ULTIMA ORA
Loading...
EduNews24
Aperto 10 giorni rimasti Cod. SEL-DPO-2026

INDIRE cerca il Responsabile della Protezione dei Dati: selezione pubblica per un incarico DPO in Toscana

L'Istituto Nazionale di Documentazione, Innovazione e Ricerca Educativa apre una procedura comparativa per titoli ed eventuale colloquio. Domande entro il 22 maggio 2026.

Istituto Nazionale di documentazione, Innovazione e Ricerca Educativa Toscana Pubblicato il 12 maggio 2026

Il contesto: INDIRE e la tutela dei dati personali

L'INDIRE — Istituto Nazionale di Documentazione, Innovazione e Ricerca Educativa — è il più antico ente di ricerca del Ministero dell'Istruzione e del Merito, con una storia che affonda le radici nel 1925. Dalla sua sede toscana, l'Istituto gestisce un patrimonio informativo enorme: dati di scuole, docenti, dirigenti scolastici, progetti europei come Erasmus+, piattaforme digitali per la formazione. Mole di trattamenti che rende la figura del Data Protection Officer (DPO) non un lusso burocratico, ma una necessità operativa.

Con la pubblicazione dell'avviso SEL-DPO-2026, datata 12 maggio 2026, INDIRE ha avviato la ricerca di un professionista esterno cui affidare l'incarico di Responsabile della Protezione dei Dati ai sensi dell'articolo 37, paragrafo 1, lettera a) del Regolamento UE 2016/679 (il cosiddetto GDPR). Una selezione snella — per titoli ed eventuale colloquio — ma dal profilo tecnico-giuridico elevato.

I dettagli della selezione

Ecco il quadro sintetico del bando:

  • Ente banditore: Istituto Nazionale di Documentazione, Innovazione e Ricerca Educativa (INDIRE)
  • Codice selezione: SEL-DPO-2026
  • Figura ricercata: Responsabile della Protezione dei Dati (DPO) ex art. 37, par. 1, lett. a) del Regolamento UE 2016/679
  • Posti disponibili: 1
  • Tipologia di procedura: selezione pubblica per titoli ed eventuale colloquio
  • Sede dell'incarico: Toscana
  • Data di pubblicazione: 12 maggio 2026
  • Scadenza per la presentazione delle domande: 22 maggio 2026, ore 23:59
  • Categoria: Selezione Professionisti ed Esperti

La finestra temporale per candidarsi è piuttosto ristretta — appena dieci giorni — il che suggerisce la volontà dell'Istituto di procedere rapidamente alla nomina. La procedura è di tipo comparativo: la commissione valuterà i curricula e i titoli presentati e, solo se lo riterrà necessario, convocherà i candidati per un colloquio.

Stando a quanto emerge dall'avviso, l'esito della selezione porterà alla predisposizione di una graduatoria da cui attingere per il conferimento dell'incarico. Questo significa che, oltre al primo classificato, anche gli altri candidati idonei potrebbero essere chiamati in caso di rinuncia o decadenza.

Le funzioni del DPO presso INDIRE

Il professionista selezionato dovrà operare sull'insieme dei trattamenti di dati personali effettuati dall'Istituto. Non si tratta, dunque, di un incarico circoscritto a un singolo progetto o a un'area specifica, ma di una responsabilità trasversale che abbraccia l'intera organizzazione.

Nel dettaglio, le attività previste comprendono:

  • Consulenza normativa: informare e assistere il titolare del trattamento, il responsabile del trattamento e tutti i dipendenti coinvolti sugli obblighi derivanti dal GDPR e dalla normativa nazionale in materia di privacy.
  • Sorveglianza sulla conformità: monitorare il rispetto del Regolamento europeo, delle disposizioni italiane (in primis il D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018) e delle policy interne di INDIRE, inclusa l'attribuzione delle responsabilità e la formazione del personale.
  • Valutazione d'impatto (DPIA): fornire pareri sulle valutazioni d'impatto sulla protezione dei dati ai sensi dell'articolo 35 del GDPR e sorvegliarne lo svolgimento.
  • Rapporti con il Garante: fungere da punto di contatto con l'Autorità Garante per la protezione dei dati personali, gestire le consultazioni preventive ex articolo 36 e ogni altra interlocuzione istituzionale.
  • Gestione dei data breach: partecipare al Team di crisi previsto dalle procedure interne di INDIRE per la gestione delle violazioni dei dati personali.
  • Aggiornamento professionale continuo: mantenersi costantemente aggiornato sulla normativa e sulle buone prassi, frequentando corsi, master e percorsi di formazione specialistica.

Un perimetro ampio, coerente con le linee guida del Gruppo di lavoro Articolo 29 (oggi Comitato europeo per la protezione dei dati, EDPB), che raccomandano per il DPO competenze giuridiche, informatiche e organizzative di alto livello.

Requisiti di partecipazione

L'avviso pubblicato da INDIRE rinvia al testo integrale della selezione per il dettaglio completo dei requisiti. Tuttavia, dalla natura dell'incarico e dal quadro normativo di riferimento è possibile delineare il profilo atteso:

  • Conoscenza approfondita della normativa europea e nazionale in materia di protezione dei dati personali (GDPR, D.Lgs. 196/2003, provvedimenti del Garante).
  • Esperienza documentata nello svolgimento di funzioni analoghe presso enti pubblici o soggetti privati di dimensioni rilevanti.
  • Competenze giuridiche e informatiche che consentano di comprendere e valutare i trattamenti effettuati dall'ente, le misure di sicurezza adottate e i rischi connessi.
  • Titoli di studio e professionali coerenti con il ruolo: laurea in discipline giuridiche, informatiche o affini, eventuali certificazioni in materia di data protection (ad esempio, certificazioni rilasciate secondo lo schema UNI 11697).
  • Assenza di conflitti di interesse, requisito essenziale per garantire l'indipendenza del DPO come previsto dall'articolo 38 del GDPR.

Per i dettagli puntuali su titoli valutabili, punteggi, compenso previsto e durata dell'incarico, è indispensabile consultare il testo integrale dell'avviso di selezione pubblicato da INDIRE.

Come candidarsi

La domanda di partecipazione deve essere presentata entro le ore 23:59 del 22 maggio 2026. Considerata la brevità dei termini, è consigliabile attivarsi immediatamente.

I passaggi fondamentali:

  1. Consultare l'avviso integrale sul sito ufficiale di INDIRE o sulla piattaforma utilizzata dall'ente per la gestione delle selezioni, verificando con attenzione requisiti, modalità di invio e documentazione richiesta.
  2. Preparare il curriculum vitae aggiornato, preferibilmente in formato europeo, corredato dalla documentazione attestante i titoli di studio, le esperienze professionali e le eventuali certificazioni in ambito data protection.
  3. Compilare e inviare la domanda secondo le modalità indicate nel bando (tipicamente tramite piattaforma telematica o PEC).
  4. Conservare la ricevuta di avvenuta trasmissione come prova dell'invio nei termini.

Al momento della pubblicazione di questo articolo non è stato reso disponibile un link diretto alla piattaforma di candidatura. Si raccomanda pertanto di monitorare il sito istituzionale di INDIRE (www.indire.it) nella sezione dedicata ai bandi e alle selezioni.

Domande frequenti (FAQ)

Che cos'è il DPO e perché INDIRE è obbligato a nominarlo?

Il Data Protection Officer (DPO), o Responsabile della Protezione dei Dati, è la figura prevista dagli articoli 37-39 del Regolamento UE 2016/679 con il compito di vigilare sulla corretta applicazione della normativa privacy all'interno di un'organizzazione. L'articolo 37, paragrafo 1, lettera a) stabilisce che la nomina è obbligatoria quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico. INDIRE, in quanto ente pubblico di ricerca vigilato dal Ministero dell'Istruzione e del Merito, rientra pienamente in questa casistica.

La selezione prevede una prova scritta o orale?

No. La procedura è una selezione per titoli con eventuale colloquio. La commissione valuterà in prima battuta i curricula e i titoli presentati dai candidati. Solo qualora lo ritenga opportuno — ad esempio per approfondire competenze specifiche o per dirimere situazioni di parità — potrà convocare i candidati per un colloquio. Non è prevista alcuna prova scritta.

Possono partecipare anche professionisti che non risiedono in Toscana?

L'avviso indica la Toscana come sede dell'incarico, dato che INDIRE ha la propria sede principale a Firenze. Salvo diverse indicazioni nel bando integrale, non risultano vincoli di residenza. Tuttavia, il DPO deve essere in grado di garantire la propria disponibilità presso la sede dell'ente per le attività che richiedono la presenza fisica, come la partecipazione al Team di crisi per la gestione dei data breach o le riunioni con la dirigenza.

Qual è la durata dell'incarico e il compenso previsto?

Il bando rinvia al testo integrale dell'avviso per le informazioni su durata e compenso. In genere, gli incarichi di DPO presso enti pubblici hanno durata compresa tra due e tre anni, con possibilità di rinnovo. Il compenso varia in funzione della complessità dell'organizzazione e del volume dei trattamenti. Per conoscere i dati esatti è necessario leggere attentamente l'avviso di selezione pubblicato da INDIRE.

Che differenza c'è tra DPO e Responsabile del trattamento?

Si tratta di due figure completamente distinte. Il Responsabile del trattamento (data processor), disciplinato dall'articolo 28 del GDPR, è il soggetto che tratta dati personali per conto del titolare sulla base di un contratto o altro atto giuridico. Il DPO, invece, è una figura di garanzia e controllo, indipendente, che non decide sulle finalità e sui mezzi del trattamento ma vigila affinché l'organizzazione rispetti la normativa. La confusione terminologica, alimentata dalla traduzione italiana del Regolamento, è frequente ma va assolutamente evitata.

Torna alla lista dei bandi
ULTIMA ORA