Privacy: protezione dati personali

 

Protezione dati personali,aggiornata Guida applicazione Regolamento UE

Orizzontescuola– 29/3/2018 -  redazione


Sul sito del Garantedella Privacy è stata pubblicata la Guida relativa all’applicazione delRegolamento UE in materia di  protezione dei dati personali.

La Guida, aggiornata al 2018, fornisce indicazionirelativamente alle prassi da seguire e agli adempimenti da attuare perapplicare correttamente la normativa.

Il testo potrà essere oggetto di ulteriori aggiornamenti, al fine di offriresempre nuovi contenuti e garantire un aggiornamento costante.

 

Vaial Documento

 

RegolamentoUE

 

Protezione dei dati personali, il nuovo Regolamentoeuropeo

CISL Notizie – 16/4/2018

 

Il diritto alla protezione dei dati personali èdefinito nella Carta dei diritti fondamentali dell’Ue all’art. 8 ed è statodisciplinato dalla direttiva 95/46/CE del Parlamento europeo e del Consigliodel 24/10/1995. Da questa Direttiva e dalle ulteriori disposizioni è derivatoil nostro Codice della protezione dei dati personali. 
La diffusione di una tecnologia sempre più pervasiva, di social network e disupporti come smartphone e tablet, ha orientato già da tempo l’Unione europeaverso una revisione delle politiche sulla privacy, tanto che ora il Regolamento europeo 679/2016abroga la Direttiva prima ricordata, introducendo un orientamento nuovo,attento alla dimensione della responsabilità più che ad approcci di tipoautorizzatorio. 
L’attenzione è concentrata sul Titolare del trattamento che deve poterdimostrare di aver posto in essere un insieme di misure atte alla protezionedei dati personali, anche mediante la messa in atto di modelliorganizzativi. 
Come sappiamo, il Regolamento è direttamente applicabile dal 25 maggio 2018 enon richiederebbe un ulteriore intervento del legislatore nazionale. 
Tuttavia, come è avvenuto in altri Paesi, si è ritenuto necessario adeguare lanormativa italiana. La delega è stata conferita con legge 25ottobre 2017, n. 163
È stata nominata, presso il Ministero della Giustizia, una Commissioneincaricata di adeguare la normativa italiana; lo schema di decreto legislativoè stato approvato in via preliminare. Dovrà ora proseguire il suo iter. 
Lo Schema di decreto legislativo prevede l’abrogazione del dlgs 196/2003. Unaparte del Codice della Privacy è comunque sostituita dal Regolamento; tuttaviaalcuni articoli sarebbero rimasti in vigore e pertanto la sceltadell’abrogazione consentirà di mantenere due riferimenti normativi (ilRegolamento e il decreto di adeguamento) anziché tre (la parte che sarebbestata ancora in vigore del Codice). 
Ai dirigenti scolastici con maggiore anzianità di servizio tornano alla mente itormenti del Documento programmatico della Sicurezza (DPS). Infatti, con lapubblicazione del Codice in materia di protezione dei dati personali, fu estesaanche alle istituzioni scolastiche l’applicazione delle misure minime disicurezza, entro la data del 31 dicembre 2004.

Tra queste misure particolare importanza venivaassegnata per il trattamento con strumenti elettronici, alla redazione del DPSda aggiornare entro il 31 marzo di ogni anno. In rete sono ancorarintracciabili modelli ed indicazioni per questo adempimento. 
Successivamente, con sollievo generale, l’obbligatorietà della redazione delDPS è stata eliminata con DL 5/2012, convertito con modificazioni dalla L. 4aprile 2012, n. 35. 
Il DPS, doveva contenere:

1.      l'elenco deitrattamenti di dati personali;

2.      ladistribuzione dei compiti e delle responsabilità nell'ambito delle strutturepreposte al trattamento dei dati;

3.      l'analisi deirischi che incombono sui dati;

4.      le misure daadottare per garantire l'integrità e la disponibilità dei dati, nonché laprotezione delle aree e dei locali, rilevanti ai fini della loro custodia eaccessibilità;

5.      la descrizionedei criteri e delle modalità per il ripristino della disponibilità dei dati inseguito a distruzione o danneggiamento di cui al successivo punto 23;

6.      la previsionedi interventi formativi degli incaricati del trattamento, per renderli edottidei rischi che incombono sui dati, delle misure disponibili per prevenireeventi dannosi, dei profili della disciplina sulla protezione dei datipersonali più rilevanti in rapporto alle relative attività, delle responsabilitàche ne derivano e delle modalità per aggiornarsi sulle misure minime adottatedal titolare. La formazione è programmata già al momento dell'ingresso inservizio, nonché in occasione di cambiamenti di mansioni, o di introduzione dinuovi significativi strumenti, rilevanti rispetto al trattamento di datipersonali;

7.      la descrizionedei criteri da adottare per garantire l'adozione delle misure minime disicurezza in caso di trattamenti di dati personali affidati, in conformità alcodice, all'esterno della struttura del titolare;

8.      per i datipersonali idonei a rivelare lo stato di salute e la vita sessuale di cui alpunto 24, l'individuazione dei criteri da adottare per la cifratura o per laseparazione di tali dati dagli altri dati personali dell'interessato.”

 

(punto 19del Disciplinare tecnico in materia di misure minime di sicurezza-Allegato B al Codice)

Non sono però mai stati aboliti gli altri obblighi inmateria di sicurezza nel trattamento dei dati, in termini ad esempio diindividuazione e formazione del Responsabile e degli Incaricati deltrattamento, di assegnazione di password di autenticazione, di protezione deisistemi informatici da rischio di intrusione. 
La questione privacy è divenuta in questi anni così rilevante nelle istituzioniscolastiche da costringere il Garante ad intervenire addirittura con unVademecum (Lascuola a prova di privacy) mentre sono stati innumerevoli i contenziosiaccesi in materia di trattamento dei dati. 
Ora il fondato timore è che la situazione si aggravi ulteriormente e che alleistituzioni scolastiche vengano richiesti adempimenti anche molto onerosi.

Ad esempio una domanda che molti si pongono è se ancheper le singole istituzioni scolastiche sia obbligatoria l’individuazione delResponsabile della protezione dei dati (RPD).

Questa figura, prevista dal Regolamento, devepossedere un'adeguata conoscenza della normativa e delle prassi di gestione deidati personali, anche in termini di misure tecniche e organizzative o di misureatte a garantire la sicurezza dei dati. Non sono richieste attestazioni formalio l'iscrizione ad appositi albi professionali, anche se la partecipazione amaster e corsi di studio/professionali può rappresentare un utile strumento pervalutare il possesso di un livello adeguato di conoscenze. Il Responsabiledella protezione dei dati deve adempiere alle sue funzioni in pienaindipendenza e in assenza di conflitti di interesse. Si tratta evidentemente diuna professionalità elevata e la cui retribuzione potrebbe impegnare in modoimportante i bilanci delle istituzioni scolastiche. 
La Cisl Scuola ha sollecitato un intervento del Miur, affinché vi sia un’azionedi accompagnamento e anche per verificare la possibilità di un’individuazionedel RPD da parte di reti di scuole. Il Regolamento lo consentirebbe e la sceltapotrebbe consentire un’economia di scala. 
In attesa che la Direzione generale per i contratti, gli acquisti e per isistemi informativi e la statistica offra indicazioni, a partire dal prossimonumero di Dirigenti news forniremo chiarimenti ed approfondimenti per la messain atto di efficaci modelli organizzativi.

 

 



 

Copyright © 2018 Di.S.A.L.