ISTITUTO TECNICO INDUSTRIALE STATALE "E. MATTEI" Via Martiri di Cefalonia, 46 20097 SAN DONATO MILANESE (MI) DOCUMENTO delle MISURE a T TUTELAGdEei D DATI delle P_ PERSONE REDATTO Al SENSI E PER GLI EFFETTI DEGLI ARTT. 24 COMMA 1,30 E 35 DEL REGOLAMENTO DELL'UNIONE EUROPEA 2016/679 CONTIENE: - REGISTRO DELLE ATTIVITA' DI TRATTAMENTO (art. 30 G.D.P.R.) - VALUTAZIONE D'IMPATTO (D.P.I.A.) (Art. 35 G.D.P.R.) Data di elaborazione del documento 09/12/2021 MODELLO REV. 1-2021 Redatto a cura e negli uffici di : STUDIO AG.I.COM. S.R.L. UNIPERSONALE STUDIO TECNICO LEGALE Via XXV Aprile, 12 - 20070 SAN ZENONE AL LAMBRO (MI) Tel. 0290601324 Fax 02 700527180 _—— cei % Studio AGI.COM. S.r.l E-mail info@agicomstudio.it.www.agicomstudio.it DOCUMENTO DELLE MISURE A TUTELA DEI DATI DELLE PERSONE TRATTAMENTO DEI DATI DEGLI ALLIEVI Registro T1 (AMMINISTRAZIONE DEGLI STUDENTI) Sottoregistro A DIDATTICA DIGITALE INTEGRATA REALIZZATA CON GOOGLE SUITE Descrizione In relazione alla Didattica Digitale Integrata (D.D.I.) il trattamento dei dati deve intendersi collegato all'esecuzione di sommaria un compito di interesse pubblico di cui è investito l’Istituto, che viene perseguito attraverso una modalità operativa dell’attività di diversa ma che rientra tra le attività istituzionalmente assegnate all'istituzione scolastica ovvero di didattica trattamento nell’ambito degli ordinamenti scolastici vigenti. ISCRIZIONE DEGLI ALLIEVI GESTIONE ORGANIZZATIVA DELLA LEZIONE E DELLA VALUTAZIONE DEGLI ALLIEVI Finalità del TENUTA DEI DATI INERENTI ALLA FREQUENZA SCOLASTICA ED AL RENDIMENTO DEGLI ALLIEVI trattamento CERTIFICAZIONI ALLIEVI RISPETTO ALLA LORO FREQUENZA ED AI RISULTATI CONSEGUITI ADEMPIMENTI AGLI OBBLIGHI DI LEGGE CONSERVAZIONE SOSTITUTIVA DEI DATI DI PRESENZA E DI RISULTATO Raccolti direttamente presso gli interessati LA TOTALITA' DEI DATI E' RACCOLTA DIRETTAMENTE PRESSO GLI INTERESSATI Fonte dei dati Raccolti presso terzi MINISTERO E UFFICI SCOLASTICI SUPERIORI RISPETTO A DATI DI NATURA ANAGRAFICA PER FINALITA" ORGANIZZATIVE Dati comuni (art. 6 GDPR) OBBLIGO SCOLASTICO (Legge 296/2006) Basa ziuridica CONTRATTO (ISCRIZIONE) E Dati particolari (art. 9 GDPR) OBBLIGO SCOLASTICO (Legge 296/2006) CONTRATTO (ISCRIZIONE) Comuni Termine trattamento { DATI RELATIVI ALLA DIDATTICA DIGITALE INTEGRATA SARANNO CONSERVATI PRESSO IL FORNITORE PER TUTTA , LA DURATA DI PERMANENZA DELL’ALLIEVO PRESSO ali APE OTTE ALLIEVO SREGSIESEI L'ISTITUTO, DOPO DI CHE, AL TERMINE DELL'ULTIMO sa } ANNO SCOLASTICO DI FREQUENZA, L'ISTITUTO ORDINERÀ Natura dei dati DAT DI PRESENZA EDI RENDINENTO:SCOLASTICO : AL FORNITORE LA DISTRUZIONE DEI DATI CHE AVVERRÀ oggetto di ENTRO IL TERMINE TECNICO DI 180 (CENTOTTANTA) trattamento GIORNI. Particolari Termine trattamento NESSUNO NESSUNO Giudiziari Termine trattamento NESSUNO NESSUNO Modalità di I DATI VENGONO TRATTATI IN MODALITA’ ELETTRONICA trattamento dati Categorie di ALLIEVI interessati SOGGETTI ESERCENTI LA POTESTA’ SUGLI ALLIEVI Interni Trattamenti eseguiti RACCOLTA REGISTRAZIONE RAFERONTO UTILIZZO DOCENTI DI CLASSE E DOCENTI DI SOSTEGNO ALLA ORGANIZZAZIONE INTERCONNESSIONE STRUTTURAZIONE CASE CONSERVAZIONE BLOCCO : PERSONALE INCARICATO DI PRESTAZIONI DI ASSISTENZA CONSUITTRIONE COMUNICAZIONE INFORMATICA ELABORAZIONE DIFFUSIONE SELEZIONE CANCELLAZIONE oi a ETRIGIONE DISTRUZIONE PERI Esterni (Responsabili del Trattamento) Trattamenti eseguiti REGISTRAZIONE RAFFRONTO ORGANIZZAZIONE UTILIZZO PERSONALE INCARICATO DELL'ASSISTENZA STRUTTURAZIONE INTERCONNESSIONE INFORMATICA CONSERVAZIONE BLOCCO GESTORE DELLA PIATTAFORMA DI DIDATTICA A CONSULTAZIONE COMUNICAZIONE DISTANZA (GOOGLE) ELABORAZIONE DIFFUSIONE SELEZIONE CANCELLAZIONE ESTRAZIONE DISTRUZIONE Dati in formato cartaceo Archiviazione storica dati cartacei NESSUNO NESSUNO Strutture entro le Dati in formato elettronico Archiviazione storica dati elettronici quali avviene il CLOUD (PIATTAFORMA DIDATTICA A DISTANZA} CONSERVATORIA DIGITALE DI GOOGLE SUITE trattamento dati Software impiegati per il trattamento informatico dei dati in formato elettronico GOOGLE SUITE DOCUMENTO ELABORATO DAL D.P.0. Luca Corbellini c/o Studio AG.I.COM. S.r.l, REGISTRO DOCUMENTO DELLE MISURE A TUTELA DEI DATI DELLE PERSONE Possibili destinatari | Comunicazioni istituzionali Extra UE | Comunicazioni su base volontaria Extra UE di attività di AMMINISTRAZIONE SCOLASTICA NO NESSUNO NO | VIENE FORNITA INFORMATIVA SPECIFICA i NON VIENE ATTUATA NESSUNA ATTIVITA’ DI PROFILAZIONE | IL TRATTAMENTO AVVIENE CON FREQUENZA QUOTIDIANA DURANTE IL PERIODO DI ATTIVITA’ SCOLASTICA | TRATTAMENTO ANALIZZATO | PROBABILITA’ (P) | CONSEGUENZE (C) LIVELLO DI RISCHIO (LR) Walutazione di ATTIVITA’ DEI DOCENTI RIONE del SVOLTA MEDIANTE POCO PROBABILE LIMITATE rischio PIATTAFORMA DIDATTICA A [2] BI DISTANZA L'esito della valutazione dei rischi mostra un livello di rischio ELEVATO peri diritti e le libertà delle persone fisiche interessate ? L'attività comporta procedimenti valutativi, di scoring o di profilazione ? L'attività comporta la presa di decisioni automatizzate che producono significativi effetti giuridici (ammissioni, assunzioni, concessioni etc.) ? L'attività comporta il monitoraggio sistematico di persone fisiche {videosorveglianza ad esempio) ? L'attività comporta il trattamento di dati particolari, giudiziari o di natura estremamente personale (es. opinioni politiche) ? L'attività comporta il trattamento di dati personali su larga scala ? L'attività comporta la combinazione a il raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal contesto iniziale (big data) ? L'attività comporta il trattamento di dati relativi a soggetti vulnerabili {minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani etc.) ? L'attività comporta utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (riconoscimento facciale ad esempio) ? L'attività comporta trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraversoi dati registrati | in una centrale rischi per stabilire la concessione di un finanziamento). _ [omissis] VALUT. AZIONE A FAVORE DELLA OPPORTUNITA’ [omissis] [omissis] DPIA PER QUESTO TRATTAMENTO RISCHIO VULNERABILITÀ” (Vu) TRATTAMENTO INTRINSECO SI CONSIDERA IL VALORE RISCHIO NORMALIZZATO : {Rì) PEGGIORE ATTIVITA’ DEI DOCENTI SVOLTA MEDIANTE MEDIO BASSO ADEGUATO | PIATTAFORMA DIDATTICA A [6] [0,25] DISTANZA GOOGLE SUITE RE DI SICUREZZA TECNICHE ED ORGANIZZATIVE MISURA DI SICUREZZA ; Il fornitore e’ stato designato Il contratto concluso con mene Ireland Ltd prevede che il fornitore acquisisca gli come responsabile «del obblighi tipici del Responsabile del Trattamenti dei dati come definito all’Art. 28 del ADEGUATO trattamento ? IPA, w e ha la pi se Sìì lala sede sede di di Google Google Ireland Irelan Ltd siti si trova inîn Irland Irlanda e conseguentemente t telo lostesso st è inno ell’Unione i ? de soggetto al Regolamento UE 679/2016 AD ELA AT Quali prodotti sono attivati? La suite dispone di diversi servizi integrati, alcuni sono da considerarsi “principali” ed indispensabili per la didattica mentre altri sono aggiuntivi e l'amministratore della ADEGUATO SI bea A piattaforma non deve attivarli salvo richiederne espresso consenso agli interessati. Quali sono i dati acquisiti fa ai dati essenziali forniti dall'istituto altatto della creazione delle utenze, l’utilizzo mediante uso della della piattaforma comporta l'acquisizione di informazioni aggiuntive quali: PA he ? | informazioni sul dispositivo {madello, sistema operativo, seriale e numero di telefono piattaforma dell'utente). Informazioni di registro, attività svolte, informazioni sugli eventi del | dispositivo e indirizzo del protocollo internet (IP) dell'utente; ADEGUATO Informazioni indirette sulla posizione, come determinato da varie tecnologie tra cui indirizzo IP; e altre informazioni come il numero di versione dell'applicazione e | cookie o simili utilizzati per raccogliere e memorizzare informazioni su un browser o dispositivo, come la lingua preferita e altre impostazioni. Come ; vengono utilizzati questi Le informazioni personali dell'utente vengono utilizzate solo per fornire i servizi dati acquisiti ? principali sopra descritti. Google si impegna a non pubblicare annunci commerciali né ADEGUATO utilizzare le informazioni personali raccolte nell'ambito dei servizi principali per scopi ; 0 pubblicitari. Chi puo’ vedere i dati acquisiti | Le informazioni raccolte non vengono condivise senza uno specifico consenso con i ? nessuno al di fuori di Google de nan in circostanze limitate: ADEGUATO O Con gli amministratori interni alla scuola di G Suite for Education. Che hanno accesso alle informazioni archiviate negli account Google degli utenti di quella scuola 0 dominio. Per lavorazioni esterne. Anche Google talvolta fornisce informazioni personali a suoi affiliati o ad altre aziende o persone fidate affinché le elaborino per in nome e per conto di Google, sulla base di istruzioni e in conformità con l'informativa sulla privacy. Per motivi legali. Le informazioni personali possono essere condivise con terzi qualora ciò fosse necessario per soddisfare norme giuridiche o procedimenti legali o richiesta governativa applicabile, o per applicare i termini di servizio (indagini su potenziali violazioni), o per rilevare, prevenire o affrontare frodi, problemi di sicurezza o tecnici, o ancora proteggere da danni ai diritti, alla proprietà o alla sicurezza di Google, degli utenti o del pubblico come richiesto o consentito dalla legge. { genitori degli utenti di G Suite for Education nelle scuole primarie e secondarie possono accedere alle informazioni personali dei propri figli o richiederne l'eliminazione tramite l'amministratore della scuola. Se un genitore desidera interrompere qualsiasi ulteriore raccolta o utilizzo delle informazioni del proprio figlio, può richiedere che l'amministratore utilizzi i controlli del servizio a sua disposizione per limitare l'accesso dell’allievo a funzioni o servizi o eliminare completamente l'account. Sono adottate procedure di Sì. Sono disponibili sistemi di autenticazione basati su password complesse e anche su identificazione ed password a due fattori ADEGUATO autenticazione degli utenti ? Sono presenti robusti processi Sì. La creazione delle utenze viene eseguita dall'Istituto ad opera del soggetto interno di assegnazione agli utenti di autorizzato dalla scuola all'amministrazione della piattaforma. ADEGUATO credenziali ? Le password assegnate sono SÌ, Il sistema permette di imporre che le password siano complesse (almeno 8 caratteri e composte sia da caratteri, minuscoli e maiuscoli, che da numeri) inoltre è protette da una “password possibile imporre una scadenza temporale alla validità della password. Tale scadenza policies” adeguata ? nonché l'impostazione dell'obbligo di utilizzare password complesse è demandato ARBELATI all'attività del soggetto interno autorizzato dalla scuola all’amministrazione della piattaforma. Sono definiti differenti profili SÌ, All’atto della creazione delle utenze ad opera del soggetto interno autorizzato dalla di autorizzazione da attribuire scuola all’amministrazione della piattaforma, lo stesso si preoccupa di definire delle policies di accesso esclusivo ai dati di sua pertinenze. | docenti possono accedere ai soggetti autorizzati in modo esclusivamente ai dati relativi agli allievi delle loro classi, gli allievi possono interagire anni. da garantire un accesso esclusivamente con i loro compagni di classe. selettivo ai dati ? I canali di trasmissione E' in uso il protocollo TLS (Transport Layer Security) che consente di criptare e utilizzati sono sicuri sotto il recapitare messaggi i di posta in modo sicuro, sta per iltraffico in entrata che per n quella în uscita, consentendo così di prevenire l'intercettazione dei messaggi durante profilo tecnico ? il passaggio fra server di posta. Il rapporto Crittografia mostra il numero dî messaggi criptati mediante TLS nel dominio. Google si avvale di diverse misure di sicurezza volte a garantire l'autenticità, l'integrità e la privacy dei dati în transito. Google crittografa e autentica tutti i dati in transito su uno o più livelli di rete quando i dati si spostano all'esterno dei confini fisici non controllati da Google a per conto di Google. | dati în transito all'interno di un confine fisico controllato da Google o per conto di Google sono generalmente autenticati, ma non necessariamente crittografati. A seconda della connessione effettuata, Google applica le misure di protezione ADEGUATO predefinite ai dati in transito. Ad esempio, proteggiamo le comunicazioni tra l'utente e Google Front End (GFE) utilizzando TLS. I clienti di Google Cloud con requisiti aggiuntivi per la crittografia dei dati trasmessi su WAN possono scegliere di implementare ulteriori misure di protezione per i dati trasferiti da un utente a un'applicazione o da una macchina virtuale all'altra. Queste misure di protezione comprendono tunnel IPSec, SMIME di Gmail, certificati SSL gestiti e Istio. Google collabora attivamente con il settore per contribuire a mettere la crittografia dei dati în transito a disposizione di tutti, ovunque. Abbiamo diversi progetti open source che incoraggiano l'uso della crittografia dei dati in transito e la sicurezza dei dati su Internet in generale, tra cui Certificate Transparency, le API di Chrome e SMTP sicura. Sono adottate soluzioni atte a G Suîte presenta solo funzionalità limitate per il ripristino dei dati di G Suite perduti, distrutti o danneggiati e non dispone né delle funzionalità né dell'affidabilità delle garantire la disponibilita’ dei soluzioni di backup con le quali molte attività proteggono le proprie applicazioni dati ? critiche. E' da dire tuttavia che i dati custoditi su G Suite sono da intendersi come dati ADEGUATO principalmente didattici, pertanto pur trattandosi di una voce in cui la piattaforma non eccelle, la protezione garantita può dirsi adeguata se rapportata al tipo di dato trattato. Sono adottati sistemi di L'Istituto dispone di un firewall pasto a monte della rete informatica che garantisce protezione perimetrale ? un adeguato livello di protezione perimetrale. ADEGUATO protezione antivirus e livello di protezione rispetto alla distruzione e perdita dei dati. ADEGUATO antimalware ? | software di base vengono L'Istituto dispone di un programma di assistenza tecnica informatica che comprende a costantemente aggiornati ? anche l'aggiornamento dei sistemi operativi. ADEGUATO Degli accessi e delle operazioni E' în uso un sistema di registrazione e back up dei file di log riferiti alle utenze amministrative implementato dall’Amministratore di Sistema. | file di log di G Suite compiute viene tenuta traccia sono a disposizione del soggetto interno autorizzato dalla scuola all'amministrazione registrandoi file di log _16_ [omissis] uate misure di La Direzione Scolastica prevede l'informazione di tutti gli utilizzatori anche mediante formazione e sensibilizzazione la condivisione di un regolamento generale destinato agli allievi ed al personale ADEGUATO utilizzatore della piattaforma. |degli utenti ? E’ stato necessario eseguire la Come evidenziato nelle righe precedenti, l'esecuzione della D.P.I.A. non deve DPIA ? intendersi obbligatoria in quanto îl trattamento in esame non appare ad elevato rischio e le misure di sicurezza attuate appaiono adeguate, tuttavia è stata volontà del Titolare del trattamento, consigliato in questa direzione dal D.P.0. eseguire comunque tale analisi approfondita. In conseguenza dell’analisi le misure di sicurezza definite dalla piattaforma Google ADEGUATO Suite for Education appaiono ADEGUATE. n Si rammenta che le stesse devono essere mantenute tali anche ad opera dell'Istituto Scolastico mediante l'adozione ed il mantenimento delle precauzioni specifiche di pertinenza del Titolare del trattamento che agisce per mezzo del soggetto interno autorizzato dalla scuola all’amministrazione della piattaforma che è stato formalmente individuato.