Vuoi saperne di più sul GDPR
e affrontarlo in maniera corretta?

Caro Dirigente Scolastico,

sono Riccardo Manuelli di Karon srl, azienda che tramite il software Regel gestisce i dati degli utenti di diverse scuole in tutta Italia.

Assieme al Dottore Commercialista Federico Croso dello Studio Legale Tributario Croso, ho dato vita al progetto “GDPR Scuola” per aiutare gli istituti scolastici ad affrontare il GDPR.

Come saprai, la nuova normativa europea in materia di protezione dei dati è entrata in vigore in tutti i paesi UE lo scorso 25 maggio.

Scopo del GDPR è quello di tutelare le persone fisiche le cui informazioni personali vengono trattate da terzi, siano essi aziende o pubbliche amministrazioni.

Anche le scuole, di conseguenza, sono tenute a rispettarne i principi.

Il GDPR pone con forza l'accento sulla responsabilizzazione (“accountability”) del titolare del trattamento dei dati, il quale dovrà adottare comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento.

In base al modello anglosassone al quale è ispirato, il GDPR non fornisce delle vere e proprie linee guida, ma enuncia semplicemente una serie di principi da seguire.

La responsabilità riguardo la scelta delle azioni da intraprendere per adeguarsi alla normativa ricade di conseguenza completamente sulla scuola.

Come detto, il GDPR è effettivamente operativo dallo scorso 25 maggio.

Essendo un regolamento europeo, ha trovato immediata applicazione in tutti gli stati UE.

Il processo di adeguamento da parte di enti pubblici e aziende è tuttavia ancora in atto.

Molte le scuole che ad oggi non hanno ancora adottato i provvedimenti necessari per conformarsi al GDPR.

Inutile sottolineare come tale adeguamento sia da portare a termine il più rapidamente possibile, in modo da evitare le pesanti sanzioni previste dal Garante.

Lavorando da parecchio tempo con le scuole, siamo consci di come il tuo lavoro stia diventando sempre più complicato.

Ogni anno devi affrontare nuovi problemi: dalla didattica alla gestione documentale, dalle normative all’organizzazione contabile.

A tali questioni negli ultimi mesi si è aggiunta anche la “grana” GDPR.

Abbiamo volutamente virgolettato il termine in quanto riteniamo che il nuovo regolamento non rappresenti un problema, bensì un’opportunità da sfruttare.

Mi spiego meglio.

Consideriamo il GDPR l’occasione giusta affinché la scuola riorganizzi al meglio la gestione dei propri dati, e sviluppi di conseguenza modalità operative efficaci in grado di tutelare le informazioni personali degli utenti.

Proteggere i dati, soprattutto se di minori, è oggi più che mai fondamentale.

Occorre sottolineare, tuttavia, come l’adeguamento al GDPR da parte della scuola non possa avvenire in tempi rapidi.

Le cose da fare sono tante ed è pertanto necessario affidarsi a professionisti del settore che uniscano competenze amministrative, normative e giuridiche.

Quali sono gli errori che la scuola non deve compiere?

Rimanere inattiva

La scuola deve mobilitarsi per rendere conforme al GDPR la gestione dei propri dati.
Deve farlo non solo per evitare le pesanti sanzioni previste in caso di mancato rispetto dei principi della normativa, ma anche perchè la protezione delle informazioni personali di ogni singolo utente è un dovere morale.

Affidarsi a un software

Per adeguarsi al GDPR la scuola non deve utilizzare un software, ma affidarsi a un team di lavoro competente, sia in ambito legale che amministrativo, in grado di analizzare le procedure interne di gestione documentale e produrre la documentazione richiesta dal regolamento.

Nominare unicamente il RPD

La nomina del RPD rappresenta solamente uno degli aspetti che la scuola deve prendere in considerazione in funzione dell’entrata in vigore del GDPR.
Questa figura, tuttavia, non ha il compito di analizzare lo stato di conformità dell’istituto, né di produrre la documentazione richiesta dalla normativa.

Ma qual è allora il modo migliore per affrontare il GDPR?

L’adozione di un metodo è la soluzione ideale per affrontare il GDPR.

A rafforzare questo concetto è il Garante stesso che prescrive di strutturare un vero e proprio metodo che permetta di gestire in maniera lineare e organizzata i processi: dall’analisi della situazione organizzativa all’individuazione delle misure più opportune da adottare, dalla messa in pratica di tali misure alla produzione della relativa documentazione.

Karon, in sinergia con lo Studio Legale Tributario Croso, ha sviluppato un metodo specifico per le scuole chiamato “Metodo GDPR Scuola”.

Eccone in dettaglio le fasi:

Fase 1: Presentazione e sensibilizzazione GDPR

Informare Dirigenti Scolastici e Direttori S.G.A. sul GDPR è il primo passo essenziale da compiere.

Incontri personali e seminari interattivi online (webinar) rappresentano il punto di partenza per sensibilizzare gli amministratori scolastici e far comprendere loro l’importanza della nuova normativa.

Il GDPR è un regolamento europeo e in esso, a differenza di quanto avviene nel “Codice in materia di protezione dei dati personali” (d.lgs. n. 196/2003) tuttora in vigore in Italia, non viene espresso ciò che deve essere fatto, ma unicamente una serie di principi che devono essere necessariamente adottati da chi tratta informazioni sensibili.

Rappresentando una novità, un approccio del genere potrebbe risultare difficile da interpretare.

Proprio per questa ragione ci proponiamo di informare e sensibilizzare Dirigenti Scolastici e Direttori S.G.A. sull’importanza della piena responsabilizzazione della scuola, soggetto titolare del trattamento dei dati.

Fase 2: Analisi e valutazione dello stato di conformità

Karon valuta i processi applicati dalla scuola al trattamento dei dati al momento presente (sia dal punto di vista organizzativo che informatico) e ne analizza la gestione.

Identifica e mappa i trattamenti valutandone le caratteristiche, al fine di redigere un registro delle attività di trattamento.

I documenti che Karon rilascerà a seguito di questa fase faranno emergere eventuali punti critici nei processi di gestione dei dati da parte della scuola e permetteranno di conseguenza di programmare le misure essenziali per risolvere tali problematiche, stimando inoltre i tempi necessari per l’adeguamento alla normativa.

Fase 3: Produzione della documentazione di conformità

Karon produce la documentazione necessaria affinché la gestione dei dati da parte dell’istituto sia conforme alla normativa.

La scuola, ovvero il titolare del trattamento dei dati, deve infatti possedere le prove del fatto che si sia adeguata ai principi dettati dal regolamento.

In caso contrario, potrebbe dover rispondere al Garante italiano o al Garante europeo o al tribunale ordinario, rischiando salate sanzioni amministrative.

In uno degli ultimi passaggi del regolamento in merito agli adempimenti da assolvere, il Garante europeo suggerisce di: “Creare un faldone, cartaceo o digitale, che contenga tutte le comprove degli adempimenti al regolamento”.

È pertanto di fondamentale importanza documentare rigorosamente tutte le attività svolte.

Fase 4: Formazione e responsabilizzazione del personale

Karon applica un piano di formazione per l’istituto scolastico, grazie al quale il personale adibito alla gestione dei dati viene “educato” e responsabilizzato, come suggerito dal GDPR.

Il regolamento pone con forza l’accento sulla responsabilizzazione (“accountability”) del titolare del trattamento, il quale dovrà adottare comportamenti proattivi, tali da dimostrare la concreta attuazione di misure finalizzate ad assicurare l’applicazione del regolamento (artt. 23-25).

Un piano di formazione si rivela pertanto assolutamente indispensabile per assicurarsi che la gestione dei dati da parte della scuola sia conforme alla normativa.

Non sai come affrontare il GDPR?

Prenota una consulenza gratuita di un'ora.
Risponderemo a tutte le tue domande!

Oltre al metodo, il progetto "GDPR Scuola" offre un servizio di RPD in outsourcing.

Lo Studio Legale Tributario Croso, nostro partner nel progetto “GDPR Scuola”, si mette a disposizione delle scuole per assumere l’incarico di responsabile della protezione dei dati.

Come abbiamo avuto modo di constatare, molti istituti hanno già provveduto alla nomina di quest’ultima figura, obbligatoria in base alle indicazioni del nuovo regolamento.

Occorre tuttavia sottolineare come ciò rappresenti solamente uno degli aspetti che la scuola deve prendere in considerazione.

La figura del RPD non ha infatti né il compito di analizzare lo stato di conformità dell’istituto, né di produrre la documentazione richiesta dalla normativa.

Pensare pertanto di poter ridurre la questione a tale nomina riflette scarsa consapevolezza di ciò che richiede il GDPR.

Occorre dunque affidarsi a un team in grado di analizzare la situazione e produrre tutta la documentazione necessaria a rendere la scuola conforme al nuovo regolamento.

Dalla revisione delle informative per la privacy alla redazione della valutazione d’impatto sulla protezione dei dati, fino ad arrivare alla compilazione di un registro delle attività di trattamento.

Il metodo “GDPR Scuola” opera in tal senso.

E’ inoltre importante sottolineare come tutte queste attività non siano estemporanee, ma debbano anzi essere ripetute con regolarità nel corso del tempo.

L’adeguamento alla nuova normativa è necessario sia per evitare le pesanti sanzioni previste in caso di inadempienza, ma anche e soprattutto per tutelare pienamente i diritti di ogni singolo utente della scuola, in particolar modo dei minori.

Non sai come affrontare il GDPR?

Prenota una consulenza gratuita di un'ora.
Risponderemo a tutte le tue domande!

Il nuovo regolamento, pur non entrando nel merito delle misure da adottare, rappresenta un modello di organizzazione.

Ad oggi, molte scuole non applicano procedure standardizzate in fase di gestione dei dati.

L'organizzazione del lavoro, di conseguenza, non può che risentirne, sia sotto il profilo tecnico che dal punto di vista del tempo impiegato.

In questo senso, come detto in precedenza, il GDPR può rappresentare una preziosa opportunità per riorganizzare integralmente la gestione documentale della scuola e rendere il lavoro più semplice e fluido.

Non sai come affrontare il GDPR?

Prenota una consulenza gratuita di un'ora.
Risponderemo a tutte le tue domande!

Chi Siamo

Karon

Da più di dieci anni noi di Karon, tramite il software Regel, lavoriamo con le scuole, gestendo, archiviando e conservando le informazioni degli utenti.

Conosciamo molto bene le dinamiche del mondo scolastico e siamo costantemente aggiornati riguardo alle nuove normative.

Già dal 2016 abbiamo compreso l’importanza del GDPR.

Pertanto, come conseguenza logica del fatto che il nostro lavoro comporta la gestione di dati, abbiamo studiato e tradotto in pratica le direttive del nuovo regolamento.

Come prima cosa lo abbiamo “decifrato”, al fine di adeguare il nostro software ai principi in esso contenuti: da ciò è nata la nuova versione di Regel, online da dicembre 2017.

Abbiamo poi pensato di sviluppare un progetto del tutto nuovo per aiutare le scuole ad affrontare il GDPR.

Lo abbiamo fatto in sinergia con lo Studio Legale Tributario Croso, team di Avvocati e Dottori Commercialisti attivo nella consulenza legale sulla privacy per aziende e pubbliche amministrazioni.

Le nostre competenze in ambito gestionale si sono perciò unite a quelle dello Studio Legale Tributario Croso per dare origine al metodo “GDPR Scuola”.

Studio Legale Tributario Croso

Lo Studio si compone di un team di Avvocati e Dottori Commercialisti attivi dal 1996 nella consulenza legale e tributaria rivolta anche nei confronti delle pubbliche amministrazioni.

Le varie competenze maturate dai singoli professionisti hanno permesso allo Studio di affrontare le problematiche proposte dalla clientela con un approccio multidisciplinare che ha garantito la prospettazione di soluzioni a 360 gradi.

In quest'ottica l'appartenenza dei professionisti dello Studio ai diversi ordini professionali ha consentito di sviluppare competenze specifiche, ciascuno nel proprio ambito e grazie al proprio percorso formativo, in materia di privacy, già a partire dalla legge 675/96 passando poi per l'attuale D.Lgs. 196/03.

La privacy rientra tra le materie di formazione professionale obbligatoria da parte degli iscritti agli ordini ed è diventata oggetto di consulenza nei confronti dei clienti da parte dello Studio.

Scegli di usufruire della preziosa opportunità che ti offriamo!

Possiamo aiutarti a valutare lo stato di conformità della tua scuola rispetto al GDPR regalandoti una consulenza gratuita di un’ora.

Un nostro esperto ti porrà una serie di domande e, in base alle risposte ricevute, produrrà un report di valutazione che metterà in evidenza sia i comportamenti virtuosi che le eventuali criticità.

* campi obbligatori