circolare 388 MIUR in tema di privacy
Prendiamo visione della circolare 388 a firma Marco Bruschi ed osserviamo quanto segnalato in tema di privacy.
per quanto riguarda il punto 1 tutte le operazioni sono state già suggerite nella sezione riservata dedicata alle scuole, si osserva che la corretta impostazione da noi indicata risponde perfettamente al punto segnalato dal MIUR, giova segnalare che l’obbligo di informativa prevede da parte del titolare la dimostrazione di aver di fatto raggiunto con la stessa informativa tutti gli interessati, quindi suggeriamo caldamente di poter dimostrare di aver mandato una circolare con presa visione alle famiglie.
punto 2 nomina responsabile del trattamento, in merito a questa parte si osserva che qualora le piattaforme utilizzate prevedano lo scambio di dati personali, mail, telefono, dati sensibili di varia natura, allora è necessario nominare il responsabile esterno del trattamento. Questa operazione prevede ai sensi di legge che:
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto
o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che
vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia
disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di
dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento
Pertanto è obbligatorio sottoscrivere un vero e proprio contratto con il titolare della piattaforma, utilizzando il modello allegato che le scuole possono trovare nella apposita sezione dedicata del nostro sito.
punto 3: il titolare del trattamento deve svolgere su ogni piattaforma che utilizza una valutazione di impatto ai sensi del regolamento 679/2016 che contenga almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento,
compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza
e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità
al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati
e delle altre persone in questione.
fatta questa valutazione deve esserne messo a conoscenza il DPO che esprimerà opportuno parere.
