DPIA PER L'ADOZIONE DI STRUMENTI PER LA DIDATTICA A DISTANZA Anno 2020/2021 Titolare del trattamento D.S. Prof. Ernesto Piccolo Nome del DPO/RPD Richiesta del parere agli interessati Non è stato chiesto il parere agli interessati Motivazione della mancata richiesta del parere degli interessati A causa della situazione emergenziale non si è potuto procedere alla richiesta del parere degli interessati Contesto Panoramica del trattamento Quale è il trattamento in considerazione? Il trattamento considerato concerne l'utilizzo di una piattaforma on-line per l'attività di didattica a distanza e di smart-working resasi necessaria per l'emergenza pandemica dovuto alla malattia da Coronavirus Covid 19. Si è reso necessario l'utilizzo di strumenti informatici (pc, laptop, tablet ecc.) connessi sia tramite rete scolatica che domestica. L'utilizzo di tale strumentazione e di tecnologie in cloud rende necessaria la DPIA per analizzare e mitigare possibili violazioni di dati personali. Quali sono le responsabilità connesse al trattamento? I responsabili individuati sono i seguenti: - Titolare del Trattamento: l'Amministrazione Scolastica nella persona del legale rappresentante, il Dirigente Scolastico (D.S.), che sovraintende, per il suo ruolo, l'operato dei docenti. - Docenti: essendo a stretto contatto con gli alunni hanno il compito di operare nel rispetto della nomrativa vigente in merito alla sicurezza dei dati personali. Gestiscono e custodiscono la documentazione accessibile agli alunni/docenti. Il Titolare si impegna a fornire ai docenti le indicazioni più opportune per trattare i dati personali e di supervisionare gli alunni in merito all'utilizzo delle strumentazioni informatiche. - Il Responsabile della Protezione dei Dati (RPD): fornisce supporto al titolare, ai docenti e agli interessati per tutte ciò che concerne la protezione dei dati personali - I responsabili del trattamento esterni: i provider dei servizi utilizzati per la didattica a distanza, questi devono garantire gli standard necessari per essere compliance al GDPR garantendo la tutela dei diritti degli interessati. Per quanto concerne i provider dei servizi cloud va monitorata la loro policy sull'eventuale cessione dei dati ad enti terzi e all'eventuale utilizzo di server esterni all'UE* - Eventuali amministratori di sistema: nominati dal Dirigente Scolastico quali responsabili del trattamento per quanto concerne la gestione dei sistemi informatici, collaborano con il RPD e il DS nel fornire consulenze e pareri relativamente allo stato delle risorse informatiche dell'amministrazione. *N.B.: Le P.A. si avvalgono solo di servizi cloud abilitati la cui lista è presente sul sito dell'AGID. Ci sono standard applicabili al trattamento? Attualmente non sono stati rinvenuti standard, certificazioni o codici di condotta applicabili al problema in esame. Valutazione: Accettabile Contesto Dati, processi e risorse di supporto Quali sono i dati trattati? - dati identificativi alunni/docenti/altri interessati; - dati prodotti dagli interessati (elaborati, progetti...) spesso in condivisione tra loro, oggetto anche di valutazione. Qual è il ciclo di vita del trattamento dei dati (descrizione funzionale)? - registrazione ad uno o più servizi di condivisione o organizzazione didattica, anche tramite utilizzo di dispositivi privati; - eventuale produzione di materiale (elaborati, progetti, compiti...) tramite utilizzo dello stesso servizio di condivisione; - conservazione su server cloud ed eventuale condivisione (v. sopra); - archiviazione da parte dei docenti (atto amministrativo endoprocedimentale), rendendo non accessibile la documentazione agli interessati se non tramite richiesta scritta per eventuale modifica/rettifica/cancellazione. Quali sono le risorse di supporto ai dati? - Piattaforma Google G Suite for Education; - Cloud Google; - Dispositivi informatici (proprietà dell'Istituto scolastico e privati) Valutazione: Accettabile Principi Fondamentali Proporzionalità e necessità Gli scopi del trattamento sono specifici, espliciti e legittimi? Lo scopo è lo svolgimento dell'insegnamento scolastico , per cui il soddisfacimento di un pubblico interesse. Valutazione: Accettabile Quali sono le basi legali che rendono lecito il trattamento? Il trattamento viene effettuato sulla base del DPCM dell'8 marzo 2020 che prevede la sospensione dell'attività formativa di ogni ordine e grado e l'introduzione di attività di didattica a distanza Valutazione: Accettabile I dati raccolti sono adeguati, pertinenti e limitati a quanto è necessario in relazione alle finalità per cui sono trattati (minimizzazione dei dati)? - I docenti raccolgono e archiviano la quantità minima delle informazioni necessaria allo svolgimento delle proprie funzioni, ma comunque sufficiente a valutare l'intero processo formativo dello studente; - Il Titolare del trattamento supervisiona affinché i dati trattati dai docenti siano pertinenti e limitati alla sola esigenza formativa. Valutazione: Accettabile I dati sono esatti e aggiornati? - I dati di identificazione degli alunni/docenti, vengono costantemente aggiornati e viene verificata l'esattezza; - Per quanto riguarda gli elaborati (compiti, progetti ecc...) gli stessi possono essere modificati sino a quando sono considerati terminati a quel punto sono immodificabili e vengono considerati come documentazione amministrativa. Valutazione: Accettabile Qual è il periodo di conservazione dei dati? Il periodo di conservazione dei dati è quello strettamente necessario allo svolgimento dell'attività didattica. Dopodiché il docente archivierà i documenti per almeno un anno. Eccezione è la conservazione di documentazione campione che verrà conservata per dieci anni( Circolare n° 44 del 19/12/2005 della Direzione Generale per gli archivi. Valutazione: Accettabile Principi Fondamentali Misure a tutela dei diritti degli interessati Come sono informati del trattamento gli interessati? Tramite apposita informativa ex art. 13 del Reg. UE 206/679 sottoposta prima del trattamento agli interessati. Nella stessa sono descritte le modalità di trattemento dei dati. Valutazione: Accettabile Ove applicabile: come si ottiene il consenso degli interessati? Non è previsto. Valutazione: Accettabile Come fanno gli interessati a esercitare i loro diritti di accesso e di portabilità dei dati? Qualora l'interessato volesse esercitare i propri diritti (specificati nell'informativa ex art. 13 del Reg. UE 206/679), sarà fornito a questi apposito modulo per l'esercizio dei diritti. In ogni caso potranno utilizzare anche altra forma di comunicazione scritta. Valutazione: Accettabile Come fanno gli interessati a esercitare i loro diritti di rettifica e di cancellazione (diritto all'oblio)? Qualora l'interessato volesse esercitare i propri diritti (specificati nell'informativa ex art. 13 del Reg. UE 206/679), sarà fornito a questi apposito modulo. In ogni caso potranno utilizzare anche altra forma di comunicazione scritta. Valutazione: Accettabile Come fanno gli interessati a esercitare i loro diritti di limitazione e di opposizione? Qualora l'interessato volesse esercitare i propri diritti (specificati nell'informativa ex art. 13 del Reg. UE 206/679), sarà fornito a questi apposito modulo. In ogni caso potranno utilizzare anche altra forma di comunicazione scritta. Valutazione: Accettabile Gli obblighi dei responsabili del trattamento sono definiti con chiarezza e disciplinati da un contratto? Nell'ambito del contratto d'uso sono specificati gli specifici obblighi e responsabilità. In mancanza si provvede alla nomina del Responsabile del trattamento. Valutazione: Accettabile In caso di trasferimento di dati al di fuori dell'Unione europea, i dati godono di una protezione equivalente? Non vengono trasferiti dati al di fuori dell'U.E. Valutazione: Accettabile Rischi Misure esistenti o pianificate Crittografia La piattaforma utilizzata per la didattica a distanza prevede sistemi di crittografia che garantiscono la minimizzazione del rischio. Valutazione: Accettabile [omissis] documentazione relativa all'attività Istituzionale dell'Amministrazione è regolata dalla normativa vigente in materia di archiviazione nella pubblica amministrazione, contenente indicazioni specifiche per la pubblica istruzione. Valutazione: Accettabile Minimizzazione dei dati I dati vengono trattati e archiviati in forma minima, per quanto previsto dalla normativa vigente Valutazione: Accettabile Lotta contro il malware I sistemi scolastici sono protetti da malware con modalità di protezione sia hardware che software (firewall e antivirus). È inoltre opportuno fornire agli utilizzatori delle linee guida sull'utilizzo sicuro delle risorse elettroniche e digitali, che includano le istruzioni per una efficace lotta al malware. Valutazione: Accettabile Backup I sistemi di didattica da remoto utilizzati per il trattamento devono essere provvisti di una modalità di backup. Valutazione: Accettabile Contratto con il responsabile del trattamento I responsabili del trattamento devono essere nominati tali tramite la stipula di un contratto, ai sensi degli Artt. 28 e 29 del Reg. Ue 679/2016 Valutazione: Accettabile Politica di tutela della privacy L'Istituto implementato una serie di misure orientate all'adeguamento della stessa alla normativa vigente. Con la nomina ad incaricati al trattamento ai sensi dell'Art. 2- quaterdecies del D.Lgs. 196/2003, per l'espletamento della loro mansione. Valutazione: Accettabile Rischi Accesso illegittimo ai dati Quali potrebbero essere i principali impatti sugli interessati se il rischio si dovesse concretizzare? Diffusione dati di minori; Diffusione di dati cosiddetti particolari, Cyberbullismo Quali sono le principali minacce che potrebbero concretizzare il rischio? Pubblicazione su piattaforme social di dati personali, Scarsa sensibilità degli studenti alla privacy dei compagni, Episodi di Cyberbullismo, Negazione del diritto all'oblio Quali sono le fonti di rischio? Negligenza umana a causa di un'insufficiente formazione e sensibilizzazione da parte dei docenti o altri utilizzatori. Un alunno che compia atti di cyberbullismo Quali misure fra quelle individuate contribuiscono a mitigare il rischio? Crittografia, Contratto con il responsabile del trattamento, Lotta contro il malware, Archiviazione, Backup, Politica di tutela della privacy, Minimizzazione dei dati Come stimereste la gravità del rischio, specialmente alla luce degli impatti potenziali e delle misure pianificate? Massima. La conoscenza di informazioni personale del minore tramite l'uso inadeguato della piattaforma per la DAD può conseguire in atti di Cyberbullismo con conseguenze negative per la vittima. Come stimereste la probabilità del rischio, specialmente con riguardo alle minacce, alle fonti di rischio e alle misure pianificate? Limitata. L'utilizzo di un sistema di accessi controllati uniti ad una procedura interna possono limitare violazioni di gravi entità pur sussistendo un certo grado di rischio. Valutazione : Accettabile Rischi Modifiche indesiderate dei dati Quali sarebbero i principali impatti sugli interessati se il rischio si dovesse concretizzare? Possibile non identificazione dell'interessato e/o mancata possibilità di valutazione dell'alunno. Quali sono le principali minacce che potrebbero consentire la concretizzazione del rischio? Accesso illecito ai dati e modifica degli stessi. Quali sono le fonti di rischio? Errore umano, Fonti umane interne, che intervengano nella modifica dei dati. Quali misure, fra quelle individuate, contribuiscono a mitigare il rischio? Archiviazione, Backup, Contratto con il responsabile del trattamento, Minimizzazione dei dati, Crittografia, Lotta contro il malware, Politica di tutela della privacy. Come stimereste la gravità del rischio, in particolare alla luce degli impatti potenziali e delle misure pianificate? Limitata. Una modifica indesiderata dei dati può comportare, oltre ad un errata identificazione dell'interessato, anche una scorretta valutazione dell'alunno. Le misure di back-up permettono il recupero delle informazioni precedenti alla modifica e con buona probabilità l'identificazione di chi ha eseguito la modifica. Come stimereste la probabilità del rischio, specialmente con riguardo a minacce, fonti di rischio e misure pianificate? Trascurabile. Risulta poco probabile che le fonti di rischio considerate concretizzino una minaccia purché si attui una procedura di accesso alla piattaforma limitata allo studente Valutazione : Accettabile Rischi Perdita di dati Quali potrebbero essere gli impatti principali sugli interessati se il rischio dovesse concretizzarsi? Impossibilità di valutare gli studenti. Quali sono le principali minacce che potrebbero consentire la materializzazione del rischio? Accesso illecito al cloud in cui è archiviato il materiale didattico. Quali sono le fonti di rischio? Errore umano, eventi naturali o atti dolosi che danneggiano i sistemi di archiviazione. Quali misure, fra quelle individuate, contribuiscono a mitigare il rischio? Archiviazione, Lotta contro il malware, Back-up. Come stimereste la gravità del rischio, specialmente alla luce degli impatti potenziali e delle misure pianificate? Limitata. Si potrebbero non avere tutte le informazioni o i dati necessari per la valutazione dell'alunno. Come stimereste la probabilità del rischio, specialmente con riguardo alle minacce, alle fonti di rischio e alle misure pianificate? Trascurabile, Con l'attuazione delle misure di mitigazione del rischio appare trascurabile il rischio di perdita dei dati. Valutazione : Accettabile Rischi Panoramica dei rischi