La nuova figura del RPD

Si chiede di conoscere quale sia, alla luce del GDPR, all'interno delle Istituzioni scolastiche la figura deputata a rivestire il ruolo di titolare del trattamento e di responsabile del trattamento, essendo ben chiara invece la nuova figura del RPD. Avendo seguito corsi in presenza di vostri relatori appariva evidente che per il ruolo e le funzioni previste dalla nuova normativa, non potesse che trattarsi del Dirigente scolastico, essendo requisito necessario la rappresentanza dell'Ente e la funzione dirigenziale, che peraltro non risulta delegabile, neanche parzialmente. Ove la Ditta incaricata della gestione "nuova privacy"-rdp insistesse nella nomina come responsabile del trattamento (mai nominato) al Dsga come rispondere ai sensi della nuova normativa e cosa eccepire? Grazie

Buongiorno, si espone quanto segue: 1) sul punto del Titolare è indubbio che il Titolare sia l'istituzione scolastica, rappresentata legalmente dal Dirigente Scolastico pro tempore; 2) sul punto del DSGA responsabile del trattamento alleghiamo, di seguito, una risposta data di recente ad una scuola cliente. DOMANDA Avendo identificato come responsabile trattamento dati il DSGA dell'Istituto, si chiede se lo stesso possa essere designato anche in qualità di responsabile della protezione dei dati personali ai sensi dell'art. 37 del Regolamento UE 2016/679. RISPOSTA Buongiorno, come detto in recenti risposte a quesiti, siamo ancora in attesa del codice privacy italiano, attualmente all'esame delle commissioni parlamentari. Ci assestiamo su quanto espone il Regolamento europeo, con l'avvertenza che poi l'indicazione andrà vagliata anche alla luce del futuro nuovo codice. In sostanza, ad oggi, chi lavora all'interno ma non ha la rappresentanza legale dell'ente (rappresentanza che nelle scuole ha solo il Dirigente) si pone come incaricato del trattamento in senso sostanziale (non formale dato che il regolamento europeo non li chiama più così ma li chiama autorizzati al trattamento), perché, come stanno dicendo i funzionari del Garante nei corsi di formazione in giro per l'italia e come ha evidenziato il Prof. Francesco Pizzetti, ex Presidente del Garante della privacy, in alcuni articoli di pregevole fattura apparsi su riviste specializzate, sembrano esserci pochi margini per la nomina di un responsabile del trattamento interno (i funzionari del Garante dicono "aspettiamo il nuovo codice per dire la parola fine" Pizzetti lo esclude da subito senza alcun dubbio). Per il regolamento europeo, nessun dipendente può trattare dati se non è autorizzato e istruito dal titolare. Quindi, anche se non si chiamano più così, di fatto gli incaricati del trattamento restano nella sostanza anche se non nella forma. Come detto dai funzionari del Garante negli incontri tenuti in giro per l'italia, nulla esclude di nominare degli incaricati di primo livello (ad esempio, il direttore SGA), se accettano, con compiti di aiuto al titolare e di monitoraggio dell'organizzazione interna. Ma sempre incaricati (in senso sostanziale) restano, anche se hanno compiti più gestionali. Ovviamente, aspettiamo il nuovo codice e le interpretazioni del Garante, ma ad oggi l'orientamento è questo. Per cui tendiamo a dire che il DSGA è più un incaricato che un responsabile del trattamento e in questa fase non riteniamo prudente nominarlo Responsabile del trattamento. Per venire alle domande: 1) posto che noi in questa fase non nomineremmo il DSGA Responsabile del trattamento, per le ragioni più sopra esposte, le due figure, Responsabile del trattamento e Responsabile della Protezione dei dati, sono assolutamente incompatibili, anzi in teoria il primo potrebbe/dovrebbe nominare il secondo. 2) altra domanda che dobbiamo porci è "ma il DSGA, ove avesse le caratteristiche professionali qualificate richieste dal Regolamento Europeo 2016/679 e non fosse stato già nominato Responsabile del trattamento, potrebbe fare il Responsabile della Protezione dei dati? Qui entriamo su un tema già trattato nelle nostre risposte a quesiti, quello del conflitto di interessi. Su questo punto, come già fatto in altre risposte, riportiamo un estratto delle linee guida del Gruppo Art. 29, che riunisce i Garanti della privacy europei e che a dicembre 2016 ha dato indicazioni sulla nomina del DPO. Nel testo del documento si legge quanto segue: ------------ "L’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza. Anche se un RPD può svolgere altre funzioni, l’affidamento di tali ulteriori compiti e funzioni è possibile solo a condizione che essi non diano adito a conflitti di interessi. Ciò significa, in modo particolare, che un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare del trattamento o responsabile del trattamento. A grandi linee, possono sussistere situazioni di conflitto all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento. Inoltre, può insorgere un conflitto di interessi se, per esempio, a un RPD esterno si chiede di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati." ----------- A nostro parere, ripetiamo è solo un nostro parere, il DSGA, sulla base di quanto appena esposto, non può fare l'il Responsabile della Protezione dei dati perchè interviene sulla definizione delle modalità e dei mezzi del trattamento.