Mentre tutti i Dirigenti scolastici certo ricordano la data del 25 maggio 2018, che i più tra loro hanno vissuto in quel vago clima di incertezza e preoccupazione che spesso accompagna le fasi di transizione verso il nuovo, forse pochi sanno che, in realtà, a quella stessa data l’oggetto delle loro ambasce, ossia il Regolamento (UE) 2016/679 meglio noto con l’acronimo GDPR (General Data Protection Regulation), era già pienamente in vigore da due anni.

Nonostante il lungo periodo transitorio stabilito dall’art. 99 affinché gli Stati membri adeguassero gli ordinamenti interni, l’Italia è arrivata a quella fatidica data in cui il GDPR ha ricevuto uniforme applicazione in tutti i 28 Paesi dell’Unione, sostanzialmente impreparata.

Questo ritardo ha imposto agli interpreti dell’ultima normativa relativa alla protezione, si badi, non di una non meglio precisata “privacy” ma, più propriamente, delle persone fisiche con riguardo al trattamento dei dati personali (art. 1), uno sforzo di gran lunga maggiore per discernere ciò che della lunga e consolidata esperienza applicativa pregressa poteva essere salvato e ciò che invece doveva, da un giorno all’altro, scomparire per dar spazio al nuovo.

Un emblematico esempio in tal senso è dato dalla definizione del ruolo che, nel passaggio dal D. Lgs. 196/2003 (noto anche come “Codice della Privacy”) al GDPR, è legittimo ed opportuno conservare al Direttore dei Servizi Generali ed amministrativi (DSGA) in vista del raggiungimento della ratio legis sopra indicata.

Nel previgente impianto normativo il legislatore italiano aveva opportunamente stabilito di frapporre tra il titolare (soggetto apicale cui competevano le decisioni fondamentali in ordine al trattamento dei dati: le finalità, le modalità, gli strumenti) e gli incaricati (meri esecutori di determinate operazioni), un rango intermedio con rilevanti funzioni sia nei confronti degli interessati che del Garante.

 

L’art. 29 del Codice Privacy concedeva al titolare del trattamento dei dati appunto la facoltà di individuare, sia all’interno che all’esterno della propria organizzazione, uno o più soggetti che per esperienza, capacità ed affidabilità fornivano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia, cui delegare, attraverso un atto di preposizione scritto, unilaterale e recettizio contenente le necessarie istruzioni, lo svolgimento di determinati compiti.

Date tali caratteristiche, la prassi delle istituzioni scolastiche pubbliche di ogni ordine e grado si era subito orientata e consolidata nel senso di individuare il DSGA, ossia il funzionario dell’Area D del personale a.t.a. che, in base alla Tabella A del vigente C.c.n.l. di comparto, svolge “attività lavorativa di rilevante complessità ed avente rilevanza esterna”, quale primo e naturale destinatario della nomina a responsabile del trattamento.

Anche il GDPR oggi contempla all’art. 28 un soggetto (persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati per conto del titolare) che è ancora chiamato “responsabile del trattamento”, e questa coincidenza terminologica è fonte di incertezza dato che le analogie con il passato si fermano al nome: dal confronto tra i due articoli di riferimento, quello abrogato dal D. Lgs. 101/2018 e quello in vigore, emergono infatti una serie di importanti differenze.

La prima è data dal fatto che la nomina dell’odierno responsabile non è più rimessa alla discrezionalità del titolare ma è diventata obbligatoria ogni qualvolta un trattamento debba essere effettuato da altri per suo conto.

La seconda attiene alla diversa natura del vincolo giuridico che lega il responsabile al titolare: scomparso il riferimento all’atto di preposizione, lo strumento principale e tipico che definisce i reciproci diritti ed obblighi è per l’art. 28 un “contratto” (assimilabile al contratto di mandato disciplinato dall’art. 1703 del nostro Codice civile).

A marcare ulteriormente la discontinuità rispetto al passato, vi è poi il nuovo regime di responsabilità che grava sul soggetto in esame e che, da un lato, lo chiama a risarcire in solido con il titolare (art. 82) il danno causato da una violazione degli obblighi stabiliti dal GDPR, e, dall’altro lato, lo considera passibile di autonome sanzioni amministrative pecuniarie (art. 83).

Già da sole, le macroscopiche differenze segnalate sono sufficienti a comprendere che il ruolo di responsabile del trattamento contemplato dall’art. 28 del GDPR compete ad un soggetto del tutto autonomo ed indipendente rispetto alla struttura organizzativa della istituzione cui appartiene il titolare e che pertanto non può essere affidato al DSGA, come ha peraltro riconosciuto lo stesso MIUR nella nota diffusa il 22 maggio 2018 (prot. 0000563).

Nello stesso senso depongono anche altre circostanze, come l’obbligo imposto a carico del responsabile di cancellare o restituire tutti i dati personali dopo che è terminata la “prestazione dei servizi” relativi al trattamento (art. 28, comma 3, lett. g), la possibilità che il medesimo soggetto aderisca a “codici di condotta” o a “meccanismi di certificazione” (art. 28, comma 5), la eventualità che, in base all’art. 37, commi 1 e 4, egli sia obbligato (al pari del titolare) a designare un Responsabile della protezione dei dati, o ad istituire il suo registro delle attività di trattamento (art. 30), tutte circostanze che non sono riferibili ad un lavoratore dipendente, stabilmente ed organicamente inserito nella medesima organizzazione del titolare del titolare del trattamento.

Questo risultato interpretativo non conclude però l’analisi in corso.

La consapevolezza che il DSGA non può essere legittimamente nominato responsabile del trattamento ai sensi dell’art. 28 del GDPR apre infatti ad un doppio problema: resta da individuare il soggetto cui meglio si attagliano le caratteristiche ivi delineate e resta da stabilire quale sia il diverso inquadramento del DSGA nel nuovo sistema di protezione.

Sotto il primo aspetto, calando l’art. 28 nel quotidiano delle istituzioni scolastiche pubbliche, è facile veder affiorare quei fornitori specializzati di servizi web e software gestionali – ben noti sia ai Dirigenti scolastici che ai DSGA – che allestiscono piattaforme, spesso allocate su server proprietari ed accessibili via internet, funzionali agli usi più disparati, come la gestione dei documenti informatici, dei fascicoli elettronici, la dematerializzazione, la conservazione cloud dei dati, la gestione della contabilità, degli stipendi, e coì via.

Si tratta appunto di soggetti esterni, strutturalmente e professionalmente organizzati in modo autonomo, legati all’istituzione scolastica esclusivamente da un vincolo di natura contrattuale, cui viene affidato lo svolgimento di determinati servizi esternalizzati, a titolo oneroso e pertanto con assunzione delle relative responsabilità.

Sotto il secondo aspetto, sarebbe possibile inquadrare il DSGA tra le “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare”, categoria di soggetti cui fa indirettamente cenno l’art. 4, comma 1, numero 10), che sostanzialmente coincide con quella degli incaricati come li chiamava il vecchio Codice.

Questa configurazione, tecnicamente ammissibile, non è però la migliore dato che, di fatto, equipara nella gestione della privacy il ruolo del DSGA, che nello svolgimento quotidiano delle sue mansioni ha la continua necessità di trattare dati personali (dei fornitori, del personale dipendente, di alunni o studenti e delle loro famiglie, eccetera), con quello ad esempio dei collaboratori scolastici, che invece effettuano operazioni di trattamento dati solo in modo del tutto sporadico ed occasionale.

La soluzione va pertanto ricercata altrove.

A ben guardare, l’art. 24, comma 1, del GDPR laddove stabilisce che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”, sta chiedendo – nel caso di specie, al Dirigente scolastico – di abbandonare l’approccio burocratico-prescrittivo cui era ispirato il Codice della Privacy (si pensi al suo “Allegato B”) e di affrontare con metodo manageriale (risk based approach) il problema privacy, lasciandolo libero di progettare le soluzioni che più gli aggradano.

E’ proprio questo il dato normativo che ancora consente di assegnare al DSGA un ruolo da protagonista nel sistema di gestione della protezione dei dati personali, coerente con il suo profilo professionale e con il modello organizzativo tipico delle istituzioni scolastiche pubbliche, nonché conforme all’esperienza maturata sino al 24 maggio 2018.

In una logica di divisione dei compiti del tutto naturale, legittima ed anzi funzionale allo scopo di strutturare un trattamento che rispetti le prescrizioni del GDPR e tuteli il diritto fondamentale alla protezione dei dati personali, può infatti costituire “misura organizzativa” ritenuta adeguata dal titolare la eventuale designazione da parte sua del DSGA come figura interna apicale con funzioni di supervisione degli adempimenti privacy, da svolgere secondo analitiche istruzioni.

Tale figura – la si chiami “referente interno in materia di protezione dei dati personali”, “autorizzato di primo livello”, “autorizzato coordinatore”, o, più tradizionalmente, “responsabile interno del trattamento”, poco importa – potrebbe utilmente svolgere numerosi compiti.

Si pensi ad esempio: alla implementazione del Registro delle attività di trattamento; alla amministrazione delle nomine agli incaricati, delle informative agli interessati e dei consensi, ove necessari; alla gestione dei data breaches; alla regolare tenuta della documentazione per la accountability del titolare; alla rilevazione di eventuali violazioni del Regolamento; al disbrigo delle richieste formulate dall’interessato (accesso ai dati personali; rettifica e cancellazione; limitazione di trattamento; opposizione al trattamento; portabilità dei dati).

E’ opportuno precisare che la prospettata soluzione viene offerta in via di interpretazione, dato che il GDPR non contempla siffatto responsabile interno del trattamento (ma neppure lo vieta), ed anche in base ad un orientamento subito assunto dal Garante per la protezione dei dati personali e di recente ribadito (22 gennaio 2019), che induce a ravvisare, nel passaggio dal Codice Privacy al nuovo Regolamento, una certa continuità tra vecchi e nuovi soggetti, autorizzando così l’idea che il DSGA possa continuare a svolgere in questa delicata materia un ruolo da