L’art. 37 del GDPR prevede che il Data Protection Officer deve essere obbligatoriamente nominato quando:
il titolare del trattamento è un’autorità pubblica oppure un organismo di diritto pubblico;
ovvero quando le attività principali consistono in trattamenti che richiedono regolari e sistematici monitoraggi, o i trattamenti dei dati avvengono su larga scala;
o, infine, quando si trattino dati personali di categorie di dati particolari o di dati relativi a condanne penali e a reati.
Il comparto scuola possiede tutte e tre le caratteristiche sopra citate in quanto: è un’autorità pubblica, tratta dati su larga scala, dati relativi a minori, dati particolari come quelli relativi alla salute ed in alcuni casi dati anche dati relativi a condanne penali o reati.
E’ chiaro che l’improvvisazione in questo campo può solo ulteriormente aumentare la distanza tra ciò che prescrive la normativa, anche in termini di regime sanzionatorio, e ciò che in concreto deve essere effettuato per effettuare un corretto trattamento del dato personale all’interno della scuola rispettando le regole prescritte per legge.
Bisogna precisare che l’istruzione nel corso dell’ultimo decennio ha subito una trasformazione radicale passando dalla scuola intesa in maniera tradizionale, alla scuola cd. digitale, arrivando, da ultimo, in piena emergenza CODIV-19, alla messa in pratica in maniera forzata della didattica a distanza con risultati che hanno e stanno dividendo la comunità scolastica, soprattutto su come ovviare al problema del distanziamento sociale post emergenza quando a settembre dovrebbe ripartire la didattica in presenza, in tutte quelle situazioni di classi pollaio.
Tutto ciò ha fatto comprendere ancora di più come la scelta del DPO in regime di libera concorrenza debba avvenire in maniera consapevole ed operando la scelta tecnicamente più qualificata e sicura.
La nomina del DPO, infatti, deve avvenire seguendo dei criteri ben precisi che sono da individuarsi nelle particolari competenze acquisite in funzione delle qualità professionali (ex art. 37, paragrafo 5, GDPR), avendo conoscenza specialistica della normativa oltre che della prassi in materia di protezione dei dati personali, e nella possibilità in concreto di essere in grado di svolgere l’incarico di DPO.
Cerchiamo di fare luce proprio su tali aspetti e proprio sulle qualità professionali è d’obbligo citare una sentenza del T.A.R. Friuli Venezia Giulia n. 287/2018 con la quale si è stabilito che
“la minuziosa conoscenza e l’applicazione della disciplina di settore … il nucleo essenziale ed irriducibile della figura professionale ricercata mediante la procedura selettiva intrapresa dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico.”
Se da un lato è da prediligere una realtà che sia più vicina al campo giuridico, vuoi per il tema affrontato, vuoi per l’approccio giuridico alla materia della privacy, dall’altro lato non dobbiamo dimenticarci che la scuola nel corso degli anni è andata mano a mano sempre più digitalizzandosi (dal registro elettronico, alla didattica a distanza, dallo smart working, alle comunicazioni con le ASL, etc…) e l’approccio alla materia necessita di un’integrazione giurisprudenziale in concreto che tenga, altresì, conto dell’informatica di base, imprescindibile ad avviso di chi scrive, come ad esempio la necessità di regolare mediante contratto di responsabile esterno del trattamento del dato nei confronti di tutte quelle realtà giuridiche che prestano il servizio del registro elettronico.
Pertanto, la scelta migliore non può non orientarsi verso quell’approccio basato su qualità professionali che, garantendo autonomia ed indipendenza rispetto all’Istituzione scolastica, in concreto abbiano lo sguardo fisso sui principi regolatori della privacy, integrandoli con la prassi giurisprudenziale e del Garante per la Protezione dei dati Personali, in linea con l’evoluzione informatica che ha coinvolto negli ultimi anni il mondo scolastico.
