STUDIO TECNICO LEGALE CORBELLINI ‘ È Studio AGI.COM. S.r.l. San Zenone al Lambro (MI), 12 Ottobre 2020 Spettabile ISTITUTO DI ISTRUZIONE POSTA ELETTRONICA CERTIFICATA c/a TITOLARE DEL TRATTAMENTO IGOMI tud OGGETTO Adozione di piattaforme informatiche volte alla implementazione della Didattica Digitale Integrata (D.D.I.) — Indicazioni del D.P.O. fornite ai sensi dell’art. 39 par.1 lett.a del G.D.P.R. @pec.a Egregio Titolare del Trattamento dei Dati nell’ambito della funzione consulenziale che spetta per legge al Data Protection Officer, anche sulla base di quanto indicato nelle ultime circolari ministeriali in tema, ritengo utile fornire, per mezzo della presente, indicazioni Federazione Italiana Responsabili e Addetti alla Sicurezza in ordine alla questione in oggetto. La complessità del periodo che stiamo vivendo ha imposto, in tutti i settori, un ricorso massiccio a sistemi di comunicazione a distanza che possano, almeno parzialmente, sostituire i normali canali di comunicazione frontale che siamo abituati ad adottare da sempre. Indubbiamente il sempre più elevato standard tecnologico delle comunicazioni telematiche (ADSL, Fibra etc.) ha permesso l’utilizzo di strumenti “on-line”, con buoni risultati, al punto da rendere questi graditi al di là delle misure Servizio di Prevenzione e Protezione emergenziali prese per contrastare la diffusione della pandemia che stiamo vivendo. Come ogni esperienza umana, anche il ricorso a fini didattici, ma non solo, all’utilizzo di strumenti on-line, non è esente da problematiche, una fra tutte quella della sicurezza dei dati che vengono condivisi tra docenti, allievi, genitori e fornitore dell’infrastruttura, mediante l’impiego delle piattaforme informatiche. FIRAS-SPP Chiariamo subito, le piattaforme didattiche on-line non sono il male assoluto e anche i dati che transitano su di esse non sono quasi mai terribilmente delicati (si tratta principalmente di elaborati didattici, voti, immagini, audio e video) tuttavia meritano la nostra massima considerazione volta a garantire che, di tali dati, nessuno possa fare un uso distorto. Ai fini di questa mia analisi, definiamo “uso distorto” dei dati, qualsiasi impiego che non sia strettamente coerente con la finalità didattica perseguita dall’uso delle piattaforme didattiche. | dati possono essere usati in modo distorto info@agicomstudio.it da chiunque, tanto dal gestore della piattaforma che, disponendo di migliaia di indirizzi e-mail, nomi e cognomi potrebbe decidere di commercializzarli, quanto dal docente che, in assenza di una specifica autorizzazione, dovesse trasmettere le foto dei suoi alunni sul proprio profilo social o ancora dal genitore che, per muovere contestazioni Via XXV Aprile, 12 - 20070 SAN ZENONE AL LAMBRO (MI) sulle capacità del docente, decidesse di registrare la lezione e di riprodurla a favore di altri soggetti. sociale : 10.000,00 Euro interamente versati Naturalmente, compito del Titolare del trattamento di concerto con il D.P.O., è quello di ridurre al minimo la possibilità che questo accada. 05078440962 E-mail Ho utilizzato la locuzione “ridurre al minimo” il rischio che una violazione di dati accada e non il verbo “impedire” Studio AG.I.COM. S.r.l. unipersonale perché la verità è che, in ogni ambito, è impossibile assicurare matematicamente che un evento non si verificherà, è Fax 02-700527180 però possibile e dovuto adottare tutte le misure di sicurezza che la tecnologia e il diritto ci mettono a disposizione per scongiurare ogni violazione e per precostituirsi degli strumenti giuridici di reazione per colpire chi, intenzionalmente o per grave negligenza, si trovi a violare le regole. Vediamo quali sono questi strumenti: Tel. 02-90601324 STRUMENTI GIURIDICI DI TUTELA La designazione del fornitore del servizio a “Responsabile del trattamento”. [omissis] scuola, al suo interno, non ha le competenze né gli strumenti per costruire in proprio una piattaforma utile a svolgere la didattica digitale integrata, si rivolge ad un fornitore esterno che svolga, in nome e per conto della scuola, tale servizio (accade lo stesso, ad esempio, con il registro elettronico). STUDIO TECNICO LEGALE CORBELLINI «7 È Studio AG.I.COM. S.r.l. Evidentemente, per consentire al fornitore esterno di fare il proprio lavoro, la scuola dovrà fornirgli tutta una serie di informazioni (nomi, cognomi, classe, indirizzi e-mail etc.) oltre a permettere che altrettante informazioni possano transitare dai suoi server (i video delle lezioni, gli elaborati, i voti etc.) giungendo, di fatto, a considerare il fornitore esterno alla stregua di un dipendente. Lo strumento giuridico per cui questo possa avvenire legittimamente è il contratto di nomina del fornitore a “Responsabile del trattamento dei dati”. La sua designazione non solo permette alla scuola di applicare al fornitore, in via del tutto automatica, una disciplina vincolante prevista dalla legislazione vigente, ma anche di fornirgli istruzioni specifiche rispetto ai comportamenti da tenere in alcune circostanze delicate (una fra tutte, a fronte di un data breach la notifica al Garante la fa la scuola in quanto titolare del dato oggetto di attacco o il fornitore in quanto detentore pro-tempore di tale dato ? e ancora, il fornitore deve avere titolo oppure no di avvalersi di sub-responsabili ?). In allegato alla presente troverà un documento di nomina tipo (è’ da dire che i gestori delle piattaforme didattiche digitali, non sono quasi mai piccoli fornitori di provincia, ma i cosiddetti “giganti del web” come Google e Microsoft, quindi non aspettiamoci di potergli imporre istruzioni troppo personalizzate, è più probabile che si debba valutare se le soluzioni standard da loro proposte con loro modulistica siano compatibili o meno con le nostre esigenze). Il Titolare dovrà poi prestare grande attenzione a che le password amministrative delle piattaforme siano in possesso solo ed esclusivamente di personale scolastico fidato, che risponda dell’uso improprio che dovesse farne (non scordiamo che nel mondo dell'informatica disporre di una password amministrativa significa avere la possibilità di fare qualsiasi cosa all’interno di un ambiente digitale, sia rispetto all'accesso ai dati, sia rispetto alla possibilità di modificare le configurazioni di sicurezza rendendo vulnerabile dall'esterno l’ambiente stesso). E' da annoverare tra gli strumenti giuridici di tutela dei dati, anche la esplicitazione delle finalità del trattamento. A questo proposito occorre comprendere bene che, una volta appurato che un soggetto interno (un docente ad esempio) o esterno alla nostra organizzazione (il fornitore della piattaforma) ha titolo di trattare per motivi professionali un certo dato, significa accettare il fatto che questi possa disporre di quella informazione (ad esempio una fotografia) e che solo la sua etica e la sua professionalità non lo inducano a farne un uso distorto. Ciò che intendo dire è che non potremo affidarci oltremodo alla tecnologia per impedirgli di usare quella foto in modo improprio ma dovremo contare sulla sua etica professionale che lo indurrà ad utilizzarla solamente per le finalità che gli sono consentite. Ecco perché esplicitare chiaramente le finalità del trattamento è il modo migliore per fornire al nostro dipendente, studente o fornitore, l'istruzione principale e cioè: “i dati di cui disponi li puoi utilizzare esclusivamente per raggiungere le finalità che ti sono state comunicate e non per altro”. Naturalmente poi il contratto di nomina a responsabile del trattamento che include istruzioni specifiche, il contenuto dell’autorizzazione fornita al dipendente ed il regolamento di istituto fatto sottoscrivere all'allievo (famiglia) fanno il resto ossia, ammantano tali regole di “giuridicità” e consentono di applicare sanzioni qualora le stesse dovessero essere disattese. Quando i destinatari non sono utenti informatici evoluti (bambini, famiglie e dipendenti con modeste nozioni etc.) oltre ad un regolamento ed a formali atti di incarico, è bene che le istruzioni per trattare i dati vengano fornite mediante veri e propri corsi di formazione o quantomeno azioni di sensibilizzazione (depliant informativi etc.). STRUMENTI TECNICI DI TUTELA Il Titolare del trattamento, prima di optare per una piattaforma o per l’altra, deve assicurarsi con l’aiuto del D.P.O. che questa abbia adottato misure di sicurezza tecnico-informatiche adeguate. Ad esempio, un ambiente che lasciasse le comunicazioni telematiche in chiaro e non adottasse tecniche di cifratura delle stesse o che non permettesse l'adozione di password di accesso o ancora che non garantisse il backup ed il rapido ripristino dei dati, sarebbe un sistema inadeguato e quindi non dovrebbe essere scelto. Alle prossime pagine troverà una scheda tecnica di raffronto riferita alle principali piattaforme e precisamente: e Argo Aggiornamento al 12 Ottobre 2020: e Edmodo e Google suite for education e Continuity e Mastercom e GoTo Meeting e Microsoft 365 e jJitsi e NettunoPA e Padlet e \Weschool e Zoom Pagina 2 di 10 STUDIO TECNICO LEGALE CORBELLINI # Studio AGI.COM. S.r.l. MISURA DI SICUREZZA Google Suite Microsoft 365 WesSchool Edmodo Argo Il contratto include Il contratto include Il contratto include Il fornitore è stato designato clausole che Il gestore viene Il gestore viene clausole assimilabili a clausole assimilabili a come Responsabile del identificano nominato Responsabile nominato Responsabile quelle che identificano il quelle che identificano il Trattamento ? indirettamente Google del Trattamento del Trattamento come RDT. R.D.T. R.D.T. Stati Uniti Microsoft partecipa al programma “privacy shield” tra Unione Europea e Stati [omissis] fornitore ha la propria sede quando si verificano Edmodo partecipa al Irlanda trasferimenti di dati in Italia programma “privacy Italia all’interno dell’Unione Europea ? paesi non sicuri, shield” tra Unione Microsoft utilizza Europea e Stati Uniti contratti per garantire che i diritti dell'utente e le protezioni viaggino insieme ai dati l’Istituto scolastico per il tramite dell’amministratore scolastico deve attivare esclusivamente i contenuti m n imi necessari al fine del Quali prodotti sono attivati ? corretto funzionamento della didattica digitale Nome, Cognome e Nome, Cognome e Classe e sono inseriti Classe e sono inseriti dall’amministratore dall’amministratore della piattaforma in fase della piattaforma in fase di creazione delle di creazione delle Nome, Cognome e Nome, Cognome e Nome, Cognome e credenziali. Altri dati credenziali. Altri dati Classe e sono inseriti Classe e sono inseriti Classe e sono inseriti relativi alla navigazione relativi alla navigazione Quali sono i dati dall’amministratore dall’amministratore dall’amministratore (IP, posizione, sistema (IP, posizione, sistema acquisiti dalla piattaforma ? della piattaforma in fase della piattaforma in fase della piattaforma in fase operativo, cookies etc.) operativo, cookies etc.) di creazione delle di creazione delle di creazione delle vengono acquisiti vengono acquisiti credenziali credenziali credenziali durante la navigazione e durante la navigazione e viene richiesto il viene richiesto il consenso all'allievo consenso all'allievo (famiglia se minore di (famiglia se minore di anni 14) anni 14) Microsoft non raccoglie o utilizza i dati degli Weschool non esercita AI solo fine di fornire i studenti oltre quanto alcuna autorità o servizi principali di necessario a scopi controllo nei confronti Edmodo che si impegna formativi o scolastici della scuola e degli a non pubblicare autorizzati; utenti che annunci commerciali ne’ AI solo fine di fornire i non vende o noleggia i utilizzano la piattaforma pubblicitari ai minori di AI solo fine di fornire i servizi principali di dati; non utilizza o e richiede anni 13. Edmodo delega servizi principali di Argo Google suite che si condivide i dati a scopi l'utilizzo di credenziali ad altre aziende e che si impegna a non impegna a non pubblicitari o crittografiche di accesso persone l'esecuzione di pubblicare annunci pubblicare annunci commerciali simili, ad alla piattaforma da determinate attività, di commerciali ne’ commerciali ne’ esempio per l’invio di parte degli utenti, ma conseguenza necessita pubblicitari e pubblicitari e materiale pubblicitario; spetta di condividere con loro richiede che i suoi Come vengono utilizzati questi richiede che i suoi non crea il profilo esclusivamente a questi le informazioni fornitori, con i quali dati acquisiti ? fornitori, con i quali personale di uno ultimi il compito di non dell'utente per vengono condivisi i dati vengono condivisi i dati studente se non per comunicare le proprie garantire allo stesso personali degli studenti personali degli studenti sostenere scopi credenziali a soggetti l'erogazione di prodotti per fornire il servizio per fornire il servizio formativi o scolastici terzi e non o della piattaforma. formativo siano formativo siano autorizzati e effettua alcuna verifica Condivide le obbligati a obbligati a richiede che i suoi preliminare dei Informazioni personali implementare questi implementare questi fornitori, con i quali contenuti, che risulta con tali agenti secondo stessi impegni stessi impegni vengono condivisi i dati oggettivamente necessità, vincolandoli personali degli studenti impossibile in al rispetto degli obblighi per fornire il servizio considerazione della contrattuali in materia formativo siano quantità di contenuti di protezione delle obbligati a o . . . qu . . pubblicati dagli utenti informazioni. implementare questi stessi impegni Solamente Solamente Solamente Solamente Solamente l'amministratore, il l'amministratore, il l'amministratore, il l'amministratore, il l'amministratore, il personale dotato di personale dotato di personale dotato di personale dotato di personale dotato di Chi può vedere i dati acquisiti ? poteri idonei (docenti) e poteri idonei (docenti) e poteri idonei (docenti) e poteri idonei (docenti) e poteri idonei (docenti) e Google per il Microsoft per il Weschool per il Edmodo per il Argo per il funzionamento funzionamento funzionamento funzionamento funzionamento Pagina 3 di 10 STUDIO TECNICO LEGALE CORBELLINI __— WA ipiIil—lj]l. Ut studio AGI.COM. S.r.l. Le Informazioni personali relative all’account Edmodo sono protette da password, nonché da varie altre misure di sicurezza fisiche, L'accesso avviene con amministrative e L'accesso avviene con password ed è possibile tecniche. Edmodo Sono adottate procedure di password ed è possibile prevedere forme L'accesso avviene con utilizza, altresì, L'accesso avviene con identificazione ed optare per potenziate di password crittografiche procedure di codifica password crittografiche autenticazione degli utenti ? identificazione a 2 identificazione dal che consentono di fattori pannello amministrativo evitare attacchi sulla Piattaforma da web browser e script dannosi, elaborando tutte le azioni tramite diversi controlli delle verifiche delle autorizzazioni. Sono presenti robusti processi di assegnazione agli utenti di L'amministratore scolastico deve creare le utenze necessarie e fornire ai singoli utenti le credenziali di accesso credenziali ? È possibile il cambio È possibile il cambio È possibile il cambio È possibile il cambio È possibile il cambio password all’accesso password all'accesso password all’accesso password all'accesso password all'accesso Le password assegnate sono oltre che periodico oltre che periodico oltre che periodico oltre che periodico oltre che periodico protette da una “password viene inoltre gestita la viene inoltre gestita la viene inoltre gestita la viene inoltre gestita la viene inoltre gestita la policies” adeguata ? complessità della complessità della complessità della complessità della complessità della password password password password password Sono definiti differenti profili di autorizzazione da attribuire ai L'amministratore scolastico deve configurare la piattaforma in modo da consentire l’accesso diversificato ai vari utenti in funzione dei soggetti autorizzati in modo da diritti di accesso riconosciuti ai singoli — in particolare ai docenti deve essere consentito l’accesso esclusivamente ai propri gruppi classe garantire un accesso selettivo ai edagli allievi deve essere consentito l’accesso esclusivamente alle sessioni in cui la propria classe è coinvolta dati ? La trasmissione delle informazioni sensibili viene crittografata utilizzando la tecnologia È in uso il protocollo TLS SSL (Secure Socket che permette di criptare Layer). Edmodo si i messaggi di posta, i adopera per mantenere Sono definiti criteri Sono definiti criteri dati in transito sono private le informazioni I canali di trasmissione utilizzati antimalware ed antimalware ed autenticati fin dalle I dati circolano in dell'utente, tuttavia, sono sicuri sotto il profilo antivirus che sono antivirus che sono implementazioni di base formato criptato non è in grado di tecnico ? attuati in fase di attuati in fase di che possono essere garantire la sicurezza. trasferimento dei dati trasferimento dei dati potenziate L'accesso o l’utilizzo non dall’amministratore autorizzati, i guasti di scolastico hardware o software e altri fattori possono compromettere la sicurezza delle informazioni dell'utente Sono adottate soluzioni atte a È implementato un È implementato un È implementato un È implementato un È implementato un garantire la disponibilità dei dati sistema di backup dei sistema di backup dei sistema di backup dei sistema di backup dei sistema di backup dei ? dati di livello geografico dati di livello geografico dati di livello geografico dati di livello geografico dati di livello geografico l’Istituto scolastico deve adottare mediante l’azione dell’amministratore di sistema, sistemi di protezione perimetrali basati su firewall e Sono adottati sistemi di deve attivare personale competente interno o esterno incaricato della manutenzione periodica dei sistemi informatici che garantisca il protezione perimetrale ? loro aggiornamento Sono adottati sistemi di L'Istituto scolastico deve adottare sistemi di protezione da virus e malware di tipo sofware o hardware e disporre di personale interno o protezione antivirus e esterno incaricato della manutenzione periodica di tali sistemi che garantisca il loro continuo aggiornamento antimalware ? I software di base vengono L'Istituto scolastico deve incaricare personale interno o esterno della manutenzione periodica dei sistemi informatici al fine di garantire costantemente aggiornati ? l'aggiornamento dei sistemi operativi e di tutti i software di base Degli accessi e delle operazioni L'Istituto scolastico , per mezzo dell’amministratore di sistema, deve installare un software di cattura dei log amministrativi al fine di compiute viene tenuta traccia tenere traccia degli accessi alla piattaforma registrando i file di log _21_ [omissis] uate misure di L'Istituto scolastico deve fornire, oltre alle istruzioni di cui al punto precedente, anche nozioni informative generali in materia di formazione e sensibilizzazione piattaforme digitali ed igiene informatica, al fine di scongiurare un uso improprio della piattaforma didattica digitale degli utenti ? Non sussiste l'obbligo di eseguire la “Data Protection Impact Assesment” (D.P.1.A.) poiché la valutazione eseguita per tutte le piattaforme citate ha restituito un livello di rischio “MEDIO BASSO” (i dettagli verranno inseriti nel “Documento delle Misure a Tutela dei Dati delle Persone” realizzato dal nostro studio e riferito all'anno scolastico in corso) inoltre, con riferimento ai 9 criteri introdotti dalle linee guida del gruppo “Articolo 29”, è soddisfatto solamente uno di essi e specificamente quello relativo al trattamento di dati riferiti a soggetti E’ necessario eseguire la DPIA ? vulnerabili (minori). Tuttavia il D.P.O., su indicazione del Titolare del Trattamento, ha deciso di eseguire comunque la valutazione di impatto, la quale ha dato un esito favorevole a tutte le piattaforme oggetto di analisi restituendo un livello di rischio normalizzato “BASSO”. Occorre tuttavia specificare che, il D.P.O., al fine di eseguire l’analisi, ha considerato che tutte le misure di sicurezza di pertinenza dell'Istituto scolastico , siano implementate in modo adeguato. MISURA DI SICUREZZA Mastercom Zoom Padlet Nettuno PA Il gestore viene nominato Il gestore viene nominato Il fornitore è stato designato come Responsabile del Responsabile del Responsabile del Trattamento ? Trattamento Trattamento Stati Uniti Zoom Video Communication, Inc. partecipa e ha certificato la sua conformità con il Privacy Shield Framework UE-USA e il Stati Uniti Privacy Shield Svizzera-USA. Wallwisher, Inc. DBA Padlet Zoom si impegna a partecipa e ha certificato la Il fornitore ha la propria sede Italia sottoporre tutti i dati sua conformità con il Privacy Italia all’interno dell’Unione Europea ? personali Shield Framework UE-USA e il ricevuti dai paesi membri Privacy Shield Svizzera-USA. dell'UE, dalla Svizzera e dal Regno Unito, facendo affidamento sui quadri dello scudo per la privacy, ai principi applicabili del quadro. l’Istituto scolastico per il trami te dell’amministratore scolastico deve attivare esclusivamente i contenuti minimi necessari al fine Quali prodotti sono attivati ? del corretto funzionamento della didattica digitale Nome, Cognome e Classe e | dati inseriti vengono scelti Nome, Cognome e Classe e Nome, Cognome e Classe e sono inseriti dall’allievo o dal docente che potrà sono inseriti sono inseriti dalla famiglia nel caso di preferire dati anonimi per dall’amministratore della dall’amministratore della minori di anni 14. evitare ogni criticità. In piattaforma in fase di piattaforma in fase di Altri dati relativi alla mancanza, in caso di Quali sono i dati creazione delle credenziali. creazione delle credenziali. navigazione (IP, posizione, pubblicazione di dati acquisiti dalla piattaforma ? Altri dati relativi alla Altri dati relativi alla sistema operativo, cookies personali, assume un ruolo navigazione (IP, posizione, navigazione (IP, posizione, etc.) vengono acquisiti fondamentale la politica di sistema operativo, cookies sistema operativo, cookies durante la navigazione per i gestione delle pubblicazioni etc.) vengono acquisiti etc.) vengono acquisiti quali viene chiesto il che dovrà essere gestita dal durante la navigazione durante la navigazione consenso alla famiglia docente stesso AI solo fine di fornire i servizi principali, potrebbero anche utilizzare fornitori di servizi di AI solo fine di fornire i servizi AI solo fine di fornire i servizi terze parti per fornire i servizi principali che si impegna a principali che si impegna a e per farlo costoro non pubblicare annunci non pubblicare annunci potrebbero avere un accesso I dati acquisiti vengono commerciali ne’ pubblicitari e commerciali ne’ pubblicitari e limitato alle informazioni pubblicati su un’area richiede che i suoi fornitori, richiede che i suoi fornitori, Come vengono utilizzati questi dati personali nel processo. accessibile a chi sia stato con i quali vengono condivisi i con i quali vengono condivisi i acquisiti ? E proibito su base autorizzato da parte dati personali degli studenti dati personali degli studenti contrattuale ai fornitori di dell’amministratore per fornire il servizio per fornire il servizio servizi di vendere scolastico della piattaforma formativo siano obbligati a formativo siano obbligati a informazioni personali che implementare questi stessi implementare questi stessi ricevono ed è loro richiesto di impegni impegni utilizzare tali informazioni solo per eseguire i servizi richiesti. Pagina 5 di 10 STUDIO TECNICO LEGALE CORBELLINI È Studio AGI.COM. S.r.l. Solamente l'amministratore, Solamente l'amministratore, Solamente l'amministratore, Solamente l'amministratore, il personale dotato di poteri il personale dotato di poteri il personale dotato di poteri il personale dotato di poteri Chi può vedere i dati acquisiti ? idonei (docenti) e Mastercom idonei (docenti) e Zoom per il idonei (docenti) e Padlet per idonei (docenti) e Nettuno PA per il funzionamento funzionamento il funzionamento per il funzionamento L'accesso avviene con L'accesso avviene con L'accesso avviene con L'accesso avviene con Sono adottate procedure di password ed è possibile password ed è possibile password ed è possibile password ed è possibile identificazione ed autenticazione degli prevedere forme potenziate prevedere forme potenziate prevedere forme potenziate prevedere forme potenziate utenti ? di identificazione dal di identificazione dal di identificazione dal di identificazione dal pannello amministrativo pannello amministrativo pannello amministrativo pannello amministrativo Sono presenti robusti processi di L'amministratore scolastico deve creare le utenze necessarie e fornire ai singoli utenti le credenziali di accesso assegnazione agli utenti di credenziali ? È possibile il cambio È possibile il cambio È possibile il cambio È possibile il cambio password all'accesso oltre password all'accesso oltre password all'accesso oltre password all’accesso oltre Le password assegnate sono protette che periodico viene inoltre che periodico viene inoltre che periodico viene inoltre che periodico viene inoltre da una “password policies” adeguata ? gestita la complessità della gestita la complessità della gestita la complessità della gestita la complessità della password password password password Sono definiti differenti profili di L'amministratore scolastico deve configurare la piattaforma in modo da consentire l’accesso diversificato ai vari utenti in funzione autorizzazione da attribuire ai soggetti dei diritti di accesso riconosciuti ai singoli — in particolare ai docenti deve essere consentito l’accesso esclusivamente ai propri autorizzati in modo da garantire un gruppi classe ed agli allievi deve essere consentito l’accesso esclusivamente alle sessioni in cui la propria classe è coinvolta accesso selettivo ai dati ? Sono definiti criteri Sono definiti criteri Sono definiti criteri Sono definiti criteri I canali di trasmissione utilizzati sono antimalware ed antivirus che antimalware ed antivirus che antimalware ed antivirus che antimalware ed antivirus che sicuri sotto il profilo tecnico ? sono attuati in fase di sono attuati in fase di sono attuati in fase di sono attuati in fase di trasferimento dei dati trasferimento dei dati trasferimento dei dati trasferimento dei dati È implementato un sistema di È implementato un sistema di È implementato un sistema di È implementato un sistema di Sono adottate soluzioni atte a garantire backup dei dati di livello backup dei dati di livello backup dei dati di livello backup dei dati di livello la disponibilità dei dati ? geografico geografico geografico geografico l’Istituto scolastico deve adottare mediante l’azione dell’amministratore di sistema, sistemi di protezione perimetrali basati su Sono adottati sistemi di protezione firewall e deve attivare personale competente interno o esterno incaricato della manutenzione periodica dei sistemi informatici perimetrale ? che garantisca il loro aggiornamento Sono adottati sistemi di protezione L'Istituto scolastico deve adottare sistemi di protezione da virus e malware di tipo sofware o hardware e disporre di personale antivirus e antimalware ? interno o esterno incaricato della manutenzione periodica di tali sistemi che garantisca il loro continuo aggiornamento I software di base vengono L'Istituto scolastico deve incaricare personale interno o esterno della manutenzione periodica dei sistemi informatici al fine di costantemente aggiornati ? garantire l'aggiornamento dei sistemi operativi e di tutti i software di base Degli accessi e delle operazioni L'Istituto scolastico , per mezzo dell’amministratore di sistema, deve installare un software di cattura dei log amministrativi al fine compiute viene tenuta traccia di tenere traccia degli accessi alla piattaforma registrando i file di log ? Sono definite le istruzioni da fornire ai L'Istituto scolastico deve fornire ai singoli operatori (docenti e alunni) istruzioni specifiche, anche sotto forma di regolamento, al soggetti autorizzati al trattamento ? fine di scongiurare un uso improprio della piattaforma didattica digitale Sono attuate misure di formazione e L'Istituto scolastico deve fornire, oltre alle istruzioni di cui al punto precedente, anche nozioni informative generali in materia di sensibilizzazione degli utenti ? piattaforme digitali ed igiene informatica, al fine di scongiurare un uso improprio della piattaforma didattica digitale Non sussiste l'obbligo di eseguire la “Data Protection Impact Assesment” (D.P.1.A.) poiché la valutazione eseguita per tutte le piattaforme citate ha restituito un livello di rischio “MEDIO BASSO” (i dettagli verranno inseriti nel “Documento delle Misure a Tutela dei Dati delle Persone” realizzato dal nostro studio e riferito all'anno scolastico in corso) inoltre, con riferimento ai 9 criteri introdotti dalle linee guida del gruppo “Articolo 29”, è soddisfatto solamente uno di essi e specificamente quello relativo al E’ necessario eseguire la DPIA ? trattamento di dati riferiti a soggetti vulnerabili (minori). Tuttavia il D.P.O., su indicazione del Titolare del Trattamento, ha deciso di eseguire comunque la valutazione di impatto, la quale ha dato un esito favorevole a tutte le piattaforme oggetto di analisi restituendo un livello di rischio normalizzato “BASSO”. Occorre tuttavia specificare che, il D.P.O., al fine di eseguire l’analisi, ha considerato che tutte le misure di sicurezza di pertinenza dell'Istituto scolastico , siano implementate in modo adeguato. Pagina 6 di 10 STUDIO TECNICO LEGALE CORBELLINI # Studio AGI.COM. S.r.l. MISURA DI SICUREZZA Continuity (open-source) Go To Meeting (LogMeln) Jitsi (open-source) Il fornitore è stato designato come Il gestore viene nominato Responsabile Il contratto include clausole assimilabili a Responsabile del Trattamento ? del Trattamento quelle che identificano il R.D.T. Il fornitore ha la propria sede Italia Irlanda Stati Uniti, California all’interno dell’Unione Europea ? l’Istituto scolastico per il tramite dell’amministratore scolastico deve attivare esclusivamente i contenuti minimi necessari al fine del Quali prodotti sono attivati ? corretto funzionamento della didattica digitale Dati di registrazione e degli account dei clienti, si tratta di dati che gli utenti forniscono quando creano account, richiedono supporto, generalmente includono nome e cognome e un Nome, Cognome e Classe e sono inseriti indirizzo valido di posta elettronica. Tali dall’amministratore della piattaforma in dati sono necessari per fornire loro i fase di creazione delle credenziali. nostri Servizi, gestire e supportare i Nome e Cognome sono inseriti dall'utente | sistemi informatici e le procedure relativi account. La base giuridica per il stesso all'atto della partecipazione alla software preposte al funzionamento dei trattamento di tali dati consiste nel riunione in modo totalmente volontario. sito acquisiscono alcuni dati personali la legittimo interesse a intrattenere | sistemi informatici preposti al cui trasmissione è implicita nell'uso dei rapporti commerciali con gli utenti ed i funzionamento dei sito acquisiscono alcuni protocolli di comunicazione di Internet. loro datori di lavoro nonché nel dare dati personali la cui trasmissione è implicita (indirizzi IP, nomi a dominio dei esecuzione ad obblighi contrattuali nell'uso dei protocolli di comunicazione di computer utilizzati dagli utenti che si Quando gli utenti utilizzano i servizi, Internet. connettono al sito, indirizzi in notazione forniscono informazioni immesse (indirizzi IP, nomi a dominio dei computer URI [omissis] delle volontariamente, tra cui i dati utilizzati dagli utenti che si connettono al sito, risorse richieste, l'orario della richiesta, concernenti le pianificazioni e gli elenchi indirizzi in notazione URI ( [omissis] metodo utilizzato nel sottoporre la dei partecipanti, come anche Quali sono i dati Identifier) delle risorse richieste, l'orario della richiesta al server, la dimensione del file informazioni acquisite passivamente dal acquisiti dalla piattaforma ? richiesta, il metodo utilizzato nel sottoporre ottenuto in risposta, il codice numerico sito Internet o Servizio in questione, la richiesta al server, la dimensione del file indicante lo stato della risposta data dal incluso i dati riguardanti la durata delle ottenuto in risposta, il codice numerico server (buon fine, errore, ecc.) ed altri sessioni, le connessioni effettuate, indicante lo stato della risposta data dal parametri relativi al sistema operativo e l’hardware, l’apparecchiatura e i server (buon fine, errore, ecc.) ed altri all'ambiente informatico dell'utente. dispositivi in uso, gli indirizzi IP, la parametri relativi al sistema operativo e Questi dati vengono utilizzati al solo posizione, le impostazioni della lingua, il all'ambiente informatico dell'utente. fine di ricavare informazioni statistiche sistema operativo utilizzato, Questi dati vengono utilizzati al solo fine di anonime sull'uso del sito e per l’identificatore univoco del dispositivo ricavare informazioni statistiche anonime controllarne il corretto funzionamento nonché altri dati diagnostici. Tali dati sull'uso del sito e per controllarne il corretto e vengono cancellati immediatamente sono necessari per fornire, prestare e funzionamento e vengono cancellati dopo l'elaborazione. | dati potrebbero migliorare i Servizi. Vengono poi raccolte immediatamente dopo l'elaborazione. essere utilizzati per l'accertamento di informazioni basate sulla posizione degli responsabilità in caso di ipotetici reati utenti ai fini della fornitura, della informatici ai danni del sito. prestazione e del supporto del Servizio nonché della prevenzione delle frodi e del monitoraggio della sicurezza. Gli utenti possono disattivare in qualsiasi momento la trasmissione dei dati di posizione Utilizzano i dati raccolti per: a) fornire e AI solo fine di fornire i servizi principali prestare i Servizi; b) rispondere e far AI di là dell'indirizzo IP del partecipante — fronte alle esigenze dei clienti in merito ovvero del numero di telefono nel caso di ai servizi, alla sicurezza e al supporto; c) collegamento telefonico — qualsiasi altra rilevare, prevenire o altrimenti informazione che gli utenti scelgano di affrontare questioni di natura tecnica o inserire, come il nome, la foto profilo e che riguardano frodi, sicurezza o atti l'indirizzo e-mail, è puramente opzionale e illeciti; d) adempiere alle disposizioni di viene condivisa solo con gli altri partecipanti legge applicabili e alle richieste AI solo fine di fornire i servizi principali alla riunione. Informazioni che vengono amministrative, proteggere i diritti che si impegna a non pubblicare distrutte, al termine della riunione. nonché intentare azioni legali o Come vengono utilizzati questi dati annunci commerciali ne’ pubblicitari. difendersi da esse; e) ottemperare ad acquisiti ? La piattaforma non acquisisce cookies di Stessa sorte tocca agli altri dati, come le obblighi contrattuali; f) mantenere e terze parti che contribuiscano all’uso informazioni contenute nelle chat, o le migliorare i Servizi; g) restituire dati dei dati per fini commerciali statistiche degli speaker che vengono analitici o informazioni preziose ai clienti conservati per tutta la durata della riunione e e agli utenti; h) valutare esigenze poi distrutti al termine della stessa. aziendali per determinare e Per quanto attiene le registrazioni, Jitsi promuovere gli altri prodotti LogMeln dichiara di conservarle sui suoi server fino a utili a soddisfarle; i) fornire quando non vengono caricate sul cloud aggiornamenti sui prodotti, indicato dall'utente (ad esempio Dropbox). comunicazioni commerciali e informazioni di servizio; j) effettuare ricerche e analisi ai fini della Pagina 7 di 10 STUDIO TECNICO LEGALE CORBELLINI È Studio AGI.COM. S.r.l. pianificazione aziendale e dello sviluppo dei prodotti; k) mostrare contenuti attinenti ai loro interessi; |) individuare nuovi clienti potenziali a scopo di marketing I dati personali degli utenti possono essere trasferiti a, e/o risultare accessibili da, i fornitori di servizi affiliati o non affiliati di LogMeln presenti in tutto il mondo, incluso nei Paesi in cui Le “stanze” ove si tengono le “riunioni” operano e in quelli al di fuori dell’UE, nei vengono create al momento che il primo quali il livello di protezione dei dati partecipante si unisce e vengono distrutte potrebbe non essere elevato quanto quando l’ultimo partecipante se ne va. nell'UE. In ogni caso, LogMeln Se qualcuno si unisce di nuovo alla stessa ottempera alle prescrizioni giuridiche stanza, si crea una nuova riunione con lo vigenti e fornisce un livello di protezione stesso nome ma con nessun collegamento dei dati adeguato a prescindere dal I dati non saranno in alcun modo con una riunione “omonima” precedente. Il luogo in cui viene effettuato l’accesso ai oggetto di trasferimento verso Paesi tutto per rendere i meeting più difficili “da dati o verso cui questi vengono trasferiti. terzi extra UE od organizzazioni raggiungere” per chi non conosce gli elementi LogMeln garantisce inoltre che il internazionali né verranno salvati su chiave. In ogni caso bisogna scegliere con Chi può vedere i dati acquisiti ? trattamento dei dati viene eseguito in server ubicati in un paese terzo extra cautela il nome della stanza, per evitare che conformità alla normativa vigente in UE, inoltre non vengono utilizzati in con un nome semplice faccia imbattere materia di protezione dei dati. Per alcun modo processi decisionali l'utente in persone “non gradite”. Per evitare quanto concerne il trasferimento dei automatizzati che riguardano i dati. di scegliere nomi banali che possano dati personali degli utenti al di fuori della permettere l’accesso a chiunque, si giurisdizione applicabile, LogMeln ha suggerisce di avvalersi di nomi casuali per implementato una serie di meccanismi riunioni, difficili da rintracciare. giuridicamente supportati (p.es. le Se si punta a un meeting “blindato”, Jitsi Clausole contrattuali ordinarie) per consiglia di impostare una password — oltre a assicurare un livello di protezione dei un nome — da comunicare a tutti i dati adeguato. partecipanti alla riunione. Attraverso i siti, non si intende raccogliere informazioni personali da o su soggetti minorenni. Qualora ciò accadesse in modo involontario saranno eliminate tali informazioni dagli archivi. L'accesso avviene con password ed è L'accesso avviene con password ed è Sono adottate procedure di possibile prevedere forme potenziate di possibile prevedere forme potenziate di L'accesso avviene tramite link, si suggerisce di identificazione ed autenticazione degli identificazione dal pannello identificazione dal pannello utilizzare nomi complessi utenti ? amministrativo amministrativo Sono presenti robusti processi di L'amministratore scolastico deve creare le utenze necessarie e fornire ai singoli utenti le credenziali di accesso assegnazione agli utenti di credenziali ? È possibile il cambio password È possibile il cambio password Non è prevista alcuna password policy, Le password assegnate sono protette all'accesso oltre che periodico viene all'accesso oltre che periodico viene tuttavia occorre precisare che il servizio è da una “password policies” adeguata ? inoltre gestita la complessità della inoltre gestita la complessità della assimilabile a quello di un “videocitofono” e password password quindi i dati gestiti sono solo gli audiovideo Sono definiti differenti profili di L'amministratore scolastico deve configurare la piattaforma in modo da consentire l’accesso diversificato ai vari utenti in funzione dei autorizzazione da attribuire ai soggetti diritti di accesso riconosciuti ai singoli — in particolare ai docenti deve essere consentito l’accesso esclusivamente ai propri gruppi autorizzati in modo da garantire un classe ed agli allievi deve essere consentito l’accesso esclusivamente alle sessioni in cui la propria classe è coinvolta accesso selettivo ai dati ? LogMeln ha implementato un programma completo dedicato alla protezione e alla riservatezza dei dati Jitsi Meet al momento non supporta una che include adeguate misure di sicurezza crittografia completa end-to-end. | video tecniche e organizzative finalizzate a inviati al server vengono criptati, decriptati proteggere e tutelare le informazioni presso il server e poi di nuovo criptati quando Sono definiti criteri antimalware ed personali, identificabili e/o confidenziali I canali di trasmissione utilizzati sono vengono trasmessi agli altri partecipanti, antivirus che sono attuati in fase di degli utenti. Le operazioni di LogMeln, a sicuri sotto il profilo tecnico ? quindi chiunque controlli il server potrebbe trasferimento dei dati livello di prodotto e/o famiglia di visualizzare le chat. prodotti, sono state valutate da revisori La versione Jitsi “on-site” con il controllo del indipendenti di terze parti in base a flusso protetto e centralizzato sui server controlli e standard di sicurezza scolastici, risolverebbe questo problema riconosciuti, conseguendo certificazioni quali ISO 27001, SOC 2 tipo Il e SOC 3 nonché l'attestato C5 del BSI. Sono adottate soluzioni atte a garantire È implementato un sistema di backup È implementato un sistema di backup No, i dati vengono distrutti subito dopo il la disponibilità dei dati ? dei dati di livello geografico dei dati di livello geografico termine della conferenza l’Istituto scolastico deve adottare mediante l’azione dell’amministratore di sistema, sistemi di protezione perimetrali basati su firewall Sono adottati sistemi di protezione e deve attivare personale competente interno o esterno incaricato della manutenzione periodica dei sistemi informatici che garantisca perimetrale ? il loro aggiornamento Pagina 8 di 10 STUDIO TECNICO LEGALE CORBELLINI n È Studio AGICOM. S.r.l. Sono adottati sistemi di protezione antivirus e antimalware ? I software di base vengono costantemente aggiornati ? Degli accessi e delle operazioni compiute viene tenuta traccia registrando i file di log ? Sono definite le istruzioni da fornire ai soggetti autorizzati al trattamento ? Sono attuate misure di formazione e sensibilizzazione degli utenti ? E’ necessario eseguire la DPIA ? CONCLUSIONI Come è possibile desumere dalla colorazione, principalmente VERDE, dei moduli di analisi, tra di esse ne appaiono molte idonee all’uso (quelle che prevedono tutte le caselle di colore VERDE o, alla peggio solo alcune di colore GIALLO) ed alcune che invece non instaurano un rapporto con la scuola, ma direttamente con la famiglia (quelle con alcune caselle di colore ROSSO) la quale, per poca conoscenza specifica, potrebbe consentire un utilizzo dei dati sproporzionato rispetto allo stretto necessario. Tale condizione si verifica, specificamente, per Zoom, Jitsi e Padlet con però una differenza sostanziale legata al fatto che su Padlet vengono pubblicati contenuti da parte dei docenti che possono filtrare gli stessi fin dall'origine in modo da evitare una esposizione di informazioni personali eccessiva. E’ da dire, per “Zoom” e “Jitsi” che non possono dirsi tecnicamente delle “piattaforme” ma più che altro servizi di collegamento assimilabili, si passi la forzatura a “videocitofoni” e conseguentemente l’unico rischio seppur non trascurabile, è legato ad un eventuale impiego inappropriato dei video che è sconsigliabile salvare. Questo il nostro consiglio: PIATTAFORME ADEGUATE Edmodo Google Suite Microsoft 365 Padlet Go To Meeting (new) Occorre infine rammentare che, come già detto al paragrafo precedente, l'adeguatezza tecnica si ottiene con un mix di precauzioni, alcune delle quali di pertinenza del fornitore del servizio (l'infrastruttura), altre invece di pertinenza degli utilizzatori (password tenute segrete e frequentemente cambiate, conoscenza del regolamento d'Istituto etc.). I DOCUMENTI Venendo agli aspetti più pratici, in funzione della piattaforma scelta dal Suo Istituto, occorrerà provvedere a questi passaggi: - Individuare uno o più soggetti interni o fornitori esterni che svolgano il ruolo di ”amministratore della piattaforma didattica digitale” e fornire loro una lettera di designazione specifica; Pagina 9 di 10 STUDIO TECNICO LEGALE —____________€— CORBELLINI _& Studio AG.I.COM. S.r.l. - Appurare di aver formalizzato il contratto di nomina del gestore della piattaforma didattica digitale a “responsabile del trattamento”, noi ne prevediamo uno standard, ma con ogni probabilità il gestore prescelto ne proporrà una propria; - Fornire agli allievi maggiorenni e alle famiglie/tutori dei minori, l’’informativa integrativa privacy per gli allievi”, completa di regolamento di utilizzo; - Fornire al personale incaricato dell’uso della piattaforma l’’Informativa integrativa privacy per il personale”, completa di regolamento di utilizzo; - Fornireatutti gli utenti (allievi e personale), un depliant sulla D.D.I. volto alla sensibilizzazione circa l'utilizzo delle piattaforme digitali integrate Troverà il materiale al seguente link: http://www.agicomcloud.it/index.php/s/9f2NGYJnO6LzHIt abbia cura di scegliere quello relativo alla piattaforma scelta. Cordiali saluti. ta Protection Officer | ole Pagina 10 di 10