La legge 675/96 ha un forte impatto organizzativo e individua tre figure: titolare , responsabile e incaricato .
5.1. Il titolare
Il titolare è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità e alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza
, come dispone l'articolo 1
[Articolo 1].
Si tratta del soggetto che assume le decisioni sulle finalità e sulle modalità del trattamento dei dati.
Titolare del trattamento è l'istituto scolastico e la titolarità è esercitata dal dirigente scolastico.
Con riguardo all'esercizio della titolarità si ricorda il parere espresso dal Garante per la protezione dei dati personali
[Privacy: chi sono i titolari e i responsabili del trattamento dei dati nelle imprese e nelle amministrazioni pubbliche].
5.2. Il responsabile/i responsabili
La legge introduce un'altra figura di notevole rilievo, costituita dal responsabile del trattamento. Il responsabile è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali
, come dispone l'articolo 1
[Articolo 1]. La designazione di un responsabile è facoltativa e non esonera da responsabilità il titolare, il quale ha comunque l'obbligo di impartirgli precise istruzioni e di vigilare sull'attuazione di queste.
Il responsabile deve essere un soggetto che fornisce, per esperienza, capacità e affidabilità, idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza
[Articolo 1].
I compiti del responsabile devono essere analiticamente previsti per iscritto e variano di caso in caso.
Il responsabile del trattamento dei dati personali non può che essere espressamente designato: ad esempio, non potrà considerarsi responsabile del trattamento di dati personali, ai sensi della legge 675/96, senza un atto formale di designazione o di nomina, in cui siano per iscritto elencati i suoi nuovi compiti, il responsabile del sistema informativo di un ente.
È bene ricordare che le decisioni strategiche restano di competenza del titolare, anche se viene nominato un responsabile.
Nella scuola possono essere nominati dei responsabili interni: uno o più docenti, tecnici, responsabili di laboratorio, eccetera.
Ma è opportuno che siano nominati anche dei responsabili esterni se i dati sono trattati da altri soggetti: per esempio, in caso di contratto di outsourcing.
5.3. Gli incaricati
Mentre il titolare e il responsabile possono essere anche persone giuridiche, la terza figura individuata dalla legge, cioè l'incaricato del trattamento dei dati, che è la persona incaricata di compiere le operazioni dal titolare del trattamento, è una persona fisica
[Incaricato del trattamento dei dati].
Negli istituti scolastici dovrebbero essere nominati incaricati di trattamento tutti i soggetti che trattano dati personali: per esempio, tutti i docenti e il personale amministrativo.