È con il d. lgs. 10 agosto 2018, n. 101 che sono state dettate disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679. Il risultato è una serie rilevante di modifiche apportate al “vecchio” Codice della Privacy – decreto legislativo 30 giugno 2003, n. 196 – che, modificato, rappresenta ora la norma di riferimento relativamente alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Per quanto riguarda le figure richieste dalla privacy per il trattamento dei dati personali è necessario documentare il cambiamento di terminologia nel testo novellato, che potrebbe fare insorgere confusione nei ruoli. 

Il Codice della Privacy novellato non prevede più la figura, a suo tempo facoltativa, del Responsabile del trattamento dei dati, almeno come intesa sino due anni fa e generalmente incarnata dal direttore. Nel Codice della Privacy novellato il Titolare (dirigente scolastico) può designare formalmente una figura interna a svolgere alcuni compiti di sua competenza; il nome non è più responsabile del trattamento dati, ma semplicemente Soggetto Designato ed i compiti possono essere quelli del “vecchio” responsabile del trattamento dati … finché è esistito, cioè il direttore. 

Esiste ancora la figura del Responsabile del trattamento, ma è un soggetto esterno e può ricordare l’Amministratore di Sistema, secondo la definizione che aveva nel vecchio Codice. 

Al Soggetto Designato, figura facoltativa che ben attaglia al direttore, non possono però essere affidati compiti propri del DPO (data protection officer), nuova figura, quali la redazione e l’aggiornamento dell’elenco delle banche dati oggetto del trattamento, l’interazione con il Garante in caso di informazioni o controlli, la verifica che le misure di sicurezza adottate siano costantemente adeguate agli aggiornamenti legislativi e al progresso tecnologico, etc.. Il direttore sga, qualora designato dal dirigente scolastico, è peraltro incompatibile con la figura del DPO, proprio perché è a supporto della gestione dirigenziale.

A scuola il personale docente ed ATA, che viene in contatto con dati tutelati dal Codice stesso oggi non si chiama incaricato, ma Soggetto Autorizzato.  Il direttore sarà per forza di cose Soggetto Autorizzato, ma anche facoltativamente può essere Soggetto Designato. 

“Soggetti autorizzati” e “soggetto designato” sono i nuovi termini che sostituiscono i vecchi di “incaricati del trattamento dati” (personale scolastico) e di “responsabile del trattamento dati” (direttore).