Secondo il vademecum “Scuola a prova di privacy” 2023 del Garante della privacy, la scuola, come entità giuridica, è il titolare del trattamento dei dati personali secondo il GDPR. Il dirigente scolastico, rappresentante legale dell’ente, ha la responsabilità delle decisioni relative al trattamento dei dati, mentre il personale amministrativo e docente può trattare i dati solo se autorizzato.

Tali ruoli devono essere formalizzati mediante atti interni, che sono essenziali per l’assegnazione dei compiti e per individuare i responsabili in caso di violazioni normative. Oltre al titolare del trattamento, il GDPR menziona le persone autorizzate a gestire i dati e il Codice della privacy italiano aggiunge le “persone fisiche designate per specifici compiti e funzioni”.

La scuola, in quanto titolare del trattamento, deve essere indicata in tutte le comunicazioni e documenti che richiedono l’identificazione del titolare. Eventuali sanzioni per violazioni della privacy saranno indirizzate alla scuola.

La gestione della privacy può includere un livello intermedio di “soggetti designati per specifici compiti e funzioni”, che potrebbero essere responsabili per la gestione dei sistemi informativi, la sicurezza o i rapporti con studenti, famiglie e il DPO. La designazione di questi soggetti deve essere documentata in un atto amministrativo firmato dal dirigente scolastico.

Infine, tutti i dipendenti che trattano dati personali devono essere “autorizzati al trattamento”, una qualificazione speciale prevista dalla normativa sulla privacy. Questa autorizzazione deve essere formalizzata mediante un atto specifico, e i documenti relativi devono essere mantenuti aggiornati e resi disponibili su richiesta del Garante della Privacy.

Visita il sito di LiquidLaw e la pagina facebook