capitolo “Diritto alla riservatezza: dal Codice Privacy al ... · coniugare con i crescenti problemi di sicurezza, e quindi le necessità di accedere per fini di polizia ... delle

1 DS Amato Salvatore – Autore del libro “Dirigente Scolastico – Concorso 2017 – Guida alla preparazione”

per info sul libro: www.concorsods2017.it

Questo paragrafo è estratto dal capitolo “Diritto alla riservatezza: dal Codice Privacy al GDPR”

in quanto a partire dal 25 maggio 2018 dovrà essere attuato il nuovo Regolamento europeo sulla

protezione dei dati personali che sostituisce il Codice privacy (D. Lgs 196/2003). I fondamenti di

liceità del trattamento del Regolamento coincidono, in linea di massima, con quelli previsti dal

Codice privacy D.lgs. 196/2003.

Evoluzione storica dal Codice privacy al GDPR

Il 24 maggio 2016 è entrato in vigore il Regolamento Generale Europeo (UE 679/2016 - Pubblicato

nella Gazzetta Ufficiale europea il 4 maggio 2016) sulla protezione dei dati personali delle persone

fisiche denominato GDPR (General Data Protection Regulation). Il Regolamento rappresenta la

normativa di riforma della legislazione europea in materia di protezione dei dati. La sua attuazione,

è stata prevista a distanza di due anni, quindi a partire dal 25 maggio 2018. Trattandosi di un

regolamento europeo, non necessita di recepimento da parte degli Stati dell'Unione e verrà attuato

da tutti allo stesso modo, attuandosi così di fatto la definitiva armonizzazione della

regolamentazione in materia di protezione dei dati personali all'interno dell'Unione europea.

Il GDPR più esplicito della direttiva 95/46/CE, proclama la tutela del diritto alla protezione dei dati

personali inteso come diritto fondamentale delle persone fisiche. Art. 1 par. 2 “Il presente

regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto

alla protezione dei dati personali”.

La Direttiva 95/46/CE del Parlamento e del Consiglio d'Europa, sino all’attuale riforma, è stato il

principale strumento giuridico dell'Unione europea in materia di protezione dei dati. È stata

adottata il 24 ottobre 1995, con lo specifico fine di armonizzare il livello di tutela dei diritti delle

persone riguardo al trattamento di dati personali.

L'applicazione della suddetta Direttiva si estendeva a tutto lo Spazio Economico Europeo, quindi

ben oltre il territorio dell'Unione. In Italia è stata attuata con la legge n. 675 del 31 dicembre 1996,

poi abrogata dal Codice privacy cioè dal D.Lgs 30 giugno 2003, n. 196, nel quale si prevede il

diritto a non vedere trattati i propri dati senza consenso, ma anche l’adozione di cautele tecniche ed

organizzative che tutti devono rispettare per procedere in maniera corretta al trattamento dei dati

altrui.

La Direttiva 95/46/CE presentava evidenti carenze, dovute all'evoluzione della tecnologia, e dei

trattamenti automatizzati, successivi alla sua approvazione. Per questo motivo si è reso necessario

affiancarle un altro strumento normativo dell'Unione europea in materia di protezione dei dati

personali, la Direttiva 2002/58/CE (ePrivacy), poi modificata dalla Direttiva 2009/136/CE, relativa

al trattamento dei dati personali e alla tutela della vita privata nel settore delle

comunicazioni elettroniche.

L'aumento esponenziale dei servizi online e i conseguenti rischi per i diritti dei cittadini, da

coniugare con i crescenti problemi di sicurezza, e quindi le necessità di accedere per fini di polizia

e prevenzione alle telecomunicazioni, hanno portato ad un ripensamento radicale dell'intero

impianto normativo, che è sfociato nella riforma del 2016, ovvero nell’attuale Regolamento

(GDPR) che sarà attuato a partire dal 25 maggio 2018.

Il GDPR è una normativa che deve essere rispettata da tutte le Pubbliche amministrazioni,

Istituzioni scolastiche comprese, dai professionisti e dalle aziende con sede nell’Unione Europea,

nonché da tutti quei soggetti che, pur avendo sede al di fuori della UE, elaborano trattano e

collezionano dati dei cittadini dell’Unione Europea, quest’ultimi c.d. “interessati”.



Le sanzioni per le aziende che disattendono il Regolamento sono molto pesanti, potranno arrivare

fino a 20 milioni di euro o al 4% del fatturato mondiale totale dell’anno precedente se superiore.

Ciascuno Stato europeo avrà inoltre la facoltà di definire ulteriori sanzioni che dovranno essere

effettive, proporzionate e dissuasive. L’informativa deve essere molto dettagliata e deve indicare le

finalità, i soggetti terzi che hanno accesso ai dati e deve essere fornita a tutti gli interessati.

DPO (Data Protection Officer)

Tra le specifiche misure sulla protezione dei dati personali obbligatorie, per gli Enti pubblici e le

organizzazioni che effettuano il trattamento su larga scala di dati sensibili vi è la designazione di

una nuova figura (anche per le Istituzioni scolastiche), il DPO (Data Protection Officer), ovvero il

Responsabile della protezione dei dati (acronimo italiano RPD).

Il responsabile della protezione dei dati personali è una figura prevista dall'art. 37 del Regolamento

(UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per

assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente

all'applicazione del Regolamento medesimo. Coopera con l'Autorità (e proprio per questo, il suo

nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli

interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del

Regolamento).

L'art. 37, par. 1, lett. a), del GDPR prevede che i titolari e i responsabili del trattamento designino

un RPD «quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico,

eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali». Quindi

alle istituzioni scolastiche viene attribuito tale obbligo.

Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni

formali o l'iscrizione in appositi albi, deve possedere un'approfondita conoscenza della normativa e

delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che

caratterizzano lo specifico settore di riferimento:

deve avere competenze Gestionali, Tecniche e Giuridiche;

deve poter accedere al sistema di protezione per conoscere tutte le modalità di come vengono

utilizzati/gestiti i dati;

ha il compito di verificare che l’utilizzo quotidiano dei dati e dei sistemi di protezione delle

informazioni avvenga in conformità al Regolamento (GDPR);

deve essergli garantito il supporto informativo e finanziario necessario a mantenere le

competenze specifiche nel rispettivo ambito di applicazione.

deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da

svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato

di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure

(anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare.

deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente

ai vertici;

deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per

l'espletamento dei propri compiti.

Come accade nei settori delle cosiddette "professioni non regolamentate", si sono diffusi schemi

proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti



certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall'art. 42 del RGPD) sono

rilasciate anche all'esito della partecipazione ad attività formative e al controllo dell'apprendimento.

Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso

di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una

"abilitazione" allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio

rimesso alle PP.AA. nella valutazione dei requisiti necessari al RPD per svolgere i compiti previsti

dall'art. 39 del GDPR.

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da una figura interna

che conosca la realtà operativa in cui avvengono i trattamenti; l'incarico può essere anche affidato a

soggetti esterni, a condizione che garantiscano l'effettivo assolvimento dei compiti che il

Regolamento (UE) 2016/679 assegna a tale figura. Qualora il responsabile della protezione dei dati

personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona

giuridica.

Nel caso in cui la scelta del RPD ricada su una professionalità interna all'ente, occorre formalizzare

un apposito “atto di designazione” a Responsabile per la protezione dei dati. In caso, invece, di

ricorso a soggetti esterni all'ente, la designazione costituirà parte integrante dell'apposito “contratto

di servizi” redatto in base a quanto previsto dall'art. 37 del GDPR. Tali atti, da redigere in forma

scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro

svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento. A tal fine è

possibile utilizzare il modello A allegato - schema di atto di designazione.

Nell'atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le

motivazioni che hanno indotto l'ente a individuare, nella persona fisica selezionata, il proprio RPD,

al fine di consentire la verifica del rispetto dei requisiti previsti dall'art. 37, par. 5 del GDPR, anche

mediante rinvio agli esiti delle procedure di selezione interna o esterna effettuata. La specificazione

dei criteri utilizzati nella valutazione compiuta dall'ente nella scelta di tale figura, oltre a essere

indice di trasparenza e di buon amministrazione, costituisce anche elemento di valutazione del

rispetto del principio di «responsabilizzazione».

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (nel nostro caso potrebbe

essere l’USR o l’UST o una Rete di scuole) possa designare un unico responsabile della protezione

dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento.

Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con

le autorità di controllo.

Nell'esecuzione dei propri compiti, il responsabile della protezione dei dati personali, interno o

esterno che sia, dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e,

ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un

responsabile per la protezione dei dati personali resta comunque pienamente responsabile

dell'osservanza della normativa in materia di protezione dei dati.

I Titolare o il Responsabile del trattamento, una volta individuato il Responsabile della protezione

dei dati, è tenuto a indicare, nell'informativa fornita agli interessati, i dati di contatto del RPD

pubblicando gli stessi nel sito Web ufficiale e nel contempo a comunicarli al Garante (art. 37, par.

7). Per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella

sezione "Amministrazione Trasparente", oltre che nella sezione "Privacy" eventualmente già

presente.



Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno

comunicati all'Autorità di controllo. A tal fine è possibile utilizzare il modello B allegato –

Comunicazione al Garante.

Obblighi delle Istituzioni scolastiche

Il GDPR, rispetto al precedente Codice della privacy, introduce misure più stringenti per le

Istituzioni scolastiche con precisi obblighi per i titolari e i responsabili:

Ambito territoriale: Il Regolamento si applica ad ogni trattamento che ha ad oggetto dati

personali, e a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel

territorio dell'Unione, ma anche in generale a quelli che trattano dati di residenti nell'Unione

europea (art. 3 del Regolamento). In tal modo la sua applicazione non è limitata alle sole

aziende che si trovano in Europa, ma tutela tutti gli interessati che risiedono nel territorio

dell'Unione indipendetemente da dove si attua il trattamento dei loro dati;

Principi del GDPR: il trattamento dei dati deve essere fondato su principi di liceità, correttezza

e trasparenza;

Accountability: Il Regolamento enfatizza la responsabilizzazione del titolare e dei responsabili

del trattamento che si deve concretizzare nell’adozione di comportamenti proattivi a

dimostrazione della concreta adozione del regolamento;

Risk based: le aziende dovranno analizzare i rischi derivanti dal trattamento di dati sensibili,

mediante una valutazione preliminare d’impatto; spetta al titolare definire un sistema di

controllo sulla base dei rischi individuati avvalendosi anche degli strumenti tecnologici per

facilitare gli obblighi previsti dal Regolamento; questo tipo di approccio è sicuramente più

flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici, ma il fatto

di delegare all'azienda la valutazione del rischio rende più difficili le contestazioni in caso di

violazioni;

Privacy by design; Privicy by default:” il tipo di trattamento dovrà essere previsto e

configurato fin dall’inizio prevedendo le garanzie per tutelare i diritti degli interessati; l’uso dei

dati personali dovrà essere ridotto al “necessario” e dovranno essere adottate misure per

aggiornare, rettificare tempestivamente e proteggere i dati in maniera corretta;

Data Breach: spetta al titolare adottare una politica di governance e data protection adeguata in

modo proporzionale al rischio e in caso di Breach devono informare entro 72 ore le autorità di

protezione dei dati riguardo ad ogni violazione che metta a rischio i diritti degli individui e tutti

gli individui affetti in caso di violazione ad alto rischio;

Registro dei trattamenti: tale documento, in qualche modo, somiglia al dismesso DPS e dovrà

indicare il titolare, i responsabili, gli incaricati, le categorie di interessati, le procedure messe in

atto per il trattamento dei dati e le finalità;

Formazione: sussiste l’obbligo di istruire tutto il personale dipendente sulla nuova normativa;

Data Protection Officer (DPO): Nomina del Resposabile della Protezione dei Dati (RPD), di cui

all’art. 39, avente funzioni di “supporto e controllo, consultive, formative e informative”:



Sportello Unico: le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel

quale hanno la sede principale.

Maggiori diritti per gli “interessati”

Il GDPR introduce nuovi diritti per gli individui e il fatto che si applichi in tutti gli Stati

dell’Unione Europea rappresenta una grande conquista di cittadinanza per il “Popolo Europeo”

anche ai fini dell’armonizzazione legislativa. Esso rispetto al precedente Codice privacy garantisce:

maggiore protezione dei dati personali;

maggiore trasparenza con regole più chiare in materia di informativa e consenso;

diritto all’oblio: l’ interessato, onde evitare che notizie ritenute pregiudizievoli ed offensive

continuino ad essere di pubblico dominio, può ottenere la rimozione dai motori di ricerca di tutti

i link e riferimenti che rimandano ai contenuti online in questione, invocando il “diritto

all’oblio”.

portabilità dei dati personali da un titolare del trattamento ad un altro;

maggiori garanzie per i minori;

Alla luce di tali garanzie, gli interessati possono:

Accedere in qualsiasi momento ai loro dati personali

Sapere come vengono utilizzati e protetti i loro dati

Chiedere il trasferimento dei loro dati personali ad altro soggetto (portabilità del dato)

Essere tempestivamente informati in caso di furto dei propri dati

Avere garanzie sull’applicazione della normativa da parte dei soggetti interessati.

Garante Privacy

L'Autorità di controllo italiana (Garante Privacy) ha pubblicato una Guida che offre un panorama

delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista

della piena applicazione del regolamento, prevista il 25 maggio 2018. Attraverso raccomandazioni

specifiche vengono suggerite alcune azioni che possono essere intraprese da subito perché fondate

su disposizioni precise del Regolamento che non lasciano spazi a interventi del legislatore

nazionale, come invece avviene per altre norme del Regolamento, in particolare quelle che

disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di

legge.

Documentazione di interesse

La predisposizione e l'aggiornamento della documentazione è necessaria, in quanto indice di

corretta implementazione delle norme:

documentazione attestante i trattamenti svolti (registro dei trattamenti; valutazione di

impatto, trasferimento dati extra UE);

documentazione attestante il rispetto dei diritti degli interessati (informative, moduli

raccolta consenso)

documentazione di ripartizione ruoli e responsabilità (contratti e nomine dei responsabili

esterni e incaricati; procedure interne, ecc...);

documentazione attestante le misure di sicurezza implementate.



Base giuridica del trattamento

Il Regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base

giuridica; i fondamenti di liceità del trattamento sono indicati all'art. 6 del Regolamento e

coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy - D.lgs.

196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o

di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri,

interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

Art. 6 - Liceità del trattamento

1- Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a. l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più

specifiche finalità;

b. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o

all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del

trattamento;

d. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra

persona fisica;

e. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso

all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del

trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà

fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se

l’interessato è un minore.

Attuazione del Regolamento

Il GDPR è una norma complessa e per la sua attuazione richiede alle istituzioni scolastiche

un’attenta revisione dei dati che raccolgono e trattano, una verifica delle basi giuridiche per tali

trattamenti e l'impatto di tali trattamenti per gli interessati. I principi generali del GDPR possono

riassumersi in responsabilità e trasparenza attraverso i seguenti punti:

verifica della preparazione del personale ed eventuale aggiornamento sulle nuove regole;

verifica dei dati trattati, con identificazione del tipo di dati e categorizzazione in modo da

distinguerli tra loro;

verifica della finalità e della base giuridica del trattamento e eventuale redazione del registro dei

trattamenti;

designazione di un Data Protection Officer;

aggiornamento dell'informativa privacy, informando correttamente, e in maniera comprensibile,

gli interessati della base giuridica del trattamento dei dati e dei loro diritti (rettifica,

cancellazione, oblio);

verifica della procedura per consentire agli interessati di richiedere l'attuazione dei loro diritti;

verifica delle modalità di ottenimento del consenso e di una procedura per verificare l'età degli

interessati;

eventuale valutazione d'impatto del trattamento dei dati;

instaurazione di una procedura per eventuali violazioni dei dati;

indicazione dell'autorità di vigilanza alla quale si è soggetti.



Definizioni previste nel GDPR

Ai fini del presente Regolamento qui di seguito vengono riportate alcune definizioni estratte

dall’art. 4 del GDPR che andranno ad arricchire o ampliare quelle già previste dal Codice privacy

(D.lgs. 196/2003)

«dato personale»

Qualsiasi informazione riguardante una persona fisica identificata o identificabile «interessato»; si

considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente,

con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati

relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità

fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

«trattamento»

Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi

automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la

registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica,

l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi

altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione

o la distruzione;

«profilazione»

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati

personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per

analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la

salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli

spostamenti di detta persona fisica;

«archivio»

Qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati,

indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo

funzionale o geografico;

«titolare del trattamento»

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o

insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (Nell’Istituzione

scolastica il Titolare è il Dirigente scolastico)

«responsabile del trattamento»

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati

personali per conto del titolare del trattamento; (Nell’Istituzione scolastica il personale interno (con

delega) ma anche soggetti esterni che trattano i nostri dati (con incarico).

«destinatario»

La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve

comunicazione di dati personali, che si tratti o meno di terzi; il trattamento di tali dati da parte di

dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo

le finalità del trattamento;



«terzo»

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia

l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al

trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

«consenso dell’interessato»

Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato,

con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva

inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

«violazione dei dati personali»

La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la

perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi,

conservati o comunque trattati;

«dati genetici»

I dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che

forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che

risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;

«dati biometrici»

I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche,

fisiologiche o comportamentali di una persona fisica che ne consentono o confermano

l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

«dati relativi alla salute»:

I dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di

servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

«stabilimento»

Il luogo dell’amministrazione del Titolare del trattamento.

Esempio di nomina a Responsabile esterno del trattamento di dati personali da parte di un

Titolare del trattamento.

La scuola che io dirigo è un Test Center accreditato AICA per il rilascio della certificazione ECDL.

Nel processo di gestione della certificazione ECDL, AICA viene identificata dalla normativa sul

trattamento e la protezione dei dati personali quale “Titolare del trattamento”, in quanto ne decide

le politiche di trattamento e li memorizza su propri sistemi informatici.

La mia scuola, come Test Center da AICA, è coinvolta in tale processo, in quanto, utilizzando il

sistema Atlas (gestionale online di proprietà AICA), compie vari trattamenti su tali dati

(intestazione delle skills card, gestione delle sessioni di esame, richiesta di emissione del certificato,

reportistiche ecc.).

Per effetto di tali trattamenti, il Titolare (AICA) dovrà nominare formalmente, all’interno della mia

scuola, il Responsabile del trattamento (nella fattispecie un soggetto esterno ad AICA). Tale figura

può essere ricoperta dal sottoscritto, Dirigente scolastico, quale rappresentante legale

dell’istituzione scolastica, oppure dal referente del Test Center che si occupa del progetto ECDL.



Nel documento di nomina dovranno essere riportati:

1- Una spiegazione della terminologia tecnico-giuridica utilizzata

2- L’oggetto dell’incarico, dove viene specificato:

a. L’elenco dei trattamenti che compie il Test Center sui dati personali dei candidati

(inserimento, modifica, consultazione, estrazione ecc.)

b. Quali sono i dati personali trattati (nome, cognome, codice fiscale ecc.)

3- Gli obblighi e i compiti affidati al nostro Test Center (obbligo alla riservatezza, adeguamento

delle misure di sicurezza ove necessario, obbligo di informare AICA in caso di accesso

fraudolento ai dati o loro perdita, furto, ecc.)

4- Le garanzie fornite dal Titolare (di aver messo a disposizione degli interessati un’adeguata

informativa ed eventualmente averne acquisito il consenso, di aver predisposto a sua volta

idonee misure di sicurezza per ridurre al minimo i rischi di distruzione o perdita dei dati

personali ecc.)



Allegato A

Schema di atto di designazione del Responsabile della Protezione dei Dati personali (RDP) ai sensi dell’art. 37 del Regolamento UE 2016/679

Premesso che: - Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo

alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di

tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito

RGPD), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, introduce la figura

del Responsabile dei dati personali (RDP) (artt. 37-39);

- Il predetto Regolamento prevede l’obbligo per il titolare o il responsabile del trattamento di

designare il RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico,

eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (art. 37, paragrafo 1, lett

a);

- Le predette disposizioni prevedono che il RPD «può essere un dipendente del titolare del trattamento o del

responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6)

e deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica

della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo

39» (art. 37, paragrafo 5) e «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai

trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal

responsabile del trattamento» (considerando n. 97 del RGPD);

Nel caso in cui si opti per la designazione di un RPD condiviso si dovrà aggiungere

- Le disposizioni prevedono inoltre che «un unico responsabile della protezione dei dati può essere designato per

più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione» (art. 37,

paragrafo 3);

Considerato che l’Ente X:

- è tenuto alla designazione obbligatoria del RPD nei termini previsti, rientrando nella fattispecie

prevista dall’art. 37, par. 1, lett a) del RGPD;

Nel caso in cui si opti per la designazione di un RPD condiviso si dovrà aggiungere

- ha ritenuto di avvalersi della facoltà, prevista dall’art. 37, paragrafo 3, del Regolamento, di procedere

alla nomina condivisa di uno stesso RPD con gli Enti X, Y, Z, sulla base delle valutazioni condotte

di concerto con i predetti Enti in ordine a … (es. dimensioni, affinità tra le relative strutture

organizzative, funzioni (attività) e trattamenti di dati personali, razionalizzazione della spesa);

- all’esito di … (indicare la procedura selettiva interna o esterna, gara, altro) ha ritenuto che il la/il

……………., sia in possesso del livello di conoscenza specialistica e delle competenze richieste



dall’art. 37, par. 5, del RGPD, per la nomina a RPD, e non si trova in situazioni di conflitto di

interesse con la posizione da ricoprire e i compiti e le funzioni da espletare;

DESIGNA (generalità della persona individuata), Responsabile della protezione dei dati personali (RPD) per l’Ente

X,

Il predetto, nel rispetto di quanto previsto dall’art. 39, par. 1, del RGPD è incaricato di svolgere, in

piena autonomia e indipendenza, i seguenti compiti e funzioni:

a. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento

nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD,

nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;

b. sorvegliare l’osservanza del RGPD, di altre disposizioni nazionali o dell’Unione relative alla

protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del

trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle

responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e

alle connesse attività di controllo;

c. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e

sorvegliarne lo svolgimento ai sensi dell’articolo 35 del RGPD;

d. cooperare con il Garante per la protezione dei dati personali;

e. fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni

connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare,

se del caso, consultazioni relativamente a qualunque altra questione;

(è possibile inserire di seguito anche ulteriori compiti, purché non incompatibili, quali ad es.:

a) tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile ed

attenendosi alle istruzioni impartite…)

I compiti del Responsabile della Protezione dei Dati personali attengono all’insieme dei trattamenti di

dati effettuati dall’ Ente X.

L’Ente X si impegna a:

a) mettere a disposizione del RPD le seguenti risorse al fine di consentire l’ottimale svolgimento dei

compiti e delle funzioni assegnate … (specificare, ad es. se è stato istituito un apposito Ufficio o gruppo di

lavoro, le relative dotazioni logistiche e di risorse umane, nonché i compiti o le responsabilità individuali del

personale);

b) non rimuovere o penalizzare il RPD in ragione dell’adempimento dei compiti affidati nell’esercizio

delle sue funzioni;



c) garantire che il RPD eserciti le proprie funzioni in autonomia e indipendenza e in particolare, non

assegnando allo stesso attività o compiti che risultino in contrasto o conflitto di interesse;

DELIBERA di designare ……………………………… come Responsabile dei dati personali (RPD) per l’Ente X

Data ………….. Il nominativo e i dati di contatto del RPD (recapito postale, telefono, email) saranno resi disponibili nella intranet dell’Ente (url…., ovvero bacheca) e comunicati al Garante per la protezione dei dati personali. I dati di contatto saranno, altresì, pubblicati sul sito internet istituzionale.



Allegato B

MODELLO COMUNICAZIONE AL GARANTE DEI DATI DELL’RPD AI SENSI

DELL’ART. 37, PAR. 1, LETT. A) E PAR. 7, DEL RGPD

DATI DEL TITOLARE/RESPONSABILE DEL TRATTAMENTO

Denominazione ente: ……………………………………………….…………………

Codice Fiscale /P.Iva ……………………………………………………………………

Via / Piazza …………………………… N. civico ……….

Città …………….……………………Cap. ………………

Provincia ……………………………….

Telefono ……………………………….

Fax ……………………………………………………………

Email………………………….… Pec……………………….

Sito istituzionale ……………………………………………………………………

DATI DEL RESPONSABILE DELLA PROTEZIONE DEI DATI

Nome e cognome: ……………………………………………………………………

Data e luogo di nascita:…………………………………………..

Sede (solo ove diversa da quella del titolare)

Via / Piazza ………….………………….. N. Civico …….

Città …………….……………………Cap. ………………

Provincia ……………………………….

Telefono …………………………………. Fax …………

Email ………………….. Pec ……………………………

In caso di stipulazione del contratto di servizio con una persona giuridica, indicare anche i seguenti

dati della medesima:

Denominazione:……………………………………………….…

Via / Piazza ……………………………….. N. Civico …….

Città …………….……………………Cap. ………………

Provincia ……………………………….



Telefono …………………………………. Fax ……………

Email ……………….…….. Pec ………………………. Sito web …………………………………

Informativa ai sensi della disciplina in materia di protezione dei dati personali. Il Garante per la

protezione dei dati personali utilizzerà i dati personali trasmessi, con modalità elettroniche e su

supporti cartacei, affinché il RPD possa fungere da punto di contatto tra il titolare/responsabile del

trattamento e l’Autorità per le questioni riguardanti la protezione dei dati personali. Il loro

conferimento è obbligatorio ai sensi degli artt. 37-39 del Regolamento (UE) 2016/679. Ciascun

interessato ha diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti

dal Regolamento in relazione al trattamento degli stessi dati.

Documents

capitolo “Diritto alla riservatezza: dal Codice Privacy al ... · coniugare con i crescenti problemi di sicurezza, e quindi le necessità di accedere per fini di polizia ... delle