STUDIO TECNICO LEGALE
CORBELLINI
‘
È Studio AGI.COM. S.r.l.
San Zenone al Lambro (MI), 12 Ottobre 2020
Spettabile
ISTITUTO DI ISTRUZIONE
POSTA ELETTRONICA CERTIFICATA
c/a TITOLARE DEL TRATTAMENTO
IGOMI tud
OGGETTO Adozione di piattaforme informatiche volte alla implementazione della Didattica Digitale Integrata
(D.D.I.) — Indicazioni del D.P.O. fornite ai sensi dell’art. 39 par.1 lett.a del G.D.P.R.
@pec.a
Egregio Titolare del Trattamento dei Dati
nell’ambito della funzione consulenziale che spetta per legge al Data Protection Officer, anche sulla base di
quanto indicato nelle ultime circolari ministeriali in tema, ritengo utile fornire, per mezzo della presente, indicazioni
Federazione Italiana Responsabili e Addetti alla Sicurezza
in ordine alla questione in oggetto.
La complessità del periodo che stiamo vivendo ha imposto, in tutti i settori, un ricorso massiccio a sistemi di
comunicazione a distanza che possano, almeno parzialmente, sostituire i normali canali di comunicazione frontale
che siamo abituati ad adottare da sempre.
Indubbiamente il sempre più elevato standard tecnologico delle comunicazioni telematiche (ADSL, Fibra etc.) ha
permesso l’utilizzo di strumenti “on-line”, con buoni risultati, al punto da rendere questi graditi al di là delle misure
Servizio di Prevenzione e Protezione
emergenziali prese per contrastare la diffusione della pandemia che stiamo vivendo.
Come ogni esperienza umana, anche il ricorso a fini didattici, ma non solo, all’utilizzo di strumenti on-line, non è
esente da problematiche, una fra tutte quella della sicurezza dei dati che vengono condivisi tra docenti, allievi,
genitori e fornitore dell’infrastruttura, mediante l’impiego delle piattaforme informatiche.
FIRAS-SPP
Chiariamo subito, le piattaforme didattiche on-line non sono il male assoluto e anche i dati che transitano su di esse
non sono quasi mai terribilmente delicati (si tratta principalmente di elaborati didattici, voti, immagini, audio e
video) tuttavia meritano la nostra massima considerazione volta a garantire che, di tali dati, nessuno possa fare un
uso distorto.
Ai fini di questa mia analisi, definiamo “uso distorto” dei dati, qualsiasi impiego che non sia strettamente coerente
con la finalità didattica perseguita dall’uso delle piattaforme didattiche. | dati possono essere usati in modo distorto
info@agicomstudio.it
da chiunque, tanto dal gestore della piattaforma che, disponendo di migliaia di indirizzi e-mail, nomi e cognomi
potrebbe decidere di commercializzarli, quanto dal docente che, in assenza di una specifica autorizzazione, dovesse
trasmettere le foto dei suoi alunni sul proprio profilo social o ancora dal genitore che, per muovere contestazioni
Via XXV Aprile, 12 - 20070 SAN ZENONE AL LAMBRO (MI)
sulle capacità del docente, decidesse di registrare la lezione e di riprodurla a favore di altri soggetti.
sociale : 10.000,00 Euro interamente versati
Naturalmente, compito del Titolare del trattamento di concerto con il D.P.O., è quello di ridurre al minimo la
possibilità che questo accada.
05078440962
E-mail
Ho utilizzato la locuzione “ridurre al minimo” il rischio che una violazione di dati accada e non il verbo “impedire”
Studio AG.I.COM. S.r.l. unipersonale
perché la verità è che, in ogni ambito, è impossibile assicurare matematicamente che un evento non si verificherà, è
Fax 02-700527180
però possibile e dovuto adottare tutte le misure di sicurezza che la tecnologia e il diritto ci mettono a disposizione
per scongiurare ogni violazione e per precostituirsi degli strumenti giuridici di reazione per colpire chi,
intenzionalmente o per grave negligenza, si trovi a violare le regole.
Vediamo quali sono questi strumenti:
Tel. 02-90601324
STRUMENTI GIURIDICI DI TUTELA
La designazione del fornitore del servizio a “Responsabile del trattamento”.
[omissis] scuola, al suo interno, non ha le competenze né gli strumenti per costruire in proprio una piattaforma
utile a svolgere la didattica digitale integrata, si rivolge ad un fornitore esterno che svolga, in nome e per conto della
scuola, tale servizio (accade lo stesso, ad esempio, con il registro elettronico).
STUDIO TECNICO LEGALE
CORBELLINI
«7
È Studio AG.I.COM. S.r.l.
Evidentemente, per consentire al fornitore esterno di fare il proprio lavoro, la scuola dovrà fornirgli tutta una serie di
informazioni (nomi, cognomi, classe, indirizzi e-mail etc.) oltre a permettere che altrettante informazioni possano transitare dai
suoi server (i video delle lezioni, gli elaborati, i voti etc.) giungendo, di fatto, a considerare il fornitore esterno alla stregua di un
dipendente.
Lo strumento giuridico per cui questo possa avvenire legittimamente è il contratto di nomina del fornitore a “Responsabile del
trattamento dei dati”. La sua designazione non solo permette alla scuola di applicare al fornitore, in via del tutto automatica,
una disciplina vincolante prevista dalla legislazione vigente, ma anche di fornirgli istruzioni specifiche rispetto ai comportamenti
da tenere in alcune circostanze delicate (una fra tutte, a fronte di un data breach la notifica al Garante la fa la scuola in quanto
titolare del dato oggetto di attacco o il fornitore in quanto detentore pro-tempore di tale dato ? e ancora, il fornitore deve avere
titolo oppure no di avvalersi di sub-responsabili ?).
In allegato alla presente troverà un documento di nomina tipo (è’ da dire che i gestori delle piattaforme didattiche digitali, non
sono quasi mai piccoli fornitori di provincia, ma i cosiddetti “giganti del web” come Google e Microsoft, quindi non aspettiamoci
di potergli imporre istruzioni troppo personalizzate, è più probabile che si debba valutare se le soluzioni standard da loro
proposte con loro modulistica siano compatibili o meno con le nostre esigenze).
Il Titolare dovrà poi prestare grande attenzione a che le password amministrative delle piattaforme siano in possesso solo ed
esclusivamente di personale scolastico fidato, che risponda dell’uso improprio che dovesse farne (non scordiamo che nel mondo
dell'informatica disporre di una password amministrativa significa avere la possibilità di fare qualsiasi cosa all’interno di un
ambiente digitale, sia rispetto all'accesso ai dati, sia rispetto alla possibilità di modificare le configurazioni di sicurezza rendendo
vulnerabile dall'esterno l’ambiente stesso).
E' da annoverare tra gli strumenti giuridici di tutela dei dati, anche la esplicitazione delle finalità del trattamento.
A questo proposito occorre comprendere bene che, una volta appurato che un soggetto interno (un docente ad esempio) o
esterno alla nostra organizzazione (il fornitore della piattaforma) ha titolo di trattare per motivi professionali un certo dato,
significa accettare il fatto che questi possa disporre di quella informazione (ad esempio una fotografia) e che solo la sua etica e la
sua professionalità non lo inducano a farne un uso distorto.
Ciò che intendo dire è che non potremo affidarci oltremodo alla tecnologia per impedirgli di usare quella foto in modo improprio
ma dovremo contare sulla sua etica professionale che lo indurrà ad utilizzarla solamente per le finalità che gli sono consentite.
Ecco perché esplicitare chiaramente le finalità del trattamento è il modo migliore per fornire al nostro dipendente, studente o
fornitore, l'istruzione principale e cioè: “i dati di cui disponi li puoi utilizzare esclusivamente per raggiungere le finalità che ti sono
state comunicate e non per altro”. Naturalmente poi il contratto di nomina a responsabile del trattamento che include istruzioni
specifiche, il contenuto dell’autorizzazione fornita al dipendente ed il regolamento di istituto fatto sottoscrivere all'allievo
(famiglia) fanno il resto ossia, ammantano tali regole di “giuridicità” e consentono di applicare sanzioni qualora le stesse
dovessero essere disattese.
Quando i destinatari non sono utenti informatici evoluti (bambini, famiglie e dipendenti con modeste nozioni etc.) oltre ad un
regolamento ed a formali atti di incarico, è bene che le istruzioni per trattare i dati vengano fornite mediante veri e propri corsi
di formazione o quantomeno azioni di sensibilizzazione (depliant informativi etc.).
STRUMENTI TECNICI DI TUTELA
Il Titolare del trattamento, prima di optare per una piattaforma o per l’altra, deve assicurarsi con l’aiuto del D.P.O. che questa
abbia adottato misure di sicurezza tecnico-informatiche adeguate.
Ad esempio, un ambiente che lasciasse le comunicazioni telematiche in chiaro e non adottasse tecniche di cifratura delle stesse
o che non permettesse l'adozione di password di accesso o ancora che non garantisse il backup ed il rapido ripristino dei dati,
sarebbe un sistema inadeguato e quindi non dovrebbe essere scelto.
Alle prossime pagine troverà una scheda tecnica di raffronto riferita alle principali piattaforme e precisamente:
e Argo Aggiornamento al 12 Ottobre 2020:
e Edmodo
e Google suite for education e Continuity
e Mastercom e GoTo Meeting
e Microsoft 365 e jJitsi
e NettunoPA
e Padlet
e \Weschool
e Zoom
Pagina 2 di 10
STUDIO TECNICO LEGALE
CORBELLINI
# Studio AGI.COM. S.r.l.
MISURA DI SICUREZZA Google Suite Microsoft 365 WesSchool Edmodo Argo
Il contratto include
Il contratto include Il contratto include
Il fornitore è stato designato clausole che Il gestore viene Il gestore viene
clausole assimilabili a clausole assimilabili a
come Responsabile del identificano nominato Responsabile nominato Responsabile
quelle che identificano il quelle che identificano il
Trattamento ? indirettamente Google del Trattamento del Trattamento
come RDT. R.D.T. R.D.T.
Stati Uniti
Microsoft partecipa al
programma “privacy
shield” tra Unione
Europea e Stati [omissis] fornitore ha la propria sede quando si verificano Edmodo partecipa al
Irlanda trasferimenti di dati in Italia programma “privacy Italia
all’interno dell’Unione Europea ?
paesi non sicuri, shield” tra Unione
Microsoft utilizza Europea e Stati Uniti
contratti per garantire
che i diritti dell'utente e
le protezioni viaggino
insieme ai dati
l’Istituto scolastico per il tramite dell’amministratore scolastico deve attivare esclusivamente i contenuti m n imi necessari al fine del
Quali prodotti sono attivati ?
corretto funzionamento della didattica digitale
Nome, Cognome e Nome, Cognome e
Classe e sono inseriti Classe e sono inseriti
dall’amministratore dall’amministratore
della piattaforma in fase della piattaforma in fase
di creazione delle di creazione delle
Nome, Cognome e Nome, Cognome e Nome, Cognome e
credenziali. Altri dati credenziali. Altri dati
Classe e sono inseriti Classe e sono inseriti Classe e sono inseriti
relativi alla navigazione relativi alla navigazione
Quali sono i dati dall’amministratore dall’amministratore dall’amministratore
(IP, posizione, sistema (IP, posizione, sistema
acquisiti dalla piattaforma ? della piattaforma in fase della piattaforma in fase della piattaforma in fase
operativo, cookies etc.) operativo, cookies etc.)
di creazione delle di creazione delle di creazione delle
vengono acquisiti vengono acquisiti
credenziali credenziali credenziali
durante la navigazione e durante la navigazione e
viene richiesto il viene richiesto il
consenso all'allievo consenso all'allievo
(famiglia se minore di (famiglia se minore di
anni 14) anni 14)
Microsoft non raccoglie
o utilizza i dati degli
Weschool non esercita AI solo fine di fornire i
studenti oltre quanto
alcuna autorità o servizi principali di
necessario a scopi
controllo nei confronti Edmodo che si impegna
formativi o scolastici
della scuola e degli a non pubblicare
autorizzati;
utenti che annunci commerciali ne’
AI solo fine di fornire i non vende o noleggia i
utilizzano la piattaforma pubblicitari ai minori di AI solo fine di fornire i
servizi principali di dati; non utilizza o
e richiede anni 13. Edmodo delega servizi principali di Argo
Google suite che si condivide i dati a scopi
l'utilizzo di credenziali ad altre aziende e che si impegna a non
impegna a non pubblicitari o
crittografiche di accesso persone l'esecuzione di pubblicare annunci
pubblicare annunci commerciali simili, ad
alla piattaforma da determinate attività, di commerciali ne’
commerciali ne’ esempio per l’invio di
parte degli utenti, ma conseguenza necessita pubblicitari e
pubblicitari e materiale pubblicitario;
spetta di condividere con loro richiede che i suoi
Come vengono utilizzati questi richiede che i suoi non crea il profilo
esclusivamente a questi le informazioni fornitori, con i quali
dati acquisiti ? fornitori, con i quali personale di uno
ultimi il compito di non dell'utente per vengono condivisi i dati
vengono condivisi i dati studente se non per
comunicare le proprie garantire allo stesso personali degli studenti
personali degli studenti sostenere scopi
credenziali a soggetti l'erogazione di prodotti per fornire il servizio
per fornire il servizio formativi o scolastici
terzi e non o della piattaforma. formativo siano
formativo siano autorizzati e
effettua alcuna verifica Condivide le obbligati a
obbligati a richiede che i suoi
preliminare dei Informazioni personali implementare questi
implementare questi fornitori, con i quali
contenuti, che risulta con tali agenti secondo stessi impegni
stessi impegni vengono condivisi i dati
oggettivamente necessità, vincolandoli
personali degli studenti
impossibile in al rispetto degli obblighi
per fornire il servizio
considerazione della contrattuali in materia
formativo siano
quantità di contenuti di protezione delle
obbligati a o . . . qu
. . pubblicati dagli utenti informazioni.
implementare questi
stessi impegni
Solamente Solamente Solamente Solamente Solamente
l'amministratore, il l'amministratore, il l'amministratore, il l'amministratore, il l'amministratore, il
personale dotato di personale dotato di personale dotato di personale dotato di personale dotato di
Chi può vedere i dati acquisiti ?
poteri idonei (docenti) e poteri idonei (docenti) e poteri idonei (docenti) e poteri idonei (docenti) e poteri idonei (docenti) e
Google per il Microsoft per il Weschool per il Edmodo per il Argo per il
funzionamento funzionamento funzionamento funzionamento funzionamento
Pagina 3 di 10
STUDIO TECNICO LEGALE
CORBELLINI
__— WA ipiIil—lj]l. Ut studio AGI.COM. S.r.l.
Le Informazioni
personali relative
all’account Edmodo
sono protette da
password, nonché da
varie altre misure di
sicurezza fisiche,
L'accesso avviene con amministrative e
L'accesso avviene con
password ed è possibile tecniche. Edmodo
Sono adottate procedure di password ed è possibile
prevedere forme L'accesso avviene con utilizza, altresì, L'accesso avviene con
identificazione ed optare per
potenziate di password crittografiche procedure di codifica password crittografiche
autenticazione degli utenti ? identificazione a 2
identificazione dal che consentono di
fattori
pannello amministrativo evitare attacchi sulla
Piattaforma da web
browser e script
dannosi, elaborando
tutte le azioni tramite
diversi controlli delle
verifiche delle
autorizzazioni.
Sono presenti robusti processi di
assegnazione agli utenti di L'amministratore scolastico deve creare le utenze necessarie e fornire ai singoli utenti le credenziali di accesso
credenziali ?
È possibile il cambio È possibile il cambio È possibile il cambio È possibile il cambio È possibile il cambio
password all’accesso password all'accesso password all’accesso password all'accesso password all'accesso
Le password assegnate sono
oltre che periodico oltre che periodico oltre che periodico oltre che periodico oltre che periodico
protette da una “password
viene inoltre gestita la viene inoltre gestita la viene inoltre gestita la viene inoltre gestita la viene inoltre gestita la
policies” adeguata ? complessità della complessità della complessità della complessità della complessità della
password password password password password
Sono definiti differenti profili di
autorizzazione da attribuire ai L'amministratore scolastico deve configurare la piattaforma in modo da consentire l’accesso diversificato ai vari utenti in funzione dei
soggetti autorizzati in modo da diritti di accesso riconosciuti ai singoli — in particolare ai docenti deve essere consentito l’accesso esclusivamente ai propri gruppi classe
garantire un accesso selettivo ai edagli allievi deve essere consentito l’accesso esclusivamente alle sessioni in cui la propria classe è coinvolta
dati ?
La trasmissione delle
informazioni sensibili
viene crittografata
utilizzando la tecnologia
È in uso il protocollo TLS SSL (Secure Socket
che permette di criptare Layer). Edmodo si
i messaggi di posta, i adopera per mantenere
Sono definiti criteri Sono definiti criteri
dati in transito sono private le informazioni
I canali di trasmissione utilizzati antimalware ed antimalware ed
autenticati fin dalle I dati circolano in dell'utente, tuttavia,
sono sicuri sotto il profilo antivirus che sono antivirus che sono
implementazioni di base formato criptato non è in grado di
tecnico ? attuati in fase di attuati in fase di
che possono essere garantire la sicurezza.
trasferimento dei dati trasferimento dei dati
potenziate L'accesso o l’utilizzo non
dall’amministratore autorizzati, i guasti di
scolastico hardware o software e
altri fattori possono
compromettere la
sicurezza delle
informazioni dell'utente
Sono adottate soluzioni atte a È implementato un È implementato un È implementato un È implementato un È implementato un
garantire la disponibilità dei dati sistema di backup dei sistema di backup dei sistema di backup dei sistema di backup dei sistema di backup dei
? dati di livello geografico dati di livello geografico dati di livello geografico dati di livello geografico dati di livello geografico
l’Istituto scolastico deve adottare mediante l’azione dell’amministratore di sistema, sistemi di protezione perimetrali basati su firewall e
Sono adottati sistemi di
deve attivare personale competente interno o esterno incaricato della manutenzione periodica dei sistemi informatici che garantisca il
protezione perimetrale ?
loro aggiornamento
Sono adottati sistemi di
L'Istituto scolastico deve adottare sistemi di protezione da virus e malware di tipo sofware o hardware e disporre di personale interno o
protezione antivirus e
esterno incaricato della manutenzione periodica di tali sistemi che garantisca il loro continuo aggiornamento
antimalware ?
I software di base vengono L'Istituto scolastico deve incaricare personale interno o esterno della manutenzione periodica dei sistemi informatici al fine di garantire
costantemente aggiornati ? l'aggiornamento dei sistemi operativi e di tutti i software di base
Degli accessi e delle operazioni
L'Istituto scolastico , per mezzo dell’amministratore di sistema, deve installare un software di cattura dei log amministrativi al fine di
compiute viene tenuta traccia
tenere traccia degli accessi alla piattaforma
registrando i file di log _21_ [omissis] uate misure di
L'Istituto scolastico deve fornire, oltre alle istruzioni di cui al punto precedente, anche nozioni informative generali in materia di
formazione e sensibilizzazione
piattaforme digitali ed igiene informatica, al fine di scongiurare un uso improprio della piattaforma didattica digitale
degli utenti ?
Non sussiste l'obbligo di eseguire la “Data Protection Impact Assesment” (D.P.1.A.) poiché la valutazione eseguita per tutte le piattaforme
citate ha restituito un livello di rischio “MEDIO BASSO” (i dettagli verranno inseriti nel “Documento delle Misure a Tutela dei Dati delle
Persone” realizzato dal nostro studio e riferito all'anno scolastico in corso) inoltre, con riferimento ai 9 criteri introdotti dalle linee guida
del gruppo “Articolo 29”, è soddisfatto solamente uno di essi e specificamente quello relativo al trattamento di dati riferiti a soggetti
E’ necessario eseguire la DPIA ?
vulnerabili (minori). Tuttavia il D.P.O., su indicazione del Titolare del Trattamento, ha deciso di eseguire comunque la valutazione di
impatto, la quale ha dato un esito favorevole a tutte le piattaforme oggetto di analisi restituendo un livello di rischio normalizzato
“BASSO”. Occorre tuttavia specificare che, il D.P.O., al fine di eseguire l’analisi, ha considerato che tutte le misure di sicurezza di
pertinenza dell'Istituto scolastico , siano implementate in modo adeguato.
MISURA DI SICUREZZA Mastercom Zoom Padlet Nettuno PA
Il gestore viene nominato Il gestore viene nominato
Il fornitore è stato designato come
Responsabile del Responsabile del
Responsabile del Trattamento ?
Trattamento Trattamento
Stati Uniti
Zoom Video Communication,
Inc. partecipa e ha certificato
la sua conformità con il
Privacy Shield
Framework UE-USA e il Stati Uniti
Privacy Shield Svizzera-USA. Wallwisher, Inc. DBA Padlet
Zoom si impegna a partecipa e ha certificato la
Il fornitore ha la propria sede
Italia sottoporre tutti i dati sua conformità con il Privacy Italia
all’interno dell’Unione Europea ?
personali Shield Framework UE-USA e il
ricevuti dai paesi membri Privacy Shield Svizzera-USA.
dell'UE, dalla Svizzera e dal
Regno Unito, facendo
affidamento sui quadri dello
scudo per la privacy, ai
principi applicabili del
quadro.
l’Istituto scolastico per il trami te dell’amministratore scolastico deve attivare esclusivamente i contenuti minimi necessari al fine
Quali prodotti sono attivati ?
del corretto funzionamento della didattica digitale
Nome, Cognome e Classe e | dati inseriti vengono scelti
Nome, Cognome e Classe e Nome, Cognome e Classe e
sono inseriti dall’allievo o dal docente che potrà
sono inseriti sono inseriti
dalla famiglia nel caso di preferire dati anonimi per
dall’amministratore della dall’amministratore della
minori di anni 14. evitare ogni criticità. In
piattaforma in fase di piattaforma in fase di
Altri dati relativi alla mancanza, in caso di
Quali sono i dati creazione delle credenziali. creazione delle credenziali.
navigazione (IP, posizione, pubblicazione di dati
acquisiti dalla piattaforma ? Altri dati relativi alla Altri dati relativi alla
sistema operativo, cookies personali, assume un ruolo
navigazione (IP, posizione, navigazione (IP, posizione,
etc.) vengono acquisiti fondamentale la politica di
sistema operativo, cookies sistema operativo, cookies
durante la navigazione per i gestione delle pubblicazioni
etc.) vengono acquisiti etc.) vengono acquisiti
quali viene chiesto il che dovrà essere gestita dal
durante la navigazione durante la navigazione
consenso alla famiglia docente stesso
AI solo fine di fornire i servizi
principali, potrebbero anche
utilizzare fornitori di servizi di
AI solo fine di fornire i servizi AI solo fine di fornire i servizi
terze parti per fornire i servizi
principali che si impegna a principali che si impegna a
e per farlo costoro
non pubblicare annunci non pubblicare annunci
potrebbero avere un accesso I dati acquisiti vengono
commerciali ne’ pubblicitari e commerciali ne’ pubblicitari e
limitato alle informazioni pubblicati su un’area
richiede che i suoi fornitori, richiede che i suoi fornitori,
Come vengono utilizzati questi dati personali nel processo. accessibile a chi sia stato
con i quali vengono condivisi i con i quali vengono condivisi i
acquisiti ? E proibito su base autorizzato da parte
dati personali degli studenti dati personali degli studenti
contrattuale ai fornitori di dell’amministratore
per fornire il servizio per fornire il servizio
servizi di vendere scolastico della piattaforma
formativo siano obbligati a formativo siano obbligati a
informazioni personali che
implementare questi stessi implementare questi stessi
ricevono ed è loro richiesto di
impegni impegni
utilizzare tali informazioni
solo per eseguire i servizi
richiesti.
Pagina 5 di 10
STUDIO TECNICO LEGALE
CORBELLINI
È Studio AGI.COM. S.r.l.
Solamente l'amministratore, Solamente l'amministratore, Solamente l'amministratore, Solamente l'amministratore,
il personale dotato di poteri il personale dotato di poteri il personale dotato di poteri il personale dotato di poteri
Chi può vedere i dati acquisiti ?
idonei (docenti) e Mastercom idonei (docenti) e Zoom per il idonei (docenti) e Padlet per idonei (docenti) e Nettuno PA
per il funzionamento funzionamento il funzionamento per il funzionamento
L'accesso avviene con L'accesso avviene con L'accesso avviene con L'accesso avviene con
Sono adottate procedure di password ed è possibile password ed è possibile password ed è possibile password ed è possibile
identificazione ed autenticazione degli prevedere forme potenziate prevedere forme potenziate prevedere forme potenziate prevedere forme potenziate
utenti ? di identificazione dal di identificazione dal di identificazione dal di identificazione dal
pannello amministrativo pannello amministrativo pannello amministrativo pannello amministrativo
Sono presenti robusti processi di
L'amministratore scolastico deve creare le utenze necessarie e fornire ai singoli utenti le credenziali di accesso
assegnazione agli utenti di credenziali ?
È possibile il cambio È possibile il cambio È possibile il cambio È possibile il cambio
password all'accesso oltre password all'accesso oltre password all'accesso oltre password all’accesso oltre
Le password assegnate sono protette
che periodico viene inoltre che periodico viene inoltre che periodico viene inoltre che periodico viene inoltre
da una “password policies” adeguata ?
gestita la complessità della gestita la complessità della gestita la complessità della gestita la complessità della
password password password password
Sono definiti differenti profili di
L'amministratore scolastico deve configurare la piattaforma in modo da consentire l’accesso diversificato ai vari utenti in funzione
autorizzazione da attribuire ai soggetti
dei diritti di accesso riconosciuti ai singoli — in particolare ai docenti deve essere consentito l’accesso esclusivamente ai propri
autorizzati in modo da garantire un
gruppi classe ed agli allievi deve essere consentito l’accesso esclusivamente alle sessioni in cui la propria classe è coinvolta
accesso selettivo ai dati ?
Sono definiti criteri Sono definiti criteri Sono definiti criteri Sono definiti criteri
I canali di trasmissione utilizzati sono antimalware ed antivirus che antimalware ed antivirus che antimalware ed antivirus che antimalware ed antivirus che
sicuri sotto il profilo tecnico ? sono attuati in fase di sono attuati in fase di sono attuati in fase di sono attuati in fase di
trasferimento dei dati trasferimento dei dati trasferimento dei dati trasferimento dei dati
È implementato un sistema di È implementato un sistema di È implementato un sistema di È implementato un sistema di
Sono adottate soluzioni atte a garantire
backup dei dati di livello backup dei dati di livello backup dei dati di livello backup dei dati di livello
la disponibilità dei dati ?
geografico geografico geografico geografico
l’Istituto scolastico deve adottare mediante l’azione dell’amministratore di sistema, sistemi di protezione perimetrali basati su
Sono adottati sistemi di protezione
firewall e deve attivare personale competente interno o esterno incaricato della manutenzione periodica dei sistemi informatici
perimetrale ?
che garantisca il loro aggiornamento
Sono adottati sistemi di protezione L'Istituto scolastico deve adottare sistemi di protezione da virus e malware di tipo sofware o hardware e disporre di personale
antivirus e antimalware ? interno o esterno incaricato della manutenzione periodica di tali sistemi che garantisca il loro continuo aggiornamento
I software di base vengono L'Istituto scolastico deve incaricare personale interno o esterno della manutenzione periodica dei sistemi informatici al fine di
costantemente aggiornati ? garantire l'aggiornamento dei sistemi operativi e di tutti i software di base
Degli accessi e delle operazioni
L'Istituto scolastico , per mezzo dell’amministratore di sistema, deve installare un software di cattura dei log amministrativi al fine
compiute viene tenuta traccia
di tenere traccia degli accessi alla piattaforma
registrando i file di log ?
Sono definite le istruzioni da fornire ai L'Istituto scolastico deve fornire ai singoli operatori (docenti e alunni) istruzioni specifiche, anche sotto forma di regolamento, al
soggetti autorizzati al trattamento ? fine di scongiurare un uso improprio della piattaforma didattica digitale
Sono attuate misure di formazione e L'Istituto scolastico deve fornire, oltre alle istruzioni di cui al punto precedente, anche nozioni informative generali in materia di
sensibilizzazione degli utenti ? piattaforme digitali ed igiene informatica, al fine di scongiurare un uso improprio della piattaforma didattica digitale
Non sussiste l'obbligo di eseguire la “Data Protection Impact Assesment” (D.P.1.A.) poiché la valutazione eseguita per tutte le
piattaforme citate ha restituito un livello di rischio “MEDIO BASSO” (i dettagli verranno inseriti nel “Documento delle Misure a
Tutela dei Dati delle Persone” realizzato dal nostro studio e riferito all'anno scolastico in corso) inoltre, con riferimento ai 9 criteri
introdotti dalle linee guida del gruppo “Articolo 29”, è soddisfatto solamente uno di essi e specificamente quello relativo al
E’ necessario eseguire la DPIA ?
trattamento di dati riferiti a soggetti vulnerabili (minori). Tuttavia il D.P.O., su indicazione del Titolare del Trattamento, ha deciso di
eseguire comunque la valutazione di impatto, la quale ha dato un esito favorevole a tutte le piattaforme oggetto di analisi
restituendo un livello di rischio normalizzato “BASSO”. Occorre tuttavia specificare che, il D.P.O., al fine di eseguire l’analisi, ha
considerato che tutte le misure di sicurezza di pertinenza dell'Istituto scolastico , siano implementate in modo adeguato.
Pagina 6 di 10
STUDIO TECNICO LEGALE
CORBELLINI
# Studio AGI.COM. S.r.l.
MISURA DI SICUREZZA Continuity (open-source) Go To Meeting (LogMeln) Jitsi (open-source)
Il fornitore è stato designato come Il gestore viene nominato Responsabile Il contratto include clausole assimilabili a
Responsabile del Trattamento ? del Trattamento quelle che identificano il R.D.T.
Il fornitore ha la propria sede
Italia Irlanda Stati Uniti, California
all’interno dell’Unione Europea ?
l’Istituto scolastico per il tramite dell’amministratore scolastico deve attivare esclusivamente i contenuti minimi necessari al fine del
Quali prodotti sono attivati ?
corretto funzionamento della didattica digitale
Dati di registrazione e degli account dei
clienti, si tratta di dati che gli utenti
forniscono quando creano account,
richiedono supporto, generalmente
includono nome e cognome e un
Nome, Cognome e Classe e sono inseriti indirizzo valido di posta elettronica. Tali
dall’amministratore della piattaforma in dati sono necessari per fornire loro i
fase di creazione delle credenziali. nostri Servizi, gestire e supportare i
Nome e Cognome sono inseriti dall'utente
| sistemi informatici e le procedure relativi account. La base giuridica per il
stesso all'atto della partecipazione alla
software preposte al funzionamento dei trattamento di tali dati consiste nel
riunione in modo totalmente volontario.
sito acquisiscono alcuni dati personali la legittimo interesse a intrattenere
| sistemi informatici preposti al
cui trasmissione è implicita nell'uso dei rapporti commerciali con gli utenti ed i
funzionamento dei sito acquisiscono alcuni
protocolli di comunicazione di Internet. loro datori di lavoro nonché nel dare
dati personali la cui trasmissione è implicita
(indirizzi IP, nomi a dominio dei esecuzione ad obblighi contrattuali
nell'uso dei protocolli di comunicazione di
computer utilizzati dagli utenti che si Quando gli utenti utilizzano i servizi,
Internet.
connettono al sito, indirizzi in notazione forniscono informazioni immesse
(indirizzi IP, nomi a dominio dei computer
URI [omissis] delle volontariamente, tra cui i dati
utilizzati dagli utenti che si connettono al sito,
risorse richieste, l'orario della richiesta, concernenti le pianificazioni e gli elenchi
indirizzi in notazione URI ( [omissis] metodo utilizzato nel sottoporre la dei partecipanti, come anche
Quali sono i dati Identifier) delle risorse richieste, l'orario della
richiesta al server, la dimensione del file informazioni acquisite passivamente dal
acquisiti dalla piattaforma ? richiesta, il metodo utilizzato nel sottoporre
ottenuto in risposta, il codice numerico sito Internet o Servizio in questione,
la richiesta al server, la dimensione del file
indicante lo stato della risposta data dal incluso i dati riguardanti la durata delle
ottenuto in risposta, il codice numerico
server (buon fine, errore, ecc.) ed altri sessioni, le connessioni effettuate,
indicante lo stato della risposta data dal
parametri relativi al sistema operativo e l’hardware, l’apparecchiatura e i
server (buon fine, errore, ecc.) ed altri
all'ambiente informatico dell'utente. dispositivi in uso, gli indirizzi IP, la
parametri relativi al sistema operativo e
Questi dati vengono utilizzati al solo posizione, le impostazioni della lingua, il
all'ambiente informatico dell'utente.
fine di ricavare informazioni statistiche sistema operativo utilizzato,
Questi dati vengono utilizzati al solo fine di
anonime sull'uso del sito e per l’identificatore univoco del dispositivo
ricavare informazioni statistiche anonime
controllarne il corretto funzionamento nonché altri dati diagnostici. Tali dati
sull'uso del sito e per controllarne il corretto
e vengono cancellati immediatamente sono necessari per fornire, prestare e
funzionamento e vengono cancellati
dopo l'elaborazione. | dati potrebbero migliorare i Servizi. Vengono poi raccolte
immediatamente dopo l'elaborazione.
essere utilizzati per l'accertamento di informazioni basate sulla posizione degli
responsabilità in caso di ipotetici reati utenti ai fini della fornitura, della
informatici ai danni del sito. prestazione e del supporto del Servizio
nonché della prevenzione delle frodi e
del monitoraggio della sicurezza. Gli
utenti possono disattivare in qualsiasi
momento la trasmissione dei dati di
posizione
Utilizzano i dati raccolti per: a) fornire e
AI solo fine di fornire i servizi principali
prestare i Servizi; b) rispondere e far
AI di là dell'indirizzo IP del partecipante —
fronte alle esigenze dei clienti in merito
ovvero del numero di telefono nel caso di
ai servizi, alla sicurezza e al supporto; c)
collegamento telefonico — qualsiasi altra
rilevare, prevenire o altrimenti
informazione che gli utenti scelgano di
affrontare questioni di natura tecnica o
inserire, come il nome, la foto profilo e
che riguardano frodi, sicurezza o atti
l'indirizzo e-mail, è puramente opzionale e
illeciti; d) adempiere alle disposizioni di
viene condivisa solo con gli altri partecipanti
legge applicabili e alle richieste
AI solo fine di fornire i servizi principali alla riunione. Informazioni che vengono
amministrative, proteggere i diritti
che si impegna a non pubblicare distrutte, al termine della riunione.
nonché intentare azioni legali o
Come vengono utilizzati questi dati annunci commerciali ne’ pubblicitari.
difendersi da esse; e) ottemperare ad
acquisiti ? La piattaforma non acquisisce cookies di Stessa sorte tocca agli altri dati, come le
obblighi contrattuali; f) mantenere e
terze parti che contribuiscano all’uso informazioni contenute nelle chat, o le
migliorare i Servizi; g) restituire dati
dei dati per fini commerciali statistiche degli speaker che vengono
analitici o informazioni preziose ai clienti
conservati per tutta la durata della riunione e
e agli utenti; h) valutare esigenze
poi distrutti al termine della stessa.
aziendali per determinare e
Per quanto attiene le registrazioni, Jitsi
promuovere gli altri prodotti LogMeln
dichiara di conservarle sui suoi server fino a
utili a soddisfarle; i) fornire
quando non vengono caricate sul cloud
aggiornamenti sui prodotti,
indicato dall'utente (ad esempio Dropbox).
comunicazioni commerciali e
informazioni di servizio; j) effettuare
ricerche e analisi ai fini della
Pagina 7 di 10
STUDIO TECNICO LEGALE
CORBELLINI
È Studio AGI.COM. S.r.l.
pianificazione aziendale e dello sviluppo
dei prodotti; k) mostrare contenuti
attinenti ai loro interessi; |) individuare
nuovi clienti potenziali a scopo di
marketing
I dati personali degli utenti possono
essere trasferiti a, e/o risultare
accessibili da, i fornitori di servizi affiliati
o non affiliati di LogMeln presenti in
tutto il mondo, incluso nei Paesi in cui
Le “stanze” ove si tengono le “riunioni”
operano e in quelli al di fuori dell’UE, nei
vengono create al momento che il primo
quali il livello di protezione dei dati
partecipante si unisce e vengono distrutte
potrebbe non essere elevato quanto
quando l’ultimo partecipante se ne va.
nell'UE. In ogni caso, LogMeln
Se qualcuno si unisce di nuovo alla stessa
ottempera alle prescrizioni giuridiche
stanza, si crea una nuova riunione con lo
vigenti e fornisce un livello di protezione
stesso nome ma con nessun collegamento
dei dati adeguato a prescindere dal
I dati non saranno in alcun modo con una riunione “omonima” precedente. Il
luogo in cui viene effettuato l’accesso ai
oggetto di trasferimento verso Paesi tutto per rendere i meeting più difficili “da
dati o verso cui questi vengono trasferiti.
terzi extra UE od organizzazioni raggiungere” per chi non conosce gli elementi
LogMeln garantisce inoltre che il
internazionali né verranno salvati su chiave. In ogni caso bisogna scegliere con
Chi può vedere i dati acquisiti ? trattamento dei dati viene eseguito in
server ubicati in un paese terzo extra cautela il nome della stanza, per evitare che
conformità alla normativa vigente in
UE, inoltre non vengono utilizzati in con un nome semplice faccia imbattere
materia di protezione dei dati. Per
alcun modo processi decisionali l'utente in persone “non gradite”. Per evitare
quanto concerne il trasferimento dei
automatizzati che riguardano i dati. di scegliere nomi banali che possano
dati personali degli utenti al di fuori della
permettere l’accesso a chiunque, si
giurisdizione applicabile, LogMeln ha
suggerisce di avvalersi di nomi casuali per
implementato una serie di meccanismi
riunioni, difficili da rintracciare.
giuridicamente supportati (p.es. le
Se si punta a un meeting “blindato”, Jitsi
Clausole contrattuali ordinarie) per
consiglia di impostare una password — oltre a
assicurare un livello di protezione dei
un nome — da comunicare a tutti i
dati adeguato.
partecipanti alla riunione.
Attraverso i siti, non si intende
raccogliere informazioni personali da o
su soggetti minorenni. Qualora ciò
accadesse in modo involontario saranno
eliminate tali informazioni dagli archivi.
L'accesso avviene con password ed è L'accesso avviene con password ed è
Sono adottate procedure di
possibile prevedere forme potenziate di possibile prevedere forme potenziate di L'accesso avviene tramite link, si suggerisce di
identificazione ed autenticazione degli
identificazione dal pannello identificazione dal pannello utilizzare nomi complessi
utenti ? amministrativo amministrativo
Sono presenti robusti processi di
L'amministratore scolastico deve creare le utenze necessarie e fornire ai singoli utenti le credenziali di accesso
assegnazione agli utenti di credenziali ?
È possibile il cambio password È possibile il cambio password Non è prevista alcuna password policy,
Le password assegnate sono protette all'accesso oltre che periodico viene all'accesso oltre che periodico viene tuttavia occorre precisare che il servizio è
da una “password policies” adeguata ? inoltre gestita la complessità della inoltre gestita la complessità della assimilabile a quello di un “videocitofono” e
password password quindi i dati gestiti sono solo gli audiovideo
Sono definiti differenti profili di
L'amministratore scolastico deve configurare la piattaforma in modo da consentire l’accesso diversificato ai vari utenti in funzione dei
autorizzazione da attribuire ai soggetti
diritti di accesso riconosciuti ai singoli — in particolare ai docenti deve essere consentito l’accesso esclusivamente ai propri gruppi
autorizzati in modo da garantire un
classe ed agli allievi deve essere consentito l’accesso esclusivamente alle sessioni in cui la propria classe è coinvolta
accesso selettivo ai dati ?
LogMeln ha implementato un
programma completo dedicato alla
protezione e alla riservatezza dei dati
Jitsi Meet al momento non supporta una
che include adeguate misure di sicurezza
crittografia completa end-to-end. | video
tecniche e organizzative finalizzate a
inviati al server vengono criptati, decriptati
proteggere e tutelare le informazioni
presso il server e poi di nuovo criptati quando
Sono definiti criteri antimalware ed personali, identificabili e/o confidenziali
I canali di trasmissione utilizzati sono vengono trasmessi agli altri partecipanti,
antivirus che sono attuati in fase di degli utenti. Le operazioni di LogMeln, a
sicuri sotto il profilo tecnico ? quindi chiunque controlli il server potrebbe
trasferimento dei dati livello di prodotto e/o famiglia di
visualizzare le chat.
prodotti, sono state valutate da revisori
La versione Jitsi “on-site” con il controllo del
indipendenti di terze parti in base a
flusso protetto e centralizzato sui server
controlli e standard di sicurezza
scolastici, risolverebbe questo problema
riconosciuti, conseguendo certificazioni
quali ISO 27001, SOC 2 tipo Il e SOC 3
nonché l'attestato C5 del BSI.
Sono adottate soluzioni atte a garantire È implementato un sistema di backup È implementato un sistema di backup No, i dati vengono distrutti subito dopo il
la disponibilità dei dati ? dei dati di livello geografico dei dati di livello geografico termine della conferenza
l’Istituto scolastico deve adottare mediante l’azione dell’amministratore di sistema, sistemi di protezione perimetrali basati su firewall
Sono adottati sistemi di protezione
e deve attivare personale competente interno o esterno incaricato della manutenzione periodica dei sistemi informatici che garantisca
perimetrale ?
il loro aggiornamento
Pagina 8 di 10
STUDIO TECNICO LEGALE
CORBELLINI
n
È Studio AGICOM. S.r.l.
Sono adottati sistemi di protezione
antivirus e antimalware ?
I software di base vengono
costantemente aggiornati ?
Degli accessi e delle operazioni
compiute viene tenuta traccia
registrando i file di log ?
Sono definite le istruzioni da fornire ai
soggetti autorizzati al trattamento ?
Sono attuate misure di formazione e
sensibilizzazione degli utenti ?
E’ necessario eseguire la DPIA ?
CONCLUSIONI
Come è possibile desumere dalla colorazione, principalmente VERDE, dei moduli di analisi, tra di esse ne appaiono molte idonee
all’uso (quelle che prevedono tutte le caselle di colore VERDE o, alla peggio solo alcune di colore GIALLO) ed alcune che invece
non instaurano un rapporto con la scuola, ma direttamente con la famiglia (quelle con alcune caselle di colore ROSSO) la quale,
per poca conoscenza specifica, potrebbe consentire un utilizzo dei dati sproporzionato rispetto allo stretto necessario.
Tale condizione si verifica, specificamente, per Zoom, Jitsi e Padlet con però una differenza sostanziale legata al fatto che su
Padlet vengono pubblicati contenuti da parte dei docenti che possono filtrare gli stessi fin dall'origine in modo da evitare una
esposizione di informazioni personali eccessiva.
E’ da dire, per “Zoom” e “Jitsi” che non possono dirsi tecnicamente delle “piattaforme” ma più che altro servizi di collegamento
assimilabili, si passi la forzatura a “videocitofoni” e conseguentemente l’unico rischio seppur non trascurabile, è legato ad un
eventuale impiego inappropriato dei video che è sconsigliabile salvare.
Questo il nostro consiglio:
PIATTAFORME
ADEGUATE
Edmodo
Google Suite
Microsoft 365
Padlet
Go To Meeting (new)
Occorre infine rammentare che, come già detto al paragrafo precedente, l'adeguatezza tecnica si ottiene con un mix di
precauzioni, alcune delle quali di pertinenza del fornitore del servizio (l'infrastruttura), altre invece di pertinenza degli utilizzatori
(password tenute segrete e frequentemente cambiate, conoscenza del regolamento d'Istituto etc.).
I DOCUMENTI
Venendo agli aspetti più pratici, in funzione della piattaforma scelta dal Suo Istituto, occorrerà provvedere a questi passaggi:
- Individuare uno o più soggetti interni o fornitori esterni che svolgano il ruolo di ”amministratore della piattaforma
didattica digitale” e fornire loro una lettera di designazione specifica;
Pagina 9 di 10
STUDIO TECNICO LEGALE —____________€—
CORBELLINI
_& Studio AG.I.COM. S.r.l.
- Appurare di aver formalizzato il contratto di nomina del gestore della piattaforma didattica digitale a “responsabile del
trattamento”, noi ne prevediamo uno standard, ma con ogni probabilità il gestore prescelto ne proporrà una propria;
- Fornire agli allievi maggiorenni e alle famiglie/tutori dei minori, l’’informativa integrativa privacy per gli allievi”,
completa di regolamento di utilizzo;
- Fornire al personale incaricato dell’uso della piattaforma l’’Informativa integrativa privacy per il personale”, completa
di regolamento di utilizzo;
- Fornireatutti gli utenti (allievi e personale), un depliant sulla D.D.I. volto alla sensibilizzazione circa l'utilizzo delle
piattaforme digitali integrate
Troverà il materiale al seguente link:
http://www.agicomcloud.it/index.php/s/9f2NGYJnO6LzHIt
abbia cura di scegliere quello relativo alla piattaforma scelta.
Cordiali saluti.
ta Protection Officer
| ole
Pagina 10 di 10