FNIGSTIOOR » REGISTRO PROTOGOLLO DOOSSET OTOSSOZO. Als Privacy » È VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI RELATIVAMENTE AL TRATTAMENTO EFFETTUATO CON GLI STRUMENTI PER LA DIDATTICA A DISTANZA Considerato che, secondo quanto disposto dal [omissis] del Consiglio dei Ministri del 8 marzo 2020, i [omissis] ivano, per la durata della sospensione, modalità di didattica a distanza, con particolare riguardo alle specifiche esigenze degli studenti con disabilità. Vista la nota del MIUR prot. 388 del 17 marzo 2020. Visto il Provvedimento del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" emanato dall'Autorità Garante per la protezione dei dati personali. Ciò premesso, visto e considerato, l’Istituto scolastico dà atto della seguente valutazione. Ai sensi dell’art. 35 del Regolamento UE 2016/679 (di seguito “GDPR” o “Regolamento”) è necessario effettuare una VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI (in seguito chiamata DPIA) con riguardo ad un trattamento che “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Inoltre, il Regolamento definisce i casi nei quali risulta necessario condurre una DPIA, e cioè quando il Titolare del trattamento effettua: “a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.” Il valore e il ruolo della DPIA sono chiariti nel Considerando 84 del Regolamento nei seguenti termini: “Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio. L'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.” FNIGSTIOOR » REGISTRO PROTOGOLLO DOOSSET OTOSSOZO. Als Privacy » È Nel regolamento non si individua una definizione formale di DPIA in quanto tale, tuttavia i contenuti minimi della DPIA sono specificati come segue all’art. 35, paragrafo 7: “a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati; d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e | meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”. Una DPIA consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità di adeguamento e possibilità di miglioramento considerando criteri di proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali. Tutto ciò avviene attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli. La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aluta il titolare non soltanto a rispettare le prescrizioni del GDPR, ma anche a dimostrare l'adozione di misure idonee a garantire il rispetto di tali prescrizioni. In altri termini, la DPIA è una procedura che permette di realizzare e dimostrare la conformità alle norme. Si precisa inoltre che, come descritto nelle linee guida del Gruppo di lavoro art. 29 (“WP29”, ora Comitato Europeo per la protezione dei dati “EDPB”), non si ritiene necessario condurre una DPIA in alcuni casi tra cui: * quei trattamenti che siano stati oggetto di verifica preliminare da parte di un’autorità di controllo (il Garante per la protezione dei dati) e che proseguano con le stesse modalità oggetto di tale verifica. Come indicato nel considerando 171, “Le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE rimangono in vigore fino a quando non vengono modificate, sostituite o abrogate”. Ai sensi del GDPR, nel caso in cui un trattamento, a giudizio del titolare, non “può presentare un rischio elevato”, egli deve motivare e documentare la scelta della mancata conduzione della DPIA. Ciò risulta possibile attraverso una VALUTAZIONE DEI RISCHI. PNIC81100E - REGISTRO PROTOCOLLO - 0002891 - 01/04/2020 - A14 - Privacy - E ANALISI DELLA NECESSITA’ DI EFFETTUAZIONE DELLA DPIA Tenuto conto delle modalità di didattica a distanza adottate dalla scuola e degli strumenti utilizzati e di seguito descritti Gsuite for Edcucation, didalabs a fronte delle attività di trattamento svolte sia sulla base di un interesse pubblico rilevante sia sulla base di un obbligo legale scaturente dalle norme citate in premessa, di seguito si analizza la necessità o meno di procedere all’effettuazione della Valutazione di Impatto (DPIA — Data Protection Impact Assessment): IL TITOLARE DEL TRATTAMENTO EFFETTUA: SINO | NOTE Un trattamento di dati che può presentare L'Istituto ha consultato le un rischio elevato per i diritti e le libertà policy messe a disposizione delle persone fisiche dalla società proprietaria della NO piattaforma e dalla stessa si evince l’idoneità della stessa a rispettare i diritti degli interessati. La valutazione sistematica e globale di Non si effettua attività di aspetti personali relativi a persone fisiche, analisi e profilazione con basata su un trattamento automatizzato, sistemi automatizzati di aspetti compresa la profilazione, e sulla quale si; NO personali di persone fisiche. fondano decisioni che hanno effetti giuridici O incidono in modo analogo significativamente su dette persone fisiche ll trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi i NO a condanne penali e a reati La sorveglianza sistematica su larga scala di una zona accessibile al pubblico NO Un trattamento con l'utilizzo di nuove i NO tecnologie Alla luce di quanto sin qui esposto si ritiene non necessario procedere con la valutazione d'impatto. Il Dirgente Scolastico [omissis] Firmato [omissis]