UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per
assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente
all'applicazione del Regolamento medesimo. Coopera con l'Autorità (e proprio per questo, il suo
nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli
interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del
Regolamento).
L'art. 37, par. 1, lett. a), del GDPR prevede che i titolari e i responsabili del trattamento designino
un RPD «quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico,
eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali». Quindi
alle istituzioni scolastiche viene attribuito tale obbligo.
Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni
formali o l'iscrizione in appositi albi, deve possedere un'approfondita conoscenza della normativa e
delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che
caratterizzano lo specifico settore di riferimento:
deve avere competenze Gestionali, Tecniche e Giuridiche;
deve poter accedere al sistema di protezione per conoscere tutte le modalità di come vengono
utilizzati/gestiti i dati;
ha il compito di verificare che l’utilizzo quotidiano dei dati e dei sistemi di protezione delle
informazioni avvenga in conformità al Regolamento (GDPR);
deve essergli garantito il supporto informativo e finanziario necessario a mantenere le
competenze specifiche nel rispettivo ambito di applicazione.
deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da
svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato
di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure
(anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare.
deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente
ai vertici;
deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per
l'espletamento dei propri compiti.
Come accade nei settori delle cosiddette "professioni non regolamentate", si sono diffusi schemi
proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti
3 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall'art. 42 del RGPD) sono
rilasciate anche all'esito della partecipazione ad attività formative e al controllo dell'apprendimento.
Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso
di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una
"abilitazione" allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio
rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti
dall'art. 39 del GDPR.
Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da una figura interna
che conosca la realtà operativa in cui avvengono i trattamenti; l'incarico può essere anche affidato a
soggetti esterni, a condizione che garantiscano l'effettivo assolvimento dei compiti che il
Regolamento (UE) 2016/679 assegna a tale figura. Qualora il responsabile della protezione dei dati
personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona
giuridica.
Nel caso in cui la scelta del RPD ricada su una professionalità interna all'ente, occorre formalizzare
un apposito “atto di designazione” a Responsabile per la protezione dei dati. In caso, invece, di
ricorso a soggetti esterni all'ente, la designazione costituirà parte integrante dell'apposito “contratto
di servizi” redatto in base a quanto previsto dall'art. 37 del GDPR. Tali atti, da redigere in forma
scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro
svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento. A tal fine è
possibile utilizzare il modello A allegato - schema di atto di designazione.
Nell'atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le
motivazioni che hanno indotto l'ente a individuare, nella persona fisica selezionata, il proprio RPD,
al fine di consentire la verifica del rispetto dei requisiti previsti dall'art. 37, par. 5 del GDPR, anche
mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione
dei criteri utilizzati nella valutazione compiuta dall'ente nella scelta di tale figura, oltre a essere
indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del
rispetto del principio di «responsabilizzazione».
Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (nel nostro caso potrebbe
essere l’USR o l’UST o una Rete di scuole) possa designare un unico responsabile della protezione
dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento.
Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con
le autorità di controllo.
Nell'esecuzione dei propri compiti, il responsabile della protezione dei dati personali, interno o
esterno che sia, dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e,
ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un
responsabile per la protezione dei dati personali resta comunque pienamente responsabile
dell'osservanza della normativa in materia di protezione dei dati.
I Titolare o il Responsabile del trattamento, una volta individuato il Responsabile della protezione
dei dati, è tenuto a indicare, nell'informativa fornita agli interessati, i dati di contatto del RPD
pubblicando gli stessi nel sito Web ufficiale e nel contempo a comunicarli al Garante (art. 37, par.
7). Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella
sezione "Amministrazione Trasparente", oltre che nella sezione "Privacy" eventualmente già
presente.
4 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno
comunicati all'Autorità di controllo. A tal fine è possibile utilizzare il modello B allegato –
Comunicazione al Garante.
Obblighi delle Istituzioni scolastiche
Il GDPR, rispetto al precedente Codice della privacy, introduce misure più stringenti per le
Istituzioni scolastiche con precisi obblighi per i titolari e i responsabili:
Ambito territoriale: Il Regolamento si applica ad ogni trattamento che ha ad oggetto dati
personali, e a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel
territorio dell'Unione, ma anche in generale a quelli che trattano dati di residenti nell'Unione
europea (art. 3 del Regolamento). In tal modo la sua applicazione non è limitata alle sole
aziende che si trovano in Europa, ma tutela tutti gli interessati che risiedono nel territorio
dell'Unione indipendetemente da dove si attua il trattamento dei loro dati;
Principi del GDPR: il trattamento dei dati deve essere fondato su principi di liceità, correttezza
e trasparenza;
Accountability: Il Regolamento enfatizza la responsabilizzazione del titolare e dei responsabili
del trattamento che si deve concretizzare nell’adozione di comportamenti proattivi a
dimostrazione della concreta adozione del regolamento;
Risk based: le aziende dovranno analizzare i rischi derivanti dal trattamento di dati sensibili,
mediante una valutazione preliminare d’impatto; spetta al titolare definire un sistema di
controllo sulla base dei rischi individuati avvalendosi anche degli strumenti tecnologici per
facilitare gli obblighi previsti dal Regolamento; questo tipo di approccio è sicuramente più
flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici, ma il fatto
di delegare all'azienda la valutazione del rischio rende più difficili le contestazioni in caso di
violazioni;
Privacy by design; Privicy by default:” il tipo di trattamento dovrà essere previsto e
configurato fin dall’inizio prevedendo le garanzie per tutelare i diritti degli interessati; l’uso dei
dati personali dovrà essere ridotto al “necessario” e dovranno essere adottate misure per
aggiornare, rettificare tempestivamente e proteggere i dati in maniera corretta;
Data Breach: spetta al titolare adottare una politica di governance e data protection adeguata in
modo proporzionale al rischio e in caso di Breach devono informare entro 72 ore le autorità di
protezione dei dati riguardo ad ogni violazione che metta a rischio i diritti degli individui e tutti
gli individui affetti in caso di violazione ad alto rischio;
Registro dei trattamenti: tale documento, in qualche modo, somiglia al dismesso DPS e dovrà
indicare il titolare, i responsabili, gli incaricati, le categorie di interessati, le procedure messe in
atto per il trattamento dei dati e le finalità;
Formazione: sussiste l’obbligo di istruire tutto il personale dipendente sulla nuova normativa;
Data Protection Officer (DPO): Nomina del Resposabile della Protezione dei Dati (RPD), di cui
all’art. 39, avente funzioni di “supporto e controllo, consultive, formative e informative”:
5 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
Sportello Unico: le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel
quale hanno la sede principale.
Maggiori diritti per gli “interessati”
Il GDPR introduce nuovi diritti per gli individui e il fatto che si applichi in tutti gli Stati
dell’Unione Europea rappresenta una grande conquista di cittadinanza per il “Popolo Europeo”
anche ai fini dell’armonizzazione legislativa. Esso rispetto al precedente Codice privacy garantisce:
maggiore protezione dei dati personali;
maggiore trasparenza con regole più chiare in materia di informativa e consenso;
diritto all’oblio: l’ interessato, onde evitare che notizie ritenute pregiudizievoli ed offensive
continuino ad essere di pubblico dominio, può ottenere la rimozione dai motori di ricerca di tutti
i link e riferimenti che rimandano ai contenuti online in questione, invocando il “diritto
all’oblio”.
portabilità dei dati personali da un titolare del trattamento ad un altro;
maggiori garanzie per i minori;
Alla luce di tali garanzie, gli interessati possono:
Accedere in qualsiasi momento ai loro dati personali
Sapere come vengono utilizzati e protetti i loro dati
Chiedere il trasferimento dei loro dati personali ad altro soggetto (portabilità del dato)
Essere tempestivamente informati in caso di furto dei propri dati
Avere garanzie sull’applicazione della normativa da parte dei soggetti interessati.
Garante Privacy
L'Autorità di controllo italiana (Garante Privacy) ha pubblicato una Guida che offre un panorama
delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista
della piena applicazione del regolamento, prevista il 25 maggio 2018. Attraverso raccomandazioni
specifiche vengono suggerite alcune azioni che possono essere intraprese da subito perché fondate
su disposizioni precise del Regolamento che non lasciano spazi a interventi del legislatore
nazionale, come invece avviene per altre norme del Regolamento, in particolare quelle che
disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di
legge.
Documentazione di interesse
La predisposizione e l'aggiornamento della documentazione è necessaria, in quanto indice di
corretta implementazione delle norme:
documentazione attestante i trattamenti svolti (registro dei trattamenti; valutazione di
impatto, trasferimento dati extra UE);
documentazione attestante il rispetto dei diritti degli interessati (informative, moduli
raccolta consenso)
documentazione di ripartizione ruoli e responsabilità (contratti e nomine dei responsabili
esterni e incaricati; procedure interne, ecc...);
documentazione attestante le misure di sicurezza implementate.
6 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
Base giuridica del trattamento
Il Regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base
giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del Regolamento e
coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy - D.lgs.
196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o
di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri,
interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).
Art. 6 - Liceità del trattamento
1- Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a. l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più
specifiche finalità;
b. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o
all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del
trattamento;
d. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra
persona fisica;
e. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso
all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del
trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà
fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se
l’interessato è un minore.
Attuazione del Regolamento
Il GDPR è una norma complessa e per la sua attuazione richiede alle istituzioni scolastiche
un’attenta revisione dei dati che raccolgono e trattano, una verifica delle basi giuridiche per tali
trattamenti e l'impatto di tali trattamenti per gli interessati. I principi generali del GDPR possono
riassumersi in responsabilità e trasparenza attraverso i seguenti punti:
verifica della preparazione del personale ed eventuale aggiornamento sulle nuove regole;
verifica dei dati trattati, con identificazione del tipo di dati e categorizzazione in modo da
distinguerli tra loro;
verifica della finalità e della base giuridica del trattamento e eventuale redazione del registro dei
trattamenti;
designazione di un Data Protection Officer;
aggiornamento dell'informativa privacy, informando correttamente, e in maniera comprensibile,
gli interessati della base giuridica del trattamento dei dati e dei loro diritti (rettifica,
cancellazione, oblio);
verifica della procedura per consentire agli interessati di richiedere l'attuazione dei loro diritti;
verifica delle modalità di ottenimento del consenso e di una procedura per verificare l'età degli
interessati;
eventuale valutazione d'impatto del trattamento dei dati;
instaurazione di una procedura per eventuali violazioni dei dati;
indicazione dell'autorità di vigilanza alla quale si è soggetti.
7 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
Definizioni previste nel GDPR
Ai fini del presente Regolamento qui di seguito vengono riportate alcune definizioni estratte
dall’art. 4 del GDPR che andranno ad arricchire o ampliare quelle già previste dal Codice privacy
(D.lgs. 196/2003)
«dato personale»
Qualsiasi informazione riguardante una persona fisica identificata o identificabile «interessato»; si
considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente,
con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati
relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità
fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
«trattamento»
Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi
automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la
registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica,
l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi
altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione
o la distruzione;
«profilazione»
Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati
personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per
analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la
salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli
spostamenti di detta persona fisica;
«archivio»
Qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati,
indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo
funzionale o geografico;
«titolare del trattamento»
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o
insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (Nell’Istituzione
scolastica il Titolare è il Dirigente scolastico)
«responsabile del trattamento»
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati
personali per conto del titolare del trattamento; (Nell’Istituzione scolastica il personale interno (con
delega) ma anche soggetti esterni che trattano i nostri dati (con incarico).
«destinatario»
La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve
comunicazione di dati personali, che si tratti o meno di terzi; il trattamento di tali dati da parte di
dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo
le finalità del trattamento;
8 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
«terzo»
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia
l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al
trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
«consenso dell’interessato»
Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato,
con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva
inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
«violazione dei dati personali»
La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la
perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi,
conservati o comunque trattati;
«dati genetici»
I dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che
forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che
risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
«dati biometrici»
I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche,
fisiologiche o comportamentali di una persona fisica che ne consentono o confermano
l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
«dati relativi alla salute»:
I dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di
servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
«stabilimento»
Il luogo dell’amministrazione del Titolare del trattamento.
Esempio di nomina a Responsabile esterno del trattamento di dati personali da parte di un
Titolare del trattamento.
La scuola che io dirigo è un Test Center accreditato AICA per il rilascio della certificazione ECDL.
Nel processo di gestione della certificazione ECDL, AICA viene identificata dalla normativa sul
trattamento e la protezione dei dati personali quale “Titolare del trattamento”, in quanto ne decide
le politiche di trattamento e li memorizza su propri sistemi informatici.
La mia scuola, come Test Center da AICA, è coinvolta in tale processo, in quanto, utilizzando il
sistema Atlas (gestionale online di proprietà AICA), compie vari trattamenti su tali dati
(intestazione delle skills card, gestione delle sessioni di esame, richiesta di emissione del certificato,
reportistiche ecc.).
Per effetto di tali trattamenti, il Titolare (AICA) dovrà nominare formalmente, all’interno della mia
scuola, il Responsabile del trattamento (nella fattispecie un soggetto esterno ad AICA). Tale figura
può essere ricoperta dal sottoscritto, Dirigente scolastico, quale rappresentante legale
dell’istituzione scolastica, oppure dal referente del Test Center che si occupa del progetto ECDL.
9 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
Nel documento di nomina dovranno essere riportati:
1- Una spiegazione della terminologia tecnico-giuridica utilizzata
2- L’oggetto dell’incarico, dove viene specificato:
a. L’elenco dei trattamenti che compie il Test Center sui dati personali dei candidati
(inserimento, modifica, consultazione, estrazione ecc.)
b. Quali sono i dati personali trattati (nome, cognome, codice fiscale ecc.)
3- Gli obblighi e i compiti affidati al nostro Test Center (obbligo alla riservatezza, adeguamento
delle misure di sicurezza ove necessario, obbligo di informare AICA in caso di accesso
fraudolento ai dati o loro perdita, furto, ecc.)
4- Le garanzie fornite dal Titolare (di aver messo a disposizione degli interessati un’adeguata
informativa ed eventualmente averne acquisito il consenso, di aver predisposto a sua volta
idonee misure di sicurezza per ridurre al minimo i rischi di distruzione o perdita dei dati
personali ecc.)
10 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
Allegato A
Schema di atto di designazione del Responsabile della Protezione dei Dati personali (RDP) ai sensi dell’art. 37 del Regolamento UE 2016/679
Premesso che: - Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo
alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di
tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito
RGPD), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, introduce la figura
del Responsabile dei dati personali (RDP) (artt. 37-39);
- Il predetto Regolamento prevede l’obbligo per il titolare o il responsabile del trattamento di
designare il RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico,
eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (art. 37, paragrafo 1, lett
a);
- Le predette disposizioni prevedono che il RPD «può essere un dipendente del titolare del trattamento o del
responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6)
e deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica
della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo
39» (art. 37, paragrafo 5) e «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai
trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal
responsabile del trattamento» (considerando n. 97 del RGPD);
Nel caso in cui si opti per la designazione di un RPD condiviso si dovrà aggiungere
- Le disposizioni prevedono inoltre che «un unico responsabile della protezione dei dati può essere designato per
più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione» (art. 37,
paragrafo 3);
Considerato che l’Ente X:
- è tenuto alla designazione obbligatoria del RPD nei termini previsti, rientrando nella fattispecie
prevista dall’art. 37, par. 1, lett a) del RGPD;
Nel caso in cui si opti per la designazione di un RPD condiviso si dovrà aggiungere
- ha ritenuto di avvalersi della facoltà, prevista dall’art. 37, paragrafo 3, del Regolamento, di procedere
alla nomina condivisa di uno stesso RPD con gli Enti X, Y, Z, sulla base delle valutazioni condotte
di concerto con i predetti Enti in ordine a … (es. dimensioni, affinità tra le relative strutture
organizzative, funzioni (attività) e trattamenti di dati personali, razionalizzazione della spesa);
- all’esito di … (indicare la procedura selettiva interna o esterna, gara, altro) ha ritenuto che il la/il
……………., sia in possesso del livello di conoscenza specialistica e delle competenze richieste
11 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
dall’art. 37, par. 5, del RGPD, per la nomina a RPD, e non si trova in situazioni di conflitto di
interesse con la posizione da ricoprire e i compiti e le funzioni da espletare;
DESIGNA (generalità della persona individuata), Responsabile della protezione dei dati personali (RPD) per l’Ente
X,
Il predetto, nel rispetto di quanto previsto dall’art. 39, par. 1, del RGPD è incaricato di svolgere, in
piena autonomia e indipendenza, i seguenti compiti e funzioni:
a. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento
nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD,
nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;
b. sorvegliare l’osservanza del RGPD, di altre disposizioni nazionali o dell’Unione relative alla
protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del
trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle
responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e
alle connesse attività di controllo;
c. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e
sorvegliarne lo svolgimento ai sensi dell’articolo 35 del RGPD;
d. cooperare con il Garante per la protezione dei dati personali;
e. fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni
connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare,
se del caso, consultazioni relativamente a qualunque altra questione;
(è possibile inserire di seguito anche ulteriori compiti, purché non incompatibili, quali ad es.:
a) tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile ed
attenendosi alle istruzioni impartite…)
I compiti del Responsabile della Protezione dei Dati personali attengono all’insieme dei trattamenti di
dati effettuati dall’ Ente X.
L’Ente X si impegna a:
a) mettere a disposizione del RPD le seguenti risorse al fine di consentire l’ottimale svolgimento dei
compiti e delle funzioni assegnate … (specificare, ad es. se è stato istituito un apposito Ufficio o gruppo di
lavoro, le relative dotazioni logistiche e di risorse umane, nonché i compiti o le responsabilità individuali del
personale);
b) non rimuovere o penalizzare il RPD in ragione dell’adempimento dei compiti affidati nell’esercizio
delle sue funzioni;
12 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
c) garantire che il RPD eserciti le proprie funzioni in autonomia e indipendenza e in particolare, non
assegnando allo stesso attività o compiti che risultino in contrasto o conflitto di interesse;
DELIBERA di designare ……………………………… come Responsabile dei dati personali (RPD) per l’Ente X
Data ………….. Il nominativo e i dati di contatto del RPD (recapito postale, telefono, email) saranno resi disponibili nella intranet dell’Ente (url…., ovvero bacheca) e comunicati al Garante per la protezione dei dati personali. I dati di contatto saranno, altresì, pubblicati sul sito internet istituzionale.
13 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
Allegato B
MODELLO COMUNICAZIONE AL GARANTE DEI DATI DELL’RPD AI SENSI
DELL’ART. 37, PAR. 1, LETT. A) E PAR. 7, DEL RGPD
DATI DEL TITOLARE/RESPONSABILE DEL TRATTAMENTO
Denominazione ente: ……………………………………………….…………………
Codice Fiscale /P.Iva ……………………………………………………………………
Via / Piazza …………………………… N. civico ……….
Città …………….……………………Cap. ………………
Provincia ……………………………….
Telefono ……………………………….
Fax ……………………………………………………………
Email………………………….… Pec……………………….
Sito istituzionale ……………………………………………………………………
DATI DEL RESPONSABILE DELLA PROTEZIONE DEI DATI
Nome e cognome: ……………………………………………………………………
Data e luogo di nascita:…………………………………………..
Sede (solo ove diversa da quella del titolare)
Via / Piazza ………….………………….. N. Civico …….
Città …………….……………………Cap. ………………
Provincia ……………………………….
Telefono …………………………………. Fax …………
Email ………………….. Pec ……………………………
In caso di stipulazione del contratto di servizio con una persona giuridica, indicare anche i seguenti
dati della medesima:
Denominazione:……………………………………………….…
Via / Piazza ……………………………….. N. Civico …….
Città …………….……………………Cap. ………………
Provincia ……………………………….
14 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”
per info sul libro: www.concorsods2017.it
Telefono …………………………………. Fax ……………
Email ……………….…….. Pec ………………………. Sito web …………………………………
Informativa ai sensi della disciplina in materia di protezione dei dati personali. Il Garante per la
protezione dei dati personali utilizzerà i dati personali trasmessi, con modalità elettroniche e su
supporti cartacei, affinché il RPD possa fungere da punto di contatto tra il titolare/responsabile del
trattamento e l’Autorità per le questioni riguardanti la protezione dei dati personali. Il loro
conferimento è obbligatorio ai sensi degli artt. 37-39 del Regolamento (UE) 2016/679. Ciascun
interessato ha diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti
dal Regolamento in relazione al trattamento degli stessi dati.