Cambiamento DPO: obblighi e sanzioni per le scuole
Quando cambia il Responsabile della Protezione dei Dati (DPO), le scuole devono notificarlo al Garante della Privacy per evitare sanzioni amministrative, come stabilito da un’ingiunzione del Garante (n. 166 del 27 aprile 2023).
Un ente locale ha recentemente subìto una multa di 8 mila euro per non aver comunicato tempestivamente i cambiamenti relativi al suo DPO. Questa regola, stabilita dal Regolamento UE sulla Protezione dei Dati (GDPR), riguarda tutte le autorità pubbliche, comprese le istituzioni scolastiche. Le scuole, infatti, devono comunicare al Garante qualsiasi cambiamento riguardante il DPO, compresi quelli relativi ai suoi dati di contatto.
Per questa comunicazione è prevista una procedura on line, disponibile sul sito del Garante.
La comunicazione è dovuta ogni volta che cambia il Dpo o quando cambiano i dati di contatto del Dpo.
In caso di cambio di DPO, la scuola deve procedere rapidamente alla variazione dei dati, evitando periodi senza un DPO, che non sono ammessi.
Se il rapporto con un Dpo è cessato e il nominativo di questo Dpo è ancora nell’archivio del Garante e se non si è ancora insediato il sostituto, allora c’è una doppia irregolarità: non avere comunicato la cessazione del Dpo scaduto e non avere un nuovo Dpo in servizio.
È importante sottolineare che, anche se il nome del precedente DPO è ancora presente nel database del Garante, la sua funzione termina con la fine del suo incarico.
Inoltre, nella fase di passaggio da un DPO al successivo, l’amministrazione scolastica deve designare temporaneamente un interno per il ruolo. Queste nomine provvisorie devono essere comunicate al Garante e il personale temporaneamente assegnato deve avere i requisiti necessari e non essere in conflitto di interessi. La transitorietà della nomina deve essere presa in considerazione nella valutazione del rischio di un potenziale conflitto di interessi.
Visita il sito di LiquidLaw e la pagina facebook