Dopo diversi mesi di silenzio, con la nota n. 877 del 03/08/2018, il MIUR è tornato a parlare di GDPR e ha trasmesso alle scuole un modello di registro delle attività di trattamento dei dati e una serie di indicazioni per la sua compilazione.

Il registro delle attività di trattamento è un documento che va obbligatoriamente redatto da parte del titolare del trattamento dei dati (nel caso della scuola, dal dirigente scolastico), in cui vanno annotate in modo chiaro le informazioni riguardanti le attività svolte sui dati degli utenti.

Cosa deve essere incluso nel registro delle attività di trattamento?

1) Il nome e i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati designato

2) Le finalità del trattamento

3) Una descrizione delle categorie di interessati e delle categorie di dati personali

4) Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati

5) I trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, con l’indicazione delle eventuali garanzie prescritte

6) Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate

Perché la compilazione del registro delle attività di trattamento è fondamentale

Ora voglio spiegarti in 5 semplici punti perché il registro delle attività di trattamento non debba essere considerato come l’ennesimo adempimento inutile, bensì come una valida opportunità che la scuola può sfruttare a proprio favore.

– Il registro delle attività di trattamento è uno strumento indispensabile per la corretta gestione dei dati degli interessati, in linea con il principio di responsabilizzazione (accountability) previsto dal GDPR.

Attraverso questo documento il titolare “scatta un’istantanea” di tutti i trattamenti effettuati da parte dell’istituto e la mette a disposizione degli utenti della scuola.

– Il registro delle attività di trattamento è uno strumento di controllo per l’autorità Garante.

L’articolo 30 del GDPR indica infatti come “il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento” debbano mettere “il registro a disposizione dell’autorità di controllo”.

Questo documento costituisce inoltre la base dell’attività ispettiva della Guardia di Finanza per valutare le misure di tutela della privacy messe in atto dalla scuola.

– Il registro delle attività di trattamento è uno strumento indispensabile per la valutazione e l’analisi del rischio, in quanto consente la ricognizione, la mappatura e la valutazione di conformità di tutte le attività svolte dalla scuola sui dati degli utenti.

 Il registro delle attività di trattamento prova che l’azione svolta dal titolare sia pienamente rispondente alle richieste della normativa europea.

– La corretta compilazione del registro delle attività di trattamento evita pesanti sanzioni in capo alla scuola (la violazione della disciplina relativa alla tenuta dei registri è infatti soggetta a un’ammenda che può arrivare fino a € 10.000.000).

Il MIUR supporta gli istituti nella stesura del registro delle attività di trattamento?

Come detto, la compilazione del registro delle attività di trattamento è obbligatoria per tutte le scuole, in quanto le medesime trattano categorie particolari di dati (art. 30 GDPR).

Spetta pertanto ai dirigenti scolastici, in qualità di titolari del trattamento, redigere un proprio registro.

Recentemente, il MIUR ha fornito a tutti gli istituti scolastici una bozza del documento e una serie di istruzioni utili per la sua compilazione.

Le spiegazioni fornite dal ministero, tuttavia, non sono facilmente comprensibili per i non addetti ai lavori, e di conseguenza non semplificano di certo la vita dei dirigenti scolastici.

Come spesso succede, anche in questo caso, dunque, le scuole vengono un po’ “lasciate al loro destino”.

Sei in difficoltà e non sai come redigere correttamente il registro delle attività di trattamento?

Noi di Infotek, abbiamo sviluppato il progetto “GDPR Scuola” per aiutare gli istituti ad affrontare il GDPR in maniera corretta.

Grazie a un metodo strutturato in quattro fasi, il nostro team è in grado di produrre tutta la documentazione necessaria a rendere la scuola “compliance” al nuovo regolamento.

Non sai come affrontare il GDPR in maniera corretta? Non preoccuparti!

Possiamo aiutarti a valutare lo stato di conformità del tuo istituto rispetto alla nuova normativa regalandoti una consulenza gratuita di un’ora.

Un nostro esperto ti porrà una serie di domande e, in base alle risposte ricevute, produrrà un report di valutazione che metterà in evidenza sia i comportamenti virtuosi che le eventuali criticità.

Leave a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *