MINISTERO DELLA PUBBLICA ISTRUZIONE UFFICIO SCOLASTICO REGIONALE PER IL LAZIO ISTITUTO D’ISTRUZIONE SUPERIORE “VIA COPERNICO” VIA COPERNICO 1 00071 POMEZIA (ROMA) — TEL. 06 121127550 CODICE FISCALE 97197220581; CODICE MECCANOGRAFICO RMIS071006 CON SEDI ASSOCIATE: 1.T.C. “A. MONTI” — C.M RMTD07101C; 1.T.1.S.°N.COPERNICO” — C.M. RMTF07101P PEO:rmis071006@istruzione.it - PEC: rmis071006@pe istruzione.it Distretto LXI - Ambito 16 Sito web: hitp./www.iisviacopernico edu.it Autore: 1.1.S. “Via Copernico” Redattore: 1.1.S. “Via Copernico” Validatore: Meding Consulting S.r.l. in qualità di RPD Titolo: DPIA per l'adozione di strumenti formazione a distanza Richiesta del parere degli interessati Non è stato chiesto il parere degli interessati. Motivazione della mancata richiesta del parere degli interessati Non si è ritenuto necessario richiedere un parere agli interessati. Qualora vi fossero suggerimenti da parte dell'utenza, l'amministrazione si impegna ad effettuare successivi aggiornamenti della presente DPIA che tengano conto delle stesse. Contesto Panoramica del trattamento le è il trattamento in considerazione? Questa DPIA è atta alla valutazione dell'impatto connesso ai seguenti trattamenti: a) Utilizzo delle piattaforme di posta elettronica, didattica digitale integrata e registro Elettronico. La fruizione di processi formativi da parte degli alunni, genitori, personale scolastico , eventuali collaboratori esterni incaricati tramite l'utilizzo di strumentazione informatica personale quali tablet, smartphone e pc connessi in rete è utilizzata, nell'anno scolastico 2022/2023, solo in rari casi di impossibilità nel raggiungere L'Istituto Scolastico . La fruizione di tali processi può avvenire in ambito sia scolastico che domestico, e prevede l'utilizzo di tecnologie online di condivisione e cooperazione finalizzate all'esercizio delle attività Istituzionali dell'Istituto. L'utilizzo di meccanismi di condivisione e cooperazione facenti uso di tecnologie in rete è associabile ad un elevato rischio connesso al trattamento dei dati personali degli alunni. Si rende perciò necessaria la redazione della presente DPIA e l'identificazione di piattaforme e policy di utilizzo volte a minimizzare la possibilità di violazioni della privacy degli studenti. Quali sono le responsabilità connesse al trattamento? La complessità delle azioni e dei possibili risvolti in termini di violazione della privacy implica una collaborazione fattiva tra le varie parti in causa. Queste sono, in particolare: e Il titolare del trattamento, in questo caso l'Amministrazione Scolastica , rappresentata legalmente dal Dirigente Scolastico (D.S.). A tal proposito il D.S. ha definito una procedura interna alla scuola che regola l'utilizzo della strumentazione elettronica utilizzata da parte degli autorizzati al trattamento. e Il Responsabile della Protezione dei Dati (RPD): ha il compito di fornire supporto a titolare, docenti e interessati, per tutte quelle questioni concernenti la protezione dei dati personali all'interno dell'ambito di applicazione del trattamento. e | responsabili esterni del trattamento, quali i provider di servizi elettronici utilizzati per la didattica presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell'interessato. Particolare attenzione va posta nei confronti dei fornitori di servizi di rete, ove richiesti. e Eventuali amministratori di sistema: nominati dal DS quali responsabili del trattamento relativamente alla gestione dei sistemi informatici, collaborano con l'RPD e il DS nel fornire consulenze e pareri relativamente allo stato delle risorse informatiche dell'amministrazione. Ci sono standard applicabili al trattamento? Attualmente non sono stati rinvenuti standard, certificazioni o codici di condotta applicabili al problema in esame. Responsabile esterno del trattamento: Argo Software srl, Denominazione ALUNNI WEB Scuole Superiori ARGO ARGO PAGONLINE ARGO SIDI ALUNNI WEB ARGO XML per AVCP BILANCIO WEB Scuole Superiori CARRIERA WEB CERTIFICAZIONE UNICA CONTI CORRENTI win EMOLUMENTI win Scuole Sup. GECODOC < 1000 ALUNNI GECODOC MODULO MAD INVENTARIO win LIBRI DI TESTO win MAGAZZINO TI MODULO AMMIN.TRASP.INCLUSO PERSONALE WEB SCUOLE SUP. PRESENZE win Scuole SCUOLANEXT Sup.< 1000 ALUNNI SIDI PERSONALE WEB SMS AREA DIDATTICA 1. Fornitore registro elettronico 1.Supporto ed assistenza software - 2. Fornitore piattaforma DID Google WOrkspace Dati, processi e risorse di supporto Quali sono i dati trattati? Per l'applicativo del registro elettronico: Dati Comuni - Argo Software srl, e-mail: info@argosofît.it ammin@argosott.it assist@argosoft.it Qual è il ciclo di vita del trattamento dei dati (descrizione funzionale)? L'intero ciclo di vita dei dati passa attraverso alcune fasi. In particolare, mediante la mail e la piattaforma di didattica integrata e del registro gli studenti e le famiglie accedono a uno o più servizi di condivisione e organizzazione didattica. Tali servizi saranno utilizzati per svolgere e organizzare le attività didattiche istituzionali. In caso di trasferimento o termine del ciclo di istruzione per gli allievi o di cessazione del rapporto di lavoro per i dipendenti l'account creato sarà disattivato e successivamente cancellato. Quali sono le risorse di supporto ai dati? Descrizione degli strumenti PC - Tablet - PC portatili Tipologia di interconnessione Rete LAN e WAN Applicativo/i utilizzato/i per il | 1. Argo Software srl trattamento 2. Google Workspace Banca dati (D.B. o file) Server - Archivio scolastico Principi Fondamentali Proporzionalità e necessità Gli scopi del trattamento sono specifici, espliciti e legittimi? Con riguardo agli scopi del trattamento dei dati si rileva che questi siano utilizzati limitatamente a quelli necessari per raggiungere le finalità istituzionali indicate ed attuate nell'ottica del bilanciamento degli interessi. Le finalità sono specifiche, esplicite e legittime e vengono indicate agli interessati mediante specifica informativa. I dati personali raccolti dall'Istituto sono necessari alla fruizione del servizio scolastico ed ai servizi digitali di posta elettronica, registro elettronico e percorsi di didattica integrativa a distanza. Valutazione: Accettabile Quali sono le basi legali che rendono lecito il trattamento? I dati personali verranno trattati dal personale della scuola nell'ambito delle finalità istituzionali, che sono quelle relative all'istruzione ed alla formazione degli alunni e quelle amministrative ad esse strumentali, così come definite dalla normativa vigente. L'utilizzo degli strumenti di formazione a distanza ha fondamento anche nei seguenti riferimenti normativi: - D. Lgs 82/2005 (Codice che traccia il quadro legislativo entro cui deve attuarsi la digitalizzazione della pubblica amministrazione) - D. L. 179/2012 convertito con L. 221/2012 (che ha introdotto per le istituzioni scolastiche l'uso del registro elettronico) | dati raccolti sono adeguati, pertinenti e limitati a quanto è necessario in relazione alle finalità per cui sono trattati (Minimizzazione dei dati)? | dati richiesti agli interessati sono strettamente necessari per le finalità perseguite, ovvero per erogare i servizi digitali di posta elettronica, registro elettronico e percorsi di didattica integrativa a distanza. . Per quanto riguarda le autorizzazioni di accesso dei dipendenti e degli alunni e famiglie agli applicativi questi vengono gestiti con autorizzazioni specifiche. L'accesso all’ applicazione e la gestione dei dati richiede credenziali di accesso con autenticazione e le utenze sono profilate in funzione del ruolo dell'utente. Tutto questo garantisce un accesso compartimentato e un impatto limitato sui diritti e le libertà degli interessati. I dati sono esatti e aggiornati? | dati trattati sono corretti, aggiornati e vengono corretti, anche a seguito di richiesta dell'interessato, se errati Qual è il periodo di conservazione dei dati? La conservazione dei dati è necessaria per un periodo strettamente necessario allo svolgimento dell'attività formativa. Le informazioni sono conservate secondo periodi di conservazione correttamente individuati in osservanza della normativa vigente. Misure a tutela dei diritti degli interessati Come sono informati del trattamento gli interessati? Gli interessati vengono informati del trattamento precedentemente all'inizio dello stesso, tramite somministrazione di informativa ex Art. 13 del Reg. UE 206/679. L'informativa viene somministrata ad alunni e genitori degli stessi tramite una combinazione più completa possibile dei canali disponibili alla scuola. Ove applicabile: come si ottiene il consenso degli interessati? Non è previsto. Come fanno gli interessati a esercitare i loro diritti di accesso e di portabilità dei dati? La scuola mette a disposizione degli interessati un modulo di esercizio dei propri diritti. Gli interessati possono sempre rivolgersi all'amministrazione tramite la modalità da loro preferita per l'esercizio degli stessi. Come fanno gli interessati a esercitare i loro diritti di rettifica e di cancellazione (diritto all'oblio)? La scuola mette a disposizione degli interessati un modulo di esercizio dei propri diritti. Gli interessati possono sempre rivolgersi all'amministrazione tramite la modalità da loro preferita per l'esercizio degli stessi. Come fanno gli interessati a esercitare i loro diritti di limitazione e di opposizione? La scuola mette a disposizione degli interessati un modulo di esercizio dei propri diritti. Gli interessati possono sempre rivolgersi all'amministrazione tramite la modalità da loro preferita per l'esercizio degli stessi. Gli obblighi dei responsabili del trattamento sono definiti con chiarezza e disciplinati da un contratto? I servizi utilizzati sono stati selezionati anche sulla base della presenza di un contratto d'uso che descrive l'ambito delle rispettive responsabilità e specifica gli obblighi loro incombenti. Gli obblighi propri dei responsabili del trattamento sono dettagliatamente e chiaramente definiti e disciplinati all'interno della documentazione prevista ai sensi dell'art. 28 GDPR, ovvero tramite apposito atto di nomina sottoscritto e del DPA. In caso di trasferimento di dati al di fuori dell'Unione europea, i dati godono di una protezione equivalente? Non è previsto trasferimento extra UE. Rischi Misure esistenti o pianificate Crittografia | dati sono trattati tramite l'utilizzo di meccanismi di conservazione e comunicazione cifrati, ai fini di garantire la minimizzazione del rischio di accesso agli stessi. Controllo degli accessi logici L'accesso alle funzionalità delle piattaforme utilizzate deve essere regolato da un sistema di attivazione di account con permessi specifici, protetti da password, attivabili e disattivabili dall'amministratore del software (il D.S. o un suo delegato). Archiviazione Tutta la documentazione relativa all'attività Istituzionale dell'Amministrazione è regolata dalla normativa vigente in materia di archiviazione nella pubblica amministrazione, contenente indicazioni specifiche per la pubblica istruzione. Minimizzazione dei dati I dati vengono trattati e archiviati in forma minima, per quanto previsto dalla normativa vigente Lotta contro il malware I sistemi scolastici sono protetti da malware con modalità di protezione sia hardware che software (firewall e antivirus). E inoltre opportuno fornire agli utilizzatori delle linee guida sull'utilizzo sicuro delle risorse elettroniche e digitali, che includano le istruzioni per una efficace lotta al malware. Backup | sistemi di didattica da remoto utilizzati per il trattamento sono provvisti di una modalità di backup. Manutenzione Viene effettuata regolarmente una attività di manutenzione nei confronti dei sistemi hardware scolastici. Il responsabile del trattamento garantisce inoltre il corretto funzionamento dei software. Contratto con il responsabile del trattamento I responsabili del trattamento devono essere nominati tali tramite la stipula di un contratto, ai sensi degli Artt. 28 e 29 del Reg. Ue 679/2016 Politica di tutela della privacy L'amministrazione ha messo in atto una serie di misure orientate all'adeguamento della stessa alla normativa vigente. | dipendenti sono stati nominati autorizzati al trattamento ai sensi dell'Art. 2- quaterdecies del D.Lgs. 196/2003, per l'esercizio delle loro funzioni. Gestire gli incidenti di sicurezza e le violazioni dei dati personali L'amministrazione ha emesso un regolamento interno per la gestione dei data breach, al cui interno sono specificate le modalità di gestione di tali fenomeni. Accesso illegittimo ai dati Quali potrebbero essere i principali impatti sugli interessati se il rischio si dovesse concretizzare? Diffusione di dati personali di minori, Diffusione di dati concernenti l'orientamento politico, la razza o la condizione sanitaria degli interessati, Cyberbullismo Quali sono le principali minacce che potrebbero concretizzare il rischio? Pubblicazione su piattaforme social di dati personali, Scarsa sensibilità degli studenti alla privacy dei compagni, Episodi di Cyberbullismo, Negazione del diritto all'oblio Quali sono le fonti di rischio? Umane/non umane Quali misure fra quelle individuate contribuiscono a mitigare il rischio? Tutte le misure esistenti o pianificate individuate. Come stimereste la gravità del rischio, specialmente alla luce degli impatti potenziali e delle misure pianificate? In considerazione della natura, contesto, modalità e tipologia di dati, nonché delle misure di sicurezza adottate dal Titolare, il trattamento effettuato e descritto nel presente documento comporta un livello di rischio LIMITATO per i diritti e le libertà degli interessati, e pertanto il trattamento può essere effettuato. Come stimereste la probabilità del rischio, specialmente con riguardo alle minacce, alle fonti di rischio e alle misure pianificate? Limitata. In considerazione della natura, contesto, modalità e tipologia di dati, nonché delle misure di sicurezza adottate dal Titolare, il trattamento effettuato e descritto nel presente documento comporta un livello di rischio LIMITATO per i diritti e le libertà degli interessati, e pertanto il trattamento può essere effettuato. Modifiche indesiderate dei dati Quali sarebbero i principali impatti sugli interessati se il rischio si dovesse concretizzare? Potrebbe limitare le possibilità di intervento dell'amministrazione o dell'autorità giudiziaria. Quali sono le principali minacce che potrebbero consentire la concretizzazione del rischio? Accesso illecito ai dati e modifica degli stessi Quali sono le fonti di rischio? Errore umano, Fonti umane interne, che intervengano nella modifica dei dati. Fonti esterne. Quali misure, fra quelle individuate, contribuiscono a mitigare il rischio? Tutte le misure esistenti o pianificate individuate. Come stimereste la gravità del rischio, in particolare alla luce degli impatti potenziali e delle misure pianificate? Limitata, sebbene la violazione potrebbe portare ad una errata valutazione dell'alunno, le misure di backup e controllo degli accessi logici permetterebbero il recupero delle informazioni e la potenziale identificazione delle fonti di modifica. Come stimereste la probabilità del rischio, specialmente con riguardo a minacce, fonti di rischio e misure pianificate? Trascurabile, appare impossibile che le fonti di rischio considerate concretizzino una minaccia basandosi sulle caratteristiche dei supporti, purché si proceda all'alienazione della disponibilità degli stessi agli studenti interessati, alla fine della fase di elaborazione concessagli. Perdita di dati Quali potrebbero essere gli impatti principali sugli interessati se il rischio dovesse concretizzarsi? Problematiche nella valutazione degli studenti da parte dei docenti e dell’amministrazione. Quali sono le principali minacce che potrebbero consentire la materializzazione del rischio? Distruzione dei server del servizio, Perdita dell'accesso ai documenti, errore umano Quali sono le fonti di rischio? Fonti umane interne, Fonti umane esterne (incaricati del responsabile del trattamento o dei sub- responsabili), Eventi naturali che possano influire sui dispositivi fisici di archiviazione. Quali misure, fra quelle individuate, contribuiscono a mitigare il rischio? Tutte le misure esistenti o pianificate individuate. Come stimereste la gravità del rischio, specialmente alla luce degli impatti potenziali e delle misure pianificate? Limitata, Possibile valutazione scolastica errata dell'alunno, a causa dell'incompletezza delle informazioni a disposizione del valutatore. Come stimereste la probabilità del rischio, specialmente con riguardo alle minacce, alle fonti di rischio e alle misure pianificate? Trascurabile, Appare impossibile che le fonti di rischio considerate concretizzino una minaccia basandosi sulle caratteristiche dei supporti, purché si proceda all'alienazione della disponibilità degli stessi agli studenti interessati.