È legittimo appaltare in toto gli adempimenti al DPO?

Buongiorno, ho un quesito su alcune scelte che stanno facendo alcuni colleghi Dirigenti in materia di scelta di DPO (o RPD) figura prevista dal nuovo Regolamento Europeo. Ho letto le caratteristiche della figura, ho partecipato ai vostri corsi di formazione, ho letto le FAQ del Garante sulla nomina dell'RPD in ambito pubblico. Mi sembra che non sia legittimo appaltare in toto gli adempimenti al DPO o sbaglio? Nel senso che il DPO accompagna la scuola, è una figura di riferimento di alto livello ma poi gli atti e le valutazioni le deve fare formalmente la scuola. Grazie.

Ci permettiamo di rispondere in breve, in poche righe, vista l'urgenza della questione e ci perdonerà il nostro richiedente se non ci dilunghiamo troppo. La considerazione da lei fatta è assolutamente corretta e basta leggersi le FAQ del Garante da lei citate (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322110) per rendersene conto. Diremo di più. In colloqui informali avuti da alcuni dei nostri consulenti con il Garante, è stata evidenziata la piena illegittimità di richieste del tipo "mi nomini DPO e poi ti faccio pure le pratiche" perchè il DPO fa consulenza specialistica sulla privacy in materia giuridica, informatica e organizzativa, negli ambiti evidenziati dal regolamento europeo e ben riepilogati dal Garante nelle FAQ citate, affianca la scuola, il Dirigente e il suo staff, ma non può sostituirsi a loro nella redazione e nella firma dei documenti. La ragione dell'illegittimità è chiara: se la conoscenze delle ragioni delle scelte organizzative, pratiche, concrete, che riguardano quella determinata scuola, rimane solo in capo al DPO e non al Dirigente e allo staff, non si arriverà mai agli obiettivi del regolamento europeo, vale a dire la protezione "in concreto" della privacy degli interessati che sono, nelle scuole, docenti, studenti, dipendenti, ecc. Occorre quindi piena consapevolezza del DS e dello Staff sulle scelte da fare. Il DPO aiuta, orienta, affianca, ma le procedure (informative, prassi di pubblicazione dei documenti, analisi dei rischi, misure di sicurezza, autorizzazioni istruzioni e formazione dei dipendenti che trattano i dati, gestione dei registri obbligatori, gestione del monitoraggio e della sorveglianza sulle misure adottate) vanno ponderate e formalizzate anche e soprattutto dalla scuola con le sue persone. La scuola può dotarsi di strumenti di ausilio (libri, moduli, software, ecc) ma deve essere attore più che consapevole. Altrimenti è tutto inutile.