STUDIO TECNICO                                                                                                                                                                                                                   LEGALE


                          CORBELLINI
                                                                                                                                                                                                                                                                       ‘
                                                                                                                                                                                                                                                                      È    Studio AGI.COM. S.r.l.




                                                                                                                                                                                                                                                   San Zenone al Lambro (MI), 12 Ottobre 2020

                                                                                                                                                                                                                                                                                                                          Spettabile
                                                                                                                                                                                                                                                                                                                          ISTITUTO DI ISTRUZIONE
                                                                                                       POSTA ELETTRONICA CERTIFICATA




                                                                                                                                                                                                                                                                                                                          c/a TITOLARE DEL TRATTAMENTO
                                                                 IGOMI tud




                                                                                                                                                                                                                                                   OGGETTO          Adozione di piattaforme informatiche volte alla implementazione della Didattica Digitale Integrata
                                                                                                                                                                                                                                                                    (D.D.I.) — Indicazioni del D.P.O. fornite ai sensi dell’art. 39 par.1 lett.a del G.D.P.R.
                                                                 @pec.a




                                                                                                                                                                                                                                                   Egregio Titolare del Trattamento dei Dati

                                                                                                                                                                                                                                                        nell’ambito della funzione consulenziale che spetta per legge al Data Protection Officer, anche sulla base di
                                                                                                                                                                                                                                                   quanto indicato nelle ultime circolari ministeriali in tema, ritengo utile fornire, per mezzo della presente, indicazioni
                                                                                                      Federazione Italiana Responsabili e Addetti alla Sicurezza




                                                                                                                                                                                                                                                   in ordine alla questione in oggetto.
                                                                                                                                                                                                                                                   La complessità del periodo che stiamo vivendo ha imposto, in tutti i settori, un ricorso massiccio a sistemi di
                                                                                                                                                                                                                                                   comunicazione a distanza che possano, almeno parzialmente, sostituire i normali canali di comunicazione frontale
                                                                                                                                                                                                                                                   che siamo abituati ad adottare da sempre.
                                                                                                                                                                                                                                                   Indubbiamente il sempre più elevato standard tecnologico delle comunicazioni telematiche (ADSL, Fibra etc.) ha
                                                                                                                                                                                                                                                   permesso l’utilizzo di strumenti “on-line”, con buoni risultati, al punto da rendere questi graditi al di là delle misure
                                                                                                                                                                       Servizio di Prevenzione e Protezione




                                                                                                                                                                                                                                                   emergenziali prese per contrastare la diffusione della pandemia che stiamo vivendo.

                                                                                                                                                                                                                                                   Come ogni esperienza umana, anche il ricorso a fini didattici, ma non solo, all’utilizzo di strumenti on-line, non è
                                                                                                                                                                                                                                                   esente da problematiche, una fra tutte quella della sicurezza dei dati che vengono condivisi tra docenti, allievi,
                                                                                                                                                                                                                                                   genitori e fornitore dell’infrastruttura, mediante l’impiego delle piattaforme informatiche.
                                            FIRAS-SPP




                                                                                                                                                                                                                                                   Chiariamo subito, le piattaforme didattiche on-line non sono il male assoluto e anche i dati che transitano su di esse
                                                                                                                                                                                                                                                   non sono quasi mai terribilmente delicati (si tratta principalmente di elaborati didattici, voti, immagini, audio e
                                                                                                                                                                                                                                                   video) tuttavia meritano la nostra massima considerazione volta a garantire che, di tali dati, nessuno possa fare un
                                                                                                                                                                                                                                                   uso distorto.

                                                                                                                                                                                                                                                   Ai fini di questa mia analisi, definiamo “uso distorto” dei dati, qualsiasi impiego che non sia strettamente coerente
                                                                                                                                                                                                                                                   con la finalità didattica perseguita dall’uso delle piattaforme didattiche. | dati possono essere usati in modo distorto
                                                                                              info@agicomstudio.it




                                                                                                                                                                                                                                                   da chiunque, tanto dal gestore della piattaforma che, disponendo di migliaia di indirizzi e-mail, nomi e cognomi
                                                                                                                                                                                                                                                   potrebbe decidere di commercializzarli, quanto dal docente che, in assenza di una specifica autorizzazione, dovesse
                                                                                                                                                                                                                                                   trasmettere le foto dei suoi alunni sul proprio profilo social o ancora dal genitore che, per muovere contestazioni
                                       Via XXV Aprile, 12 - 20070 SAN ZENONE AL LAMBRO (MI)




                                                                                                                                                                                                                                                   sulle capacità del docente, decidesse di registrare la lezione e di riprodurla a favore di altri soggetti.
                                                                                                                                                                                                    sociale : 10.000,00 Euro interamente versati




                                                                                                                                                                                                                                                   Naturalmente, compito del Titolare del trattamento di concerto con il D.P.O., è quello di ridurre al minimo la
                                                                                                                                                                                                                                                   possibilità che questo accada.
                                                                                                                                                    05078440962
                                                                                              E-mail




                                                                                                                                                                                                                                                   Ho utilizzato la locuzione “ridurre al minimo” il rischio che una violazione di dati accada e non il verbo “impedire”
Studio AG.I.COM. S.r.l. unipersonale




                                                                                                                                                                                                                                                   perché la verità è che, in ogni ambito, è impossibile    assicurare matematicamente che un evento non si verificherà, è
                                                                                              Fax 02-700527180




                                                                                                                                                                                                                                                   però possibile e dovuto adottare tutte le misure di     sicurezza che la tecnologia e il diritto ci mettono a disposizione
                                                                                                                                                                                                                                                   per scongiurare ogni violazione e per precostituirsi    degli strumenti giuridici di reazione per colpire chi,




                                                                                                                                                                                                                                                   intenzionalmente o per grave negligenza, si trovi a     violare le regole.

                                                                                                                                                                                                                                                   Vediamo quali sono questi strumenti:
                                                                                              Tel. 02-90601324




                                                                                                                                                                                                                                                   STRUMENTI       GIURIDICI DI TUTELA
                                                                                                                                                                                                                                                   La designazione del fornitore del servizio a “Responsabile del trattamento”.
                                                                                                                                                                                                     [omissis] scuola, al suo interno, non ha le competenze né gli strumenti per costruire in proprio una piattaforma
                                                                                                                                                                                                                                                   utile a svolgere la didattica digitale integrata, si rivolge ad un fornitore esterno che svolga, in nome e per conto della
                                                                                                                                                                                                                                                   scuola, tale servizio (accade lo stesso, ad esempio, con il registro elettronico).
                                                                                                             STUDIO TECNICO LEGALE


                                                                                                             CORBELLINI
                                                                                                                                     «7
                                                                                                                                     È    Studio AG.I.COM. S.r.l.



Evidentemente, per consentire al fornitore esterno di fare il proprio lavoro, la scuola dovrà fornirgli tutta una serie di
informazioni (nomi, cognomi, classe, indirizzi e-mail etc.) oltre a permettere che altrettante informazioni possano transitare dai
suoi server (i video delle lezioni, gli elaborati, i voti etc.) giungendo, di fatto, a considerare il fornitore esterno alla stregua di un
dipendente.
Lo strumento giuridico per cui questo possa avvenire legittimamente è il contratto di nomina del fornitore a “Responsabile del
trattamento dei dati”. La sua designazione non solo permette alla scuola di applicare al fornitore, in via del tutto automatica,
una disciplina vincolante prevista dalla legislazione vigente, ma anche di fornirgli istruzioni specifiche rispetto ai comportamenti
da tenere in alcune circostanze delicate (una fra tutte, a fronte di un data breach la notifica al Garante la fa la scuola in quanto
titolare del dato oggetto di attacco o   il fornitore in quanto detentore pro-tempore di tale dato ? e ancora, il fornitore deve avere
titolo oppure no di avvalersi di sub-responsabili ?).
In allegato alla presente troverà un documento di nomina tipo (è’ da dire che i gestori delle piattaforme didattiche digitali, non
sono quasi mai piccoli fornitori di provincia, ma i cosiddetti “giganti del web” come Google e Microsoft, quindi non aspettiamoci
di potergli imporre istruzioni troppo personalizzate, è più probabile che si debba valutare se le soluzioni standard da loro
proposte con loro modulistica siano compatibili o meno con le nostre esigenze).
Il Titolare dovrà poi prestare grande attenzione a che le password amministrative delle piattaforme siano in possesso solo ed
esclusivamente di personale scolastico  fidato, che risponda dell’uso improprio che dovesse farne (non scordiamo che nel mondo
dell'informatica disporre di una password amministrativa significa avere la possibilità di fare qualsiasi cosa all’interno di un
ambiente digitale, sia rispetto all'accesso ai dati, sia rispetto alla possibilità di modificare le configurazioni di sicurezza rendendo
vulnerabile dall'esterno l’ambiente stesso).


E' da annoverare tra gli strumenti giuridici di tutela dei dati, anche la esplicitazione delle finalità del trattamento.
A questo proposito occorre comprendere         bene che, una volta appurato che un soggetto interno (un docente ad esempio) o
esterno alla nostra organizzazione (il fornitore della piattaforma) ha titolo di trattare per motivi professionali un certo dato,
significa accettare il fatto che questi possa disporre di quella informazione (ad esempio una fotografia) e che solo la sua etica e la
sua professionalità non lo inducano a    farne un uso distorto.
Ciò che intendo dire è che non potremo affidarci oltremodo alla tecnologia per impedirgli di usare quella foto in modo               improprio
ma dovremo contare sulla sua etica professionale che lo indurrà ad utilizzarla solamente per le finalità che gli sono consentite.
Ecco perché esplicitare chiaramente le finalità del trattamento è il modo migliore per fornire al nostro dipendente, studente o
fornitore, l'istruzione principale e cioè: “i dati di cui disponi li puoi utilizzare esclusivamente per raggiungere le finalità che ti sono
state comunicate e non per altro”. Naturalmente poi il contratto di nomina a responsabile del trattamento che include istruzioni
specifiche, il contenuto dell’autorizzazione fornita al dipendente ed il regolamento di istituto fatto sottoscrivere all'allievo
(famiglia) fanno il resto ossia, ammantano tali regole di “giuridicità” e consentono di applicare sanzioni qualora le stesse
dovessero essere disattese.
Quando i destinatari non sono utenti informatici evoluti (bambini, famiglie e dipendenti con modeste nozioni etc.) oltre ad un
regolamento ed a formali atti di incarico, è bene che le istruzioni per trattare i dati vengano fornite mediante veri e propri corsi
di formazione o quantomeno azioni di sensibilizzazione (depliant informativi etc.).



STRUMENTI TECNICI DI TUTELA
Il Titolare del trattamento, prima di optare per una piattaforma o per l’altra, deve assicurarsi con l’aiuto del D.P.O. che questa
abbia adottato misure di sicurezza tecnico-informatiche adeguate.
Ad esempio, un ambiente che lasciasse le comunicazioni telematiche in chiaro e non adottasse tecniche di cifratura delle stesse
o che non permettesse l'adozione di password di accesso o ancora che non garantisse il backup ed il rapido ripristino dei dati,
sarebbe un sistema inadeguato e quindi non dovrebbe essere scelto.
Alle prossime pagine troverà una scheda tecnica di raffronto riferita alle principali piattaforme e precisamente:

    e    Argo                                                        Aggiornamento al 12 Ottobre 2020:
    e    Edmodo
    e    Google suite for education                                       e    Continuity
    e    Mastercom                                                        e    GoTo Meeting
    e    Microsoft 365                                                    e   jJitsi
    e    NettunoPA
    e    Padlet
    e    \Weschool
    e    Zoom




                                                                                                                    Pagina 2 di 10
                                                                                                                                                     STUDIO TECNICO LEGALE


                                                                                                                                                      CORBELLINI
                                                                                                                                                                                    # Studio AGI.COM. S.r.l.


      MISURA DI SICUREZZA                Google Suite                 Microsoft 365                           WesSchool                       Edmodo                           Argo
                                       Il contratto include
                                                                     Il contratto include                                                Il contratto include
Il fornitore è stato designato             clausole che                                                     Il gestore viene                                             Il gestore viene
                                                                   clausole assimilabili a                                             clausole assimilabili a
come Responsabile del                      identificano                                                 nominato Responsabile                                       nominato Responsabile
                                                                  quelle che identificano il                                          quelle che identificano il
Trattamento ?                       indirettamente Google                                                  del Trattamento                                              del Trattamento
                                         come RDT.                              R.D.T.                                                           R.D.T.

                                                                             Stati Uniti
                                                                   Microsoft partecipa al
                                                                    programma “privacy
                                                                     shield” tra Unione
                                                                    Europea e Stati  [omissis] fornitore ha la propria sede                                     quando si verificano                                                Edmodo    partecipa al
                                              Irlanda              trasferimenti di dati in                       Italia                programma “privacy                      Italia
all’interno dell’Unione Europea ?
                                                                       paesi non sicuri,                                                 shield” tra Unione
                                                                      Microsoft utilizza                                                Europea e Stati Uniti
                                                                   contratti per garantire
                                                                  che i diritti dell'utente e
                                                                   le protezioni viaggino
                                                                        insieme ai dati
                                       l’Istituto scolastico  per il tramite dell’amministratore scolastico  deve attivare esclusivamente i contenuti m n imi necessari al fine del
Quali prodotti sono attivati ?
                                                                                            corretto funzionamento della didattica digitale
                                       Nome, Cognome e                                                                                   Nome, Cognome e
                                     Classe e sono inseriti                                                                            Classe e sono inseriti
                                      dall’amministratore                                                                               dall’amministratore
                                    della piattaforma in fase                                                                         della piattaforma in fase
                                       di creazione delle                                                                                di creazione delle
                                                                     Nome, Cognome e                      Nome, Cognome e                                              Nome, Cognome e
                                      credenziali. Altri dati                                                                           credenziali. Altri dati
                                                                   Classe e sono         inseriti        Classe e sono     inseriti                                  Classe e sono inseriti
                                    relativi alla navigazione                                                                         relativi alla navigazione
Quali sono i dati                                                   dall’amministratore                  dall’amministratore                                          dall’amministratore
                                     (IP, posizione, sistema                                                                           (IP, posizione, sistema
acquisiti dalla piattaforma ?                                     della piattaforma in fase            della piattaforma in fase                                    della piattaforma in fase
                                    operativo, cookies etc.)                                                                          operativo, cookies etc.)
                                                                     di creazione delle                    di creazione delle                                          di creazione delle
                                       vengono acquisiti                                                                                 vengono acquisiti
                                                                             credenziali                      credenziali                                                    credenziali
                                    durante la navigazione e                                                                          durante la navigazione e
                                        viene richiesto il                                                                                viene richiesto il
                                      consenso all'allievo                                                                              consenso all'allievo
                                     (famiglia se minore di                                                                            (famiglia se minore di
                                             anni 14)                                                                                          anni 14)
                                                                  Microsoft non raccoglie
                                                                    o utilizza i dati degli
                                                                                                        Weschool non esercita          AI solo fine di fornire i
                                                                   studenti oltre quanto
                                                                                                           alcuna autorità o             servizi principali di
                                                                     necessario a scopi
                                                                                                        controllo nei confronti       Edmodo che si impegna
                                                                    formativi o scolastici
                                                                                                          della scuola e degli            a non pubblicare
                                                                             autorizzati;
                                                                                                               utenti che             annunci commerciali ne’
                                     AI solo fine di fornire i     non vende o noleggia i
                                                                                                       utilizzano la piattaforma      pubblicitari ai minori di      AI solo fine di fornire i
                                       servizi principali di         dati;     non utilizza o
                                                                                                               e richiede             anni 13. Edmodo delega        servizi principali di Argo
                                       Google suite che si        condivide i dati a scopi
                                                                                                        l'utilizzo di credenziali        ad altre aziende e          che si impegna a non
                                         impegna a non                   pubblicitari o
                                                                                                       crittografiche di accesso      persone l'esecuzione di         pubblicare annunci
                                       pubblicare annunci          commerciali simili, ad
                                                                                                          alla piattaforma da         determinate attività, di          commerciali ne’
                                        commerciali ne’            esempio per l’invio di
                                                                                                         parte degli utenti, ma       conseguenza necessita               pubblicitari e
                                          pubblicitari e          materiale pubblicitario;
                                                                                                                 spetta               di condividere con loro          richiede che i suoi
Come vengono utilizzati questi         richiede che i suoi           non crea il profilo
                                                                                                       esclusivamente a questi             le informazioni            fornitori, con i quali
dati acquisiti ?                      fornitori, con i quali          personale di uno
                                                                                                        ultimi il compito di non           dell'utente per          vengono condivisi i dati
                                    vengono condivisi i dati        studente se non per
                                                                                                        comunicare le proprie           garantire allo stesso       personali degli studenti
                                    personali degli studenti           sostenere scopi
                                                                                                         credenziali a soggetti       l'erogazione di prodotti        per fornire il servizio
                                      per fornire   il servizio     formativi o scolastici
                                                                                                              terzi e non               o della piattaforma.            formativo siano
                                         formativo siano                 autorizzati e
                                                                                                        effettua alcuna verifica            Condivide le                     obbligati a
                                            obbligati a              richiede che i suoi
                                                                                                            preliminare dei            Informazioni personali        implementare questi
                                     implementare questi            fornitori, con i quali
                                                                                                         contenuti, che risulta       con tali agenti secondo            stessi impegni
                                          stessi impegni          vengono condivisi i dati
                                                                                                            oggettivamente             necessità, vincolandoli
                                                                  personali degli studenti
                                                                                                             impossibile in           al rispetto degli obblighi
                                                                    per fornire     il servizio
                                                                                                         considerazione della         contrattuali in materia
                                                                       formativo siano
                                                                                                        quantità di contenuti            di protezione delle
                                                                        obbligati a                            o        .       .           .         qu
                                                                   .                   .                pubblicati dagli utenti             informazioni.
                                                                   implementare questi
                                                                        stessi impegni
                                            Solamente                        Solamente                        Solamente                       Solamente                      Solamente
                                       l'amministratore, il         l'amministratore, il                  l'amministratore, il          l'amministratore, il          l'amministratore, il
                                      personale dotato di           personale dotato di                   personale dotato di           personale dotato di           personale dotato di
Chi può vedere i dati acquisiti ?
                                    poteri idonei (docenti) e     poteri idonei (docenti) e            poteri idonei (docenti) e      poteri idonei (docenti) e     poteri idonei (docenti) e
                                           Google per il               Microsoft per il                     Weschool per il                 Edmodo per il                    Argo per il
                                         funzionamento                 funzionamento                        funzionamento                  funzionamento                funzionamento



                                                                                                                                                               Pagina 3 di 10
                                                                                                                                                        STUDIO TECNICO LEGALE


                                                                                                                                                         CORBELLINI
                                                                                                                                                       __—                WA ipiIil—lj]l.    Ut studio AGI.COM. S.r.l.


                                                                                                                                              Le Informazioni
                                                                                                                                          personali relative
                                                                                                                                        all’account Edmodo
                                                                                                                                          sono protette da
                                                                                                                                        password, nonché da
                                                                                                                                        varie altre misure di
                                                                                                                                          sicurezza fisiche,
                                                                         L'accesso avviene con                                            amministrative           e
                                       L'accesso avviene con
                                                                        password ed è possibile                                          tecniche. Edmodo
Sono adottate procedure di            password ed è possibile
                                                                            prevedere forme              L'accesso avviene con                utilizza, altresì,               L'accesso avviene con
identificazione ed                           optare per
                                                                              potenziate di             password crittografiche         procedure di codifica                password crittografiche
autenticazione degli utenti ?            identificazione a 2
                                                                           identificazione dal                                           che consentono di
                                                fattori
                                                                        pannello amministrativo                                         evitare attacchi sulla
                                                                                                                                         Piattaforma da web
                                                                                                                                           browser e script
                                                                                                                                        dannosi, elaborando
                                                                                                                                       tutte le azioni tramite
                                                                                                                                        diversi controlli delle
                                                                                                                                              verifiche delle
                                                                                                                                              autorizzazioni.

Sono presenti robusti processi di
assegnazione agli utenti di                           L'amministratore scolastico  deve creare le utenze necessarie e fornire ai singoli utenti le credenziali di accesso
credenziali ?
                                        È possibile il cambio             È possibile il cambio           È possibile il cambio         È possibile il cambio                   È possibile il cambio
                                       password all’accesso               password all'accesso            password all’accesso          password all'accesso                   password all'accesso
Le password assegnate sono
                                        oltre che periodico                oltre che periodico             oltre che periodico           oltre che periodico                     oltre che periodico
protette da una “password
                                       viene inoltre gestita la          viene inoltre gestita la        viene inoltre gestita la      viene inoltre gestita la               viene inoltre gestita la
policies” adeguata ?                     complessità della                  complessità della              complessità della              complessità della                       complessità della
                                              password                          password                        password                         password                              password
Sono definiti differenti profili di
autorizzazione da attribuire ai         L'amministratore scolastico  deve configurare la piattaforma in modo da consentire l’accesso diversificato ai vari utenti in funzione dei
soggetti autorizzati in modo da        diritti di accesso riconosciuti ai singoli — in particolare ai docenti deve essere consentito l’accesso esclusivamente ai propri gruppi classe
garantire un accesso selettivo ai                         edagli allievi deve essere consentito l’accesso esclusivamente alle sessioni in cui la propria classe è coinvolta

dati ?
                                                                                                                                        La trasmissione delle
                                                                                                                                        informazioni sensibili
                                                                                                                                         viene crittografata
                                                                                                                                      utilizzando la tecnologia
                                      È in uso il protocollo TLS                                                                         SSL (Secure Socket
                                      che permette di criptare                                                                            Layer). Edmodo si
                                        i messaggi di posta, i                                                                        adopera per mantenere
                                                                           Sono definiti criteri                                                                                 Sono definiti criteri
                                        dati in transito sono                                                                          private le informazioni
I canali di trasmissione utilizzati                                          antimalware ed                                                                                        antimalware ed
                                        autenticati fin dalle                                               I dati circolano in         dell'utente, tuttavia,
sono sicuri sotto il profilo                                               antivirus che sono                                                                                    antivirus che sono
                                      implementazioni di base                                               formato criptato              non è     in grado di
tecnico ?                                                                   attuati in fase di                                                                                     attuati in fase di
                                        che possono essere                                                                             garantire la sicurezza.
                                                                         trasferimento dei dati                                                                                trasferimento dei dati
                                             potenziate                                                                               L'accesso o      l’utilizzo non
                                        dall’amministratore                                                                             autorizzati, i guasti di
                                              scolastico                                                                                hardware o software e
                                                                                                                                        altri fattori possono
                                                                                                                                         compromettere la
                                                                                                                                              sicurezza delle
                                                                                                                                      informazioni dell'utente
Sono adottate soluzioni atte a          È implementato un                  È implementato un               È implementato un             È implementato un                       È implementato un
garantire la disponibilità dei dati    sistema di backup dei              sistema di backup dei          sistema di backup dei         sistema di backup dei                   sistema di backup dei
?                                     dati di livello geografico        dati di livello geografico      dati di livello geografico    dati di livello geografico             dati di livello geografico

                                       l’Istituto scolastico  deve adottare mediante l’azione dell’amministratore di sistema, sistemi di protezione perimetrali basati su firewall e
Sono adottati sistemi di
                                       deve attivare personale competente interno o esterno incaricato della manutenzione periodica dei sistemi informatici che garantisca il
protezione perimetrale ?
                                                                                                          loro aggiornamento
Sono adottati sistemi di
                                       L'Istituto scolastico  deve adottare sistemi di protezione da virus e malware di tipo sofware o hardware e disporre di personale interno o
protezione antivirus e
                                                          esterno incaricato della manutenzione periodica di tali sistemi che garantisca il loro continuo aggiornamento
antimalware     ?
I software di base vengono             L'Istituto scolastico  deve incaricare personale interno o esterno della manutenzione periodica dei sistemi informatici al fine di garantire
costantemente aggiornati ?                                                       l'aggiornamento dei sistemi operativi e di tutti i software di base

Degli accessi e delle operazioni
                                         L'Istituto scolastico , per mezzo dell’amministratore di sistema, deve installare un software di cattura dei log amministrativi al fine di
compiute viene tenuta traccia
                                                                                              tenere traccia degli accessi alla piattaforma
registrando i file di log _21_ [omissis] uate misure di
                                          L'Istituto scolastico  deve fornire, oltre alle istruzioni di cui al punto precedente, anche nozioni informative generali in materia di
formazione e sensibilizzazione
                                                piattaforme digitali ed igiene informatica, al fine di scongiurare un uso improprio della piattaforma didattica digitale
degli utenti ?
                                      Non sussiste l'obbligo di eseguire la “Data Protection Impact Assesment” (D.P.1.A.) poiché la valutazione eseguita per tutte le piattaforme
                                       citate ha restituito un livello di rischio “MEDIO BASSO” (i dettagli verranno inseriti nel “Documento delle Misure a Tutela dei Dati delle
                                      Persone” realizzato dal nostro studio e riferito all'anno scolastico  in corso) inoltre, con riferimento ai 9 criteri introdotti dalle linee guida
                                        del gruppo “Articolo 29”, è soddisfatto solamente uno di essi e specificamente quello relativo al trattamento di dati riferiti a soggetti
E’ necessario eseguire la DPIA ?
                                        vulnerabili (minori). Tuttavia il D.P.O., su indicazione del Titolare del Trattamento, ha deciso di eseguire comunque la valutazione di
                                         impatto, la quale ha dato un esito favorevole a tutte le piattaforme oggetto di analisi restituendo un livello di rischio normalizzato
                                          “BASSO”. Occorre tuttavia specificare che, il D.P.O., al fine di eseguire l’analisi, ha considerato che tutte le misure di sicurezza di
                                                                          pertinenza dell'Istituto scolastico , siano implementate in modo adeguato.




          MISURA DI SICUREZZA                          Mastercom                                    Zoom                               Padlet                                Nettuno         PA



                                                Il gestore viene nominato                                                                                             Il gestore viene nominato
Il fornitore è stato designato come
                                                     Responsabile del                                                                                                      Responsabile del
Responsabile del Trattamento ?
                                                       Trattamento                                                                                                           Trattamento



                                                                                                  Stati Uniti
                                                                                     Zoom     Video Communication,
                                                                                      Inc. partecipa e ha certificato
                                                                                         la sua conformità con il
                                                                                                Privacy Shield
                                                                                         Framework UE-USA e il                       Stati Uniti
                                                                                      Privacy Shield Svizzera-USA.         Wallwisher, Inc. DBA Padlet
                                                                                            Zoom si impegna a               partecipa e ha certificato la
Il fornitore ha la propria sede
                                                            Italia                        sottoporre tutti i dati          sua conformità con il Privacy                          Italia
all’interno dell’Unione Europea ?
                                                                                                  personali                Shield Framework UE-USA e         il
                                                                                        ricevuti dai paesi membri          Privacy Shield Svizzera-USA.
                                                                                       dell'UE, dalla Svizzera e dal
                                                                                          Regno Unito, facendo
                                                                                      affidamento sui quadri dello
                                                                                         scudo per la privacy, ai
                                                                                          principi applicabili del
                                                                                                   quadro.
                                               l’Istituto scolastico  per il trami te dell’amministratore scolastico  deve attivare esclusivamente i contenuti minimi necessari al fine
Quali prodotti sono attivati ?
                                                                                              del corretto funzionamento della didattica digitale
                                                                                       Nome, Cognome e Classe e             | dati inseriti vengono scelti
                                               Nome, Cognome e Classe e                                                                                              Nome, Cognome e Classe e
                                                                                        sono inseriti dall’allievo o          dal docente che potrà
                                                       sono inseriti                                                                                                         sono inseriti
                                                                                        dalla famiglia nel caso di          preferire dati anonimi per
                                                dall’amministratore della                                                                                             dall’amministratore della
                                                                                             minori di anni 14.               evitare ogni criticità. In
                                                  piattaforma in fase di                                                                                                piattaforma in fase di
                                                                                            Altri dati relativi alla           mancanza,    in caso di
Quali sono i dati                              creazione delle credenziali.                                                                                          creazione delle credenziali.
                                                                                       navigazione (IP, posizione,             pubblicazione di dati
acquisiti dalla piattaforma ?                      Altri dati relativi alla                                                                                              Altri dati relativi alla
                                                                                       sistema operativo, cookies           personali, assume un ruolo
                                               navigazione (IP, posizione,                                                                                           navigazione (IP, posizione,
                                                                                         etc.) vengono acquisiti            fondamentale la politica di
                                               sistema operativo, cookies                                                                                            sistema operativo, cookies
                                                                                      durante la navigazione per i         gestione delle pubblicazioni
                                                 etc.) vengono acquisiti                                                                                               etc.) vengono acquisiti
                                                                                            quali viene chiesto il         che dovrà essere gestita dal
                                                 durante la navigazione                                                                                                durante la navigazione
                                                                                          consenso alla famiglia                  docente stesso
                                                                                      AI solo fine di fornire i servizi
                                                                                      principali, potrebbero anche
                                                                                     utilizzare fornitori di servizi di
                                              AI solo fine di fornire i servizi                                                                                     AI solo fine di fornire i servizi
                                                                                     terze parti per fornire i servizi
                                               principali che si impegna a                                                                                           principali che si impegna a
                                                                                             e per farlo costoro
                                                 non pubblicare annunci                                                                                                non pubblicare annunci
                                                                                      potrebbero avere un accesso             I dati acquisiti vengono
                                              commerciali ne’ pubblicitari e                                                                                        commerciali ne’ pubblicitari e
                                                                                        limitato alle informazioni             pubblicati su un’area
                                               richiede che i suoi fornitori,                                                                                        richiede che i suoi fornitori,
Come vengono utilizzati questi dati                                                      personali nel processo.             accessibile a chi sia stato
                                             con i quali vengono condivisi i                                                                                        con i quali vengono condivisi i
acquisiti ?                                                                                  E proibito su base                autorizzato da parte
                                               dati personali degli studenti                                                                                         dati personali degli studenti
                                                                                       contrattuale ai fornitori di             dell’amministratore
                                                  per fornire il servizio                                                                                               per fornire    il servizio
                                                                                             servizi di vendere            scolastico  della piattaforma
                                               formativo siano obbligati a                                                                                           formativo siano obbligati a
                                                                                       informazioni personali che
                                               implementare questi stessi                                                                                            implementare questi stessi
                                                                                     ricevono ed è     loro richiesto di
                                                          impegni                                                                                                               impegni
                                                                                       utilizzare tali informazioni
                                                                                        solo per eseguire i servizi
                                                                                                   richiesti.

                                                                                                                                                                  Pagina 5 di 10
                                                                                                                                               STUDIO TECNICO LEGALE


                                                                                                                                               CORBELLINI
                                                                                                                                                                              È   Studio AGI.COM. S.r.l.


                                            Solamente l'amministratore,           Solamente l'amministratore,         Solamente l'amministratore,           Solamente l'amministratore,
                                            il personale dotato di poteri         il personale dotato di poteri       il personale dotato di poteri         il personale dotato di poteri
Chi può vedere i dati acquisiti ?
                                            idonei (docenti) e Mastercom         idonei (docenti) e Zoom per il       idonei (docenti) e Padlet per       idonei (docenti) e Nettuno PA
                                                per il funzionamento                     funzionamento                      il funzionamento                    per il funzionamento
                                                L'accesso avviene con                L'accesso avviene con                L'accesso avviene con                L'accesso avviene con
Sono adottate procedure di                     password ed è possibile              password ed è possibile              password ed è possibile              password ed è possibile
identificazione ed autenticazione degli     prevedere forme potenziate            prevedere forme potenziate          prevedere forme potenziate            prevedere forme potenziate
utenti ?                                        di identificazione dal                di identificazione dal              di identificazione dal                di identificazione dal
                                              pannello amministrativo               pannello amministrativo             pannello amministrativo               pannello amministrativo
Sono presenti robusti processi di
                                                       L'amministratore scolastico  deve creare le utenze necessarie e fornire ai singoli utenti le credenziali di accesso
assegnazione agli utenti di credenziali ?
                                                 È possibile il cambio                È possibile il cambio                È possibile il cambio                È possibile il cambio
                                             password all'accesso oltre            password all'accesso oltre          password all'accesso oltre            password all’accesso oltre
Le password assegnate sono protette
                                             che periodico viene inoltre           che periodico viene inoltre         che periodico viene inoltre           che periodico viene inoltre
da una “password policies” adeguata ?
                                             gestita la complessità della          gestita la complessità della        gestita la complessità della          gestita la complessità della
                                                      password                              password                            password                               password
Sono definiti differenti profili di
                                            L'amministratore scolastico  deve configurare la piattaforma in modo da consentire l’accesso diversificato ai vari utenti in funzione
autorizzazione da attribuire ai soggetti
                                              dei diritti di accesso riconosciuti ai singoli — in particolare ai docenti deve essere consentito l’accesso esclusivamente ai propri
autorizzati in modo da garantire un
                                                gruppi classe ed agli allievi deve essere consentito l’accesso esclusivamente alle sessioni in cui la propria classe è coinvolta
accesso selettivo ai dati ?
                                                 Sono definiti criteri                 Sono definiti criteri               Sono definiti criteri                 Sono definiti criteri
I canali di trasmissione utilizzati sono    antimalware ed antivirus che          antimalware ed antivirus che        antimalware ed antivirus che          antimalware ed antivirus che
sicuri sotto il profilo tecnico ?               sono attuati in fase di               sono attuati in fase di             sono attuati in fase di              sono attuati in fase di
                                                trasferimento dei dati               trasferimento dei dati              trasferimento dei dati                trasferimento dei dati
                                            È implementato un sistema di         È implementato un sistema di        È implementato un sistema di         È implementato un sistema di
Sono adottate soluzioni atte a garantire
                                              backup dei dati di livello            backup dei dati di livello          backup dei dati di livello            backup dei dati di livello
la disponibilità dei dati ?
                                                      geografico                           geografico                           geografico                           geografico
                                              l’Istituto scolastico  deve adottare mediante l’azione dell’amministratore di sistema, sistemi di protezione perimetrali basati su
Sono adottati sistemi di protezione
                                             firewall e deve attivare personale competente interno o esterno incaricato della manutenzione periodica dei sistemi informatici
perimetrale ?
                                                                                                che garantisca il loro aggiornamento
Sono adottati sistemi di protezione           L'Istituto scolastico  deve adottare sistemi di protezione da virus e malware di tipo sofware o hardware e disporre di personale
antivirus e antimalware       ?                   interno o esterno incaricato della manutenzione periodica di tali sistemi che garantisca il loro continuo aggiornamento

I software di base vengono                     L'Istituto scolastico  deve incaricare personale interno o esterno della manutenzione periodica dei sistemi informatici al fine di
costantemente aggiornati ?                                                  garantire l'aggiornamento dei sistemi operativi e di tutti i software di base

Degli accessi e delle operazioni
                                            L'Istituto scolastico , per mezzo dell’amministratore di sistema, deve installare un software di cattura dei log amministrativi al fine
compiute viene tenuta traccia
                                                                                           di tenere traccia degli accessi alla piattaforma
registrando i file di log ?
Sono definite le istruzioni da fornire ai    L'Istituto scolastico  deve fornire ai singoli operatori (docenti e alunni) istruzioni specifiche, anche sotto forma di regolamento, al
soggetti autorizzati al trattamento ?                                        fine di scongiurare un uso improprio della piattaforma didattica digitale

Sono attuate misure di formazione e          L'Istituto scolastico  deve fornire, oltre alle istruzioni di cui al punto precedente, anche nozioni informative generali in materia di
sensibilizzazione degli utenti ?                    piattaforme digitali ed igiene informatica, al fine di scongiurare un uso improprio della piattaforma didattica digitale

                                               Non sussiste l'obbligo di eseguire la “Data Protection Impact Assesment” (D.P.1.A.) poiché la valutazione eseguita per tutte le
                                              piattaforme citate ha restituito un livello di rischio “MEDIO BASSO” (i dettagli verranno inseriti nel “Documento delle Misure a
                                            Tutela dei Dati delle Persone” realizzato dal nostro studio e riferito all'anno scolastico  in corso) inoltre, con riferimento ai 9 criteri
                                                introdotti dalle linee guida del gruppo “Articolo 29”, è soddisfatto solamente uno di essi e specificamente quello relativo al
E’ necessario eseguire la DPIA ?
                                            trattamento di dati riferiti a soggetti vulnerabili (minori). Tuttavia il D.P.O., su indicazione del Titolare del Trattamento, ha deciso di
                                                eseguire comunque la valutazione di impatto, la quale ha dato un esito favorevole a tutte le piattaforme oggetto di analisi
                                              restituendo un livello di rischio normalizzato “BASSO”. Occorre tuttavia specificare che, il D.P.O., al fine di eseguire l’analisi, ha
                                                 considerato che tutte le misure di sicurezza di pertinenza dell'Istituto scolastico , siano implementate in modo adeguato.




                                                                                                                                                      Pagina 6 di 10
                                                                                                                                       STUDIO TECNICO LEGALE


                                                                                                                                       CORBELLINI
                                                                                                                                                                       # Studio AGI.COM. S.r.l.



          MISURA DI SICUREZZA              Continuity (open-source)                        Go To Meeting (LogMeln)                                 Jitsi (open-source)
Il fornitore è stato designato come   Il gestore viene nominato Responsabile         Il contratto include clausole assimilabili a
Responsabile del Trattamento ?                     del Trattamento                        quelle che identificano il R.D.T.

Il fornitore ha la propria sede
                                                         Italia                                          Irlanda                                    Stati Uniti, California
all’interno dell’Unione Europea ?
                                       l’Istituto scolastico  per il tramite dell’amministratore scolastico  deve attivare esclusivamente i contenuti minimi necessari al fine del
Quali prodotti sono attivati ?
                                                                                     corretto funzionamento della didattica digitale
                                                                                     Dati di registrazione e degli account dei
                                                                                        clienti, si tratta di dati che gli utenti
                                                                                       forniscono quando creano account,
                                                                                       richiedono supporto, generalmente
                                                                                         includono nome e cognome e un
                                      Nome, Cognome e Classe e sono inseriti         indirizzo valido di posta elettronica. Tali
                                      dall’amministratore della piattaforma in         dati sono necessari per fornire loro i
                                         fase di creazione delle credenziali.           nostri Servizi, gestire e supportare i
                                                                                                                                        Nome e Cognome sono inseriti dall'utente
                                        | sistemi informatici e le procedure          relativi account. La base giuridica per il
                                                                                                                                         stesso all'atto della partecipazione alla
                                      software preposte al funzionamento dei            trattamento di tali dati consiste nel
                                                                                                                                         riunione in modo totalmente volontario.
                                      sito acquisiscono alcuni dati personali la         legittimo interesse a intrattenere
                                                                                                                                              | sistemi informatici preposti al
                                      cui trasmissione è implicita nell'uso dei       rapporti commerciali con gli utenti ed i
                                                                                                                                       funzionamento dei sito acquisiscono alcuni
                                      protocolli di comunicazione di Internet.         loro datori di lavoro nonché nel dare
                                                                                                                                       dati personali la cui trasmissione è implicita
                                          (indirizzi IP, nomi a dominio dei             esecuzione ad obblighi contrattuali
                                                                                                                                        nell'uso dei protocolli di comunicazione di
                                       computer utilizzati dagli utenti che si         Quando gli utenti utilizzano i servizi,
                                                                                                                                                           Internet.
                                      connettono al sito, indirizzi in notazione         forniscono informazioni immesse
                                                                                                                                        (indirizzi IP, nomi a dominio dei computer
                                      URI  [omissis]  delle              volontariamente, tra cui i dati
                                                                                                                                      utilizzati dagli utenti che si connettono al sito,
                                      risorse richieste, l'orario della richiesta,   concernenti le pianificazioni e gli elenchi
                                                                                                                                       indirizzi in notazione URI ( [omissis] metodo utilizzato nel sottoporre la              dei partecipanti, come anche
Quali sono i dati                                                                                                                     Identifier) delle risorse richieste, l'orario della
                                      richiesta al server, la dimensione del file    informazioni acquisite passivamente dal
acquisiti dalla piattaforma ?                                                                                                          richiesta, il metodo utilizzato nel sottoporre
                                      ottenuto in risposta, il codice numerico         sito Internet o Servizio in questione,
                                                                                                                                       la richiesta al server, la dimensione del file
                                      indicante lo stato della risposta data dal     incluso i dati riguardanti la durata delle
                                                                                                                                         ottenuto in risposta, il codice numerico
                                       server (buon fine, errore, ecc.) ed altri        sessioni, le connessioni effettuate,
                                                                                                                                         indicante lo stato della risposta data dal
                                      parametri relativi al sistema operativo e          l’hardware, l’apparecchiatura e i
                                                                                                                                          server (buon fine, errore, ecc.) ed altri
                                       all'ambiente informatico dell'utente.             dispositivi in uso, gli indirizzi IP, la
                                                                                                                                         parametri relativi al sistema operativo e
                                        Questi dati vengono utilizzati al solo       posizione, le impostazioni della lingua, il
                                                                                                                                           all'ambiente informatico dell'utente.
                                      fine di ricavare informazioni statistiche             sistema operativo utilizzato,
                                                                                                                                       Questi dati vengono utilizzati al solo fine di
                                           anonime sull'uso del sito e per            l’identificatore univoco del dispositivo
                                                                                                                                        ricavare informazioni statistiche anonime
                                      controllarne il corretto funzionamento           nonché altri dati diagnostici. Tali dati
                                                                                                                                      sull'uso del sito e per controllarne il corretto
                                      e vengono cancellati immediatamente             sono necessari per fornire, prestare e
                                                                                                                                           funzionamento e vengono cancellati
                                       dopo l'elaborazione. | dati potrebbero        migliorare i Servizi. Vengono poi raccolte
                                                                                                                                          immediatamente dopo l'elaborazione.
                                       essere utilizzati per l'accertamento di       informazioni basate sulla posizione degli
                                       responsabilità in caso di ipotetici reati         utenti ai fini della fornitura, della
                                            informatici ai danni del sito.            prestazione e del supporto del Servizio
                                                                                      nonché della prevenzione delle frodi e
                                                                                       del monitoraggio della sicurezza. Gli
                                                                                      utenti possono disattivare in qualsiasi
                                                                                       momento la trasmissione dei dati di
                                                                                                       posizione
                                                                                     Utilizzano i dati raccolti per: a) fornire e
                                                                                                                                         AI solo fine di fornire i servizi principali
                                                                                       prestare i Servizi; b) rispondere e far
                                                                                                                                        AI di là dell'indirizzo IP del partecipante —
                                                                                     fronte alle esigenze dei clienti in merito
                                                                                                                                        ovvero del numero di telefono nel caso di
                                                                                     ai servizi, alla sicurezza e al supporto; c)
                                                                                                                                         collegamento telefonico — qualsiasi altra
                                                                                          rilevare, prevenire o altrimenti
                                                                                                                                          informazione che gli utenti scelgano di
                                                                                     affrontare questioni di natura tecnica o
                                                                                                                                         inserire, come il nome, la foto profilo e
                                                                                       che riguardano frodi, sicurezza o       atti
                                                                                                                                       l'indirizzo e-mail, è puramente opzionale e
                                                                                      illeciti; d) adempiere alle disposizioni di
                                                                                                                                      viene condivisa solo con gli altri partecipanti
                                                                                          legge applicabili e alle richieste
                                      AI solo fine di fornire i servizi principali                                                       alla riunione. Informazioni che vengono
                                                                                        amministrative, proteggere i diritti
                                          che si impegna a non pubblicare                                                                  distrutte, al termine della riunione.
                                                                                          nonché intentare azioni legali o
Come vengono utilizzati questi dati    annunci commerciali ne’ pubblicitari.
                                                                                      difendersi da esse; e) ottemperare ad
acquisiti ?                           La piattaforma non acquisisce cookies di                                                           Stessa sorte tocca agli altri dati, come le
                                                                                       obblighi contrattuali; f) mantenere e
                                       terze parti che contribuiscano all’uso                                                             informazioni contenute nelle chat, o le
                                                                                       migliorare i Servizi; g) restituire dati
                                            dei dati per fini commerciali                                                                 statistiche degli speaker che vengono
                                                                                     analitici o informazioni preziose ai clienti
                                                                                                                                      conservati per tutta la durata della riunione e
                                                                                         e agli utenti; h) valutare esigenze
                                                                                                                                           poi distrutti al termine della stessa.
                                                                                            aziendali per determinare e
                                                                                                                                         Per quanto attiene le registrazioni, Jitsi
                                                                                      promuovere gli altri prodotti LogMeln
                                                                                                                                       dichiara di conservarle sui suoi server fino a
                                                                                            utili a soddisfarle; i) fornire
                                                                                                                                         quando non vengono caricate sul cloud
                                                                                            aggiornamenti sui prodotti,
                                                                                                                                       indicato dall'utente (ad esempio Dropbox).
                                                                                           comunicazioni commerciali e
                                                                                       informazioni di servizio; j) effettuare
                                                                                            ricerche e analisi ai fini della


                                                                                                                                              Pagina 7 di 10
                                                                                                                                             STUDIO TECNICO LEGALE


                                                                                                                                              CORBELLINI
                                                                                                                                                                             È     Studio AGI.COM. S.r.l.


                                                                                          pianificazione aziendale e dello sviluppo
                                                                                             dei prodotti; k) mostrare contenuti
                                                                                          attinenti ai loro interessi; |) individuare
                                                                                              nuovi clienti potenziali a scopo di
                                                                                                            marketing
                                                                                             I dati personali degli utenti possono
                                                                                               essere trasferiti a, e/o risultare
                                                                                          accessibili da, i fornitori di servizi affiliati
                                                                                            o non affiliati di LogMeln presenti in
                                                                                           tutto il mondo, incluso nei Paesi in cui
                                                                                                                                                Le “stanze” ove si tengono le “riunioni”
                                                                                          operano e    in quelli al di fuori dell’UE, nei
                                                                                                                                               vengono create al momento che il primo
                                                                                             quali il livello di protezione dei dati
                                                                                                                                              partecipante si unisce e vengono distrutte
                                                                                            potrebbe non essere elevato quanto
                                                                                                                                                quando l’ultimo partecipante se ne va.
                                                                                                nell'UE. In ogni caso, LogMeln
                                                                                                                                               Se qualcuno si unisce di nuovo alla stessa
                                                                                            ottempera alle prescrizioni giuridiche
                                                                                                                                               stanza, si crea   una nuova   riunione con       lo
                                                                                          vigenti e fornisce un livello di protezione
                                                                                                                                              stesso nome ma con nessun collegamento
                                                                                             dei dati adeguato a prescindere dal
                                               I dati non saranno in alcun modo                                                               con una riunione “omonima” precedente. Il
                                                                                          luogo in cui viene effettuato l’accesso ai
                                             oggetto di trasferimento verso Paesi                                                             tutto per rendere i meeting più difficili “da
                                                                                          dati o verso cui questi vengono trasferiti.
                                                terzi extra UE od organizzazioni                                                             raggiungere” per chi non conosce gli elementi
                                                                                              LogMeln garantisce inoltre che il
                                             internazionali né verranno salvati su                                                            chiave. In ogni caso bisogna scegliere con
Chi può vedere i dati acquisiti ?                                                          trattamento dei dati viene eseguito in
                                             server ubicati in un paese terzo extra                                                          cautela il nome della stanza, per evitare che
                                                                                            conformità alla normativa vigente in
                                              UE, inoltre non vengono utilizzati in                                                            con un nome semplice faccia imbattere
                                                                                              materia di protezione dei dati. Per
                                                alcun modo processi decisionali                                                              l'utente in persone “non gradite”. Per evitare
                                                                                            quanto concerne il trasferimento dei
                                              automatizzati che riguardano i dati.                                                               di scegliere nomi banali che possano
                                                                                          dati personali degli utenti al di fuori della
                                                                                                                                                  permettere l’accesso a chiunque, si
                                                                                            giurisdizione applicabile, LogMeln ha
                                                                                                                                               suggerisce di avvalersi di nomi casuali per
                                                                                           implementato una serie di meccanismi
                                                                                                                                                    riunioni, difficili da rintracciare.
                                                                                             giuridicamente supportati (p.es. le
                                                                                                                                               Se si punta a un meeting “blindato”, Jitsi
                                                                                             Clausole contrattuali ordinarie) per
                                                                                                                                             consiglia di impostare una password — oltre a
                                                                                            assicurare un livello di protezione dei
                                                                                                                                                   un nome — da comunicare a tutti i
                                                                                                         dati adeguato.
                                                                                                                                                       partecipanti alla riunione.
                                                                                               Attraverso i siti, non si intende
                                                                                           raccogliere informazioni personali da o
                                                                                             su soggetti minorenni. Qualora ciò
                                                                                          accadesse in modo involontario saranno
                                                                                           eliminate tali informazioni dagli archivi.
                                             L'accesso avviene con password ed è            L'accesso avviene con password ed è
Sono adottate procedure di
                                            possibile prevedere forme potenziate di       possibile prevedere forme potenziate di            L'accesso avviene tramite link, si suggerisce di
identificazione ed autenticazione degli
                                                  identificazione dal pannello                   identificazione dal pannello                           utilizzare nomi complessi
utenti ?                                                 amministrativo                                  amministrativo
Sono presenti robusti processi di
                                                         L'amministratore scolastico  deve creare le utenze necessarie e fornire ai singoli utenti le credenziali di accesso
assegnazione agli utenti di credenziali ?
                                                È possibile il cambio password                  È possibile il cambio password                  Non è prevista alcuna password policy,
Le password assegnate sono protette          all'accesso oltre che periodico viene          all'accesso oltre che periodico viene              tuttavia occorre precisare che il servizio è
da una “password policies” adeguata ?         inoltre gestita la complessità della            inoltre gestita la complessità della           assimilabile a quello di un “videocitofono” e
                                                            password                                        password                          quindi i dati gestiti sono solo gli audiovideo
Sono definiti differenti profili di
                                            L'amministratore scolastico  deve configurare la piattaforma in modo da consentire l’accesso diversificato ai vari utenti in funzione dei
autorizzazione da attribuire ai soggetti
                                              diritti di accesso riconosciuti ai singoli — in particolare ai docenti deve essere consentito l’accesso esclusivamente ai propri gruppi
autorizzati in modo da garantire un
                                                      classe ed agli allievi deve essere consentito l’accesso esclusivamente alle sessioni in cui la propria classe è coinvolta
accesso selettivo ai dati ?
                                                                                                LogMeln ha implementato un
                                                                                             programma completo dedicato alla
                                                                                            protezione e alla riservatezza dei dati
                                                                                                                                               Jitsi Meet al momento non supporta una
                                                                                          che include adeguate misure di sicurezza
                                                                                                                                               crittografia completa end-to-end. | video
                                                                                            tecniche e organizzative finalizzate a
                                                                                                                                              inviati al server vengono criptati, decriptati
                                                                                            proteggere e tutelare le informazioni
                                                                                                                                             presso il server e poi di nuovo criptati quando
                                              Sono definiti criteri antimalware ed        personali, identificabili e/o confidenziali
I canali di trasmissione utilizzati sono                                                                                                       vengono trasmessi agli altri partecipanti,
                                              antivirus che sono attuati in fase di       degli utenti. Le operazioni di LogMeln, a
sicuri sotto il profilo tecnico ?                                                                                                             quindi chiunque controlli il server potrebbe
                                                     trasferimento dei dati                   livello di prodotto e/o famiglia di
                                                                                                                                                           visualizzare le chat.
                                                                                           prodotti, sono state valutate da revisori
                                                                                                                                             La versione Jitsi “on-site” con il controllo del
                                                                                             indipendenti di terze parti in base a
                                                                                                                                               flusso protetto e centralizzato sui server
                                                                                               controlli e standard di sicurezza
                                                                                                                                               scolastici, risolverebbe questo problema
                                                                                           riconosciuti, conseguendo certificazioni
                                                                                            quali ISO 27001, SOC 2 tipo Il e SOC 3
                                                                                                nonché l'attestato C5 del BSI.
Sono adottate soluzioni atte a garantire     È implementato un sistema di backup            È implementato un sistema di backup                No, i dati vengono distrutti subito dopo il
la disponibilità dei dati ?                       dei dati di livello geografico                 dei dati di livello geografico                         termine della conferenza
                                            l’Istituto scolastico  deve adottare mediante l’azione dell’amministratore di sistema, sistemi di protezione perimetrali basati su firewall
Sono adottati sistemi di protezione
                                            e deve attivare personale competente interno o esterno incaricato della manutenzione periodica dei sistemi informatici che garantisca
perimetrale ?
                                                                                                        il loro aggiornamento

                                                                                                                                                     Pagina 8 di 10
                                                                                                           STUDIO TECNICO LEGALE


                                                                                                            CORBELLINI
                                                                                                                   n
                                                                                                                                   È   Studio AGICOM. S.r.l.


 Sono adottati sistemi di protezione
 antivirus e antimalware       ?
 I software di base vengono
 costantemente aggiornati ?
 Degli accessi e delle operazioni
 compiute viene tenuta traccia
 registrando i file di log ?
 Sono definite le istruzioni da fornire ai
 soggetti autorizzati al trattamento ?

 Sono attuate misure di formazione e
 sensibilizzazione degli utenti ?




 E’ necessario eseguire la DPIA ?




CONCLUSIONI
Come è possibile desumere dalla colorazione, principalmente VERDE, dei moduli di analisi, tra di esse ne appaiono molte idonee
all’uso (quelle che prevedono tutte le caselle di colore VERDE o, alla peggio solo alcune di colore GIALLO) ed alcune che invece
non instaurano un rapporto con la scuola, ma direttamente con la famiglia (quelle con alcune caselle di colore ROSSO) la quale,
per poca conoscenza specifica, potrebbe consentire un utilizzo dei dati sproporzionato rispetto allo stretto necessario.
Tale condizione si verifica, specificamente, per Zoom, Jitsi e Padlet con però una differenza sostanziale legata al fatto che su
Padlet vengono pubblicati contenuti da parte dei docenti che possono filtrare gli stessi fin dall'origine in modo da evitare una
esposizione di informazioni personali eccessiva.


E’ da dire, per “Zoom” e “Jitsi” che non possono dirsi tecnicamente delle “piattaforme” ma più che altro servizi di collegamento
assimilabili, si passi la forzatura a “videocitofoni” e conseguentemente l’unico rischio seppur non trascurabile, è legato ad un
eventuale impiego inappropriato dei video che è sconsigliabile salvare.

Questo il nostro consiglio:

                                                           PIATTAFORME
                                                            ADEGUATE


                                                             Edmodo
                                                           Google Suite
                                                          Microsoft 365
                                                              Padlet
                                                      Go To Meeting (new)



Occorre infine rammentare che, come già detto al paragrafo precedente, l'adeguatezza tecnica si ottiene con un mix di
precauzioni, alcune delle quali di pertinenza del fornitore del servizio (l'infrastruttura), altre invece di pertinenza degli utilizzatori
(password tenute segrete e frequentemente cambiate, conoscenza del regolamento d'Istituto etc.).



I DOCUMENTI
Venendo agli aspetti più pratici, in funzione della piattaforma scelta dal Suo Istituto, occorrerà provvedere a questi passaggi:


     -     Individuare uno o più soggetti interni o fornitori esterni che svolgano il ruolo di ”amministratore della piattaforma
           didattica digitale” e fornire loro una lettera di designazione specifica;

                                                                                                                  Pagina 9 di 10
                                                                                                              STUDIO TECNICO LEGALE —____________€—


                                                                                                              CORBELLINI
                                                                                                                                    _&    Studio AG.I.COM.   S.r.l.




     -     Appurare di aver formalizzato il contratto di nomina del gestore della piattaforma didattica digitale a “responsabile del
          trattamento”, noi ne prevediamo uno standard, ma con ogni probabilità il gestore prescelto ne proporrà una propria;

     -    Fornire agli allievi maggiorenni e alle famiglie/tutori dei minori, l’’informativa integrativa privacy per gli allievi”,
          completa di regolamento di utilizzo;


     -    Fornire al personale incaricato dell’uso della piattaforma l’’Informativa integrativa privacy per il personale”, completa
          di regolamento di utilizzo;


     -     Fornireatutti gli utenti (allievi e personale), un depliant sulla D.D.I. volto alla sensibilizzazione circa l'utilizzo delle
          piattaforme digitali integrate




Troverà il materiale al seguente link:


    http://www.agicomcloud.it/index.php/s/9f2NGYJnO6LzHIt
abbia cura di scegliere quello relativo alla piattaforma scelta.



Cordiali saluti.




                                                             ta Protection Officer



                                                | ole




                                                                                                                    Pagina 10 di 10