Le istituzioni scolastiche sono invece tenute, qualora non lo abbiano già fatto, ad informare gli interessati del trattamento secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679 e:
1. a garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, che siano raccolti per finalità determinate, esplicite e legittime, che siano trattati in modo non incompatibile con tali finalità, evitando qualsiasi forma di profilazione, nonché di diffusione e comunicazione dei dati personali raccolti a tal fine, che essi siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati, e trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;
2. a stipulare contratti o atti di individuazione del responsabile del trattamento ai sensi dell’articolo 28 del Regolamento, che per conto delle stesse tratta i dati personali necessari per l’attivazione della modalità didattica a distanza;
3. a sottoporre i trattamenti dei dati personali coinvolti a valutazione di impatto ai sensi dell’articolo 35 del regolamento.
Relativamente al punto 2, e cioè "stipulare contratti o atti di individuazione del responsabile del trattamento ai sensi dell’articolo 28 del Regolamento, che per conto delle stesse tratta i dati personali necessari per l’attivazione della modalità didattica a distanza",
attenzione che il "responsabile del trattamento" di cui parla la nota, con l'entrata in vigore del Reg. UE 2016/679 (GDPR), può essere solo un soggetto esterno all'Istituto, che corrisponde con la persona giuridica che mette a disposizione la piattaforma utilizzata per la didattica a distanza, a fronte di un contratto di servizio.
Non si tratta dell'animatore digitale o del responsabile della protezione dei dati (DPO).
Ma nella maggior parte dei casi si questo punto le Scuole non devono fare nulla, in quanto:
- se per la didattica a distanza viene utilizzata un'estensione del registro elettronico, il fornitore del RE è già stato nominato a monte responsabile del trattamento dei dati;
- se viene utilizzata la GSuite for Education, Google si è già auto-nominata responsabile del trattamento.
Dove invece c'è da fare, è la predisposizione della Valutazione d'impatto sulla protezione die dati, che stiamo predisponendo per i nostri Clienti.
Per qualsiasi dubbio o chiarimento non esitate comunque a contattarmi al 335-5950674.
GRazie e cordialità,