TRATTAMENTO DEI DATI DEGLI ALLIEVI Registro T1 (AMMINISTRAZIONE DEGLI STUDENTI) Sottoregistro A DIDATTICA DIGITALE INTEGRATA REALIZZATA CON COLLABORA DI AXIOS Descrizione In relazione alla Didattica Digitale Integrata (D.D.1.) il trattamento dei dati deve intendersi collegato all'esecuzione di sommaria un compito di interesse pubblico di cui è investito l’Istituto, che viene perseguito attraverso una modalità operativa dell’attività di diversa ma che rientra tra le attività istituzionalmente assegnate all'istituzione scolastica ovvero di didattica trattamento nell’ambito degli ordinamenti scolastici vigenti. ISCRIZIONE DEGLI ALLIEVI GESTIONE ORGANIZZATIVA DELLA LEZIONE E DELLA VALUTAZIONE DEGLI ALLIEVI Finalità del TENUTA DEI DATI INERENTI ALLA FREQUENZA SCOLASTICA ED AL RENDIMENTO DEGLI ALLIEVI trattamento CERTIFICAZIONI ALLIEVI RISPETTO ALLA LORO FREQUENZA ED Al RISULTATI CONSEGUITI ADEMPIMENTI AGLI OBBLIGHI DI LEGGE CONSERVAZIONE SOSTITUTIVA DEI DATI DI PRESENZA E DI RISULTATO Raccolti direttamente presso gli interessati LA TOTALITA’ DEI DATI E' RACCOLTA DIRETTAMENTE PRESSO GLI INTERESSATI Fonte dei dati Raccolti presso terzi MINISTERO E UFFICI SCOLASTICI SUPERIORI RISPETTO A DATI DI NATURA ANAGRAFICA PER FINALITA’ ORGANIZZATIVE Dati comuni (art. 6 GDPR) OBBLIGO SCOLASTICO (Legge 296/2006) CONTRATTO (ISCRIZIONE) Base giuridica Dati particolari (art. 9 GDPR) OBBLIGO SCOLASTICO (Legge 296/2006) CONTRATTO (ISCRIZIONE) Comuni Termine trattamento | DATI RELATIVI ALLA DIDATTICA DIGITALE [omissis] DURATA DI PERMANENZA DELL'ALLIEVO PRESSO DATI ANAGRAFICI DELL'ALLIEVO E DEI SOGGETTI L'ISTITUTO, DOPO DI CHE, AL TERMINE DELL’ULTIMO ESERCENTI LA POTESTA'; Natura dei dati DATI DI PRESENZA E DI RENDIMENTO SCOLASTICO . [omissis] DISTRUZIONE DEI DATI CHE AVVERRÀ oggetto di ENTRO IL TERMINE TECNICO DI 180 (CENTOTTANTA) trattamento GIORNI. Particolari Termine trattamento NESSUNO NESSUNO Giudiziari Termine trattamento NESSUNO NESSUNO Modalità di . I DATI VENGONO TRATTATI IN MODALITA’ ELETTRONICA trattamento dati Categorie di ALLIEVI interessati SOGGETTI ESERCENTI LA POTESTA’ SUGLI ALLIEVI Interni Trattamenti eseguiti RACCOLTA REGISTRAZIONE pe DOCENTI DI CLASSE E DOCENTI DI SOSTEGNO ALLA ORGANIZZAZIONE STRUTTURAZIONE INTERCONNESSIONE CLASSE BLOCCO CONSERVAZIONE PERSONALE INCARICATO DI PRESTAZIONI DI ASSISTENZA COMUNICAZIONE CONSULTAZIONE INFORMATICA ELABORAZIONE DIFFUSIONE CANCELLAZIONE Autorizzati al SELEZIONE DISTRUZIONE ESTRAZIONE trattamento Esterni [omissis] Trattamenti eseguiti REGISTRAZIONE RAFFRONTO ORGANIZZAZIONE UTILIZZO PERSONALE INCARICATO DELL’ASSISTENZA STRUTTURAZIONE INTERCONNESSIONE INFORMATICA CONSERVAZIONE BLOCCO GESTORE DELLA PIATTAFORMA DI DIDATTICA A CONSULTAZIONE COMUNICAZIONE DISTANZA (AXIOS-COLLABORA) ELABORAZIONE DIFFUSIONE SELEZIONE CANCELLAZIONE ESTRAZIONE DISTRUZIONE Dati in formato cartaceo Archiviazione storica dati cartacei Strutture entro le NESSUNO - NESSUNO - - — . . . Dati in formato elettronico Archiviazione storica dati elettronici quali avviene il CLOUD (PIATTAFORMA DIDATTICA A DISTANZA) NESSUNA trattamento dati Software impiegati per il trattamento informatico dei dati in formato elettronico AXIOS-COLLABORA DOCUMENTO DELLE MISURE A TUTELA DEI DATI DELLE PERSONE Possibili destinatari Comunicazioni istituzionali Extra UE | Comunicazioni su base volontaria Extra [omissis] ività di AMMINISTRAZIONE SCOLASTICA NO NESSUNO NO comunicazione Informativa VIENE FORNITA INFORMATIVA [omissis] UATA NESSUNA ATTIVITA’ DI PROFILAZIONE uenza [omissis] IVITA’ SCOLASTICA TRATTAMENTO ANALIZZATO PROBABILITA’ CONSEGUENZE LIVELLO DI RISCHIO (LR ATTIVITA’ DEI DOCENTI Valutazione del . . SVOLTA MEDIANTE POCO PROBABILE LIMITATE rischio PIATTAFORMA DIDATTICA A [2] [3] DISTANZA L'esito della valutazione dei rischi mostra un livello di rischio ELEVATO peri diritti e le libertà delle persone fisiche interessate ? L'attività imenti valutativi, di scoring o di lazione ? L'attività comporta la presa di decisioni automatizzate che producono ificativi effetti giuridici (ammissioni, assunzioni, concessioni etc.) ? L'attività comporta il monitoraggio sistematico di persone fisiche vid ianza ad esem ? L'attività comporta il trattamento di dati particolari, giudiziari o di natura estremamente le (es. opinioni politiche) ? Valutazione della L'attività il trattamento di dati personali su larga scala ? obbligatorietà della L'attività comporta la combinazione o il raffronto di insiemi di dati derivanti DPIA da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal contesto iniziale data) ? L'attività comporta il trattamento di dati relativi a soggetti vulnerabili minori, con iatriche, richiedenti asilo, anziani etc.) ? L'attività comporta utilizzi innovativi o applicazione di nuove soluzioni tecn eo nizzative (riconoscimento facciale ad esem ? L'attività comporta trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento). RISCHIO VULNERABILITÀ’ (Vu) Valutazione del TRATTAMENTO INTRINSECO SI CONSIDERA IL VALORE RISCHIO NORMALIZZATO PEGGIORE ABANO AU) ESS a ATTIVITA’ DEI DOCENTI trattamento a valle SVOLTA MEDIANTE MEDIO BASSO PARZIALMENTE della DPIA PIATTAFORMA DIDATTICA A [6] SDPO STO DISTANZA AXIOS-COLLABORA AL FINE DEL CONTENIMENTO DEL RISCHIO SONO ADOTTATE LE SEGUENTI MISURE DI SICUREZZA TECNICHE ED ORGANIZZATIVE: ADEGUATEZZA MISURA DI SICUREZZA RISCHIO CONTRASTATO Va) Il fornitore e’ stato designato | , Av , Ù na dell . contratto concluso con Axios prevede espressamente la nomina della stessa a ADEGUATO come responsabile del Responsabile del Trattamenti dei dati come definito all'Art. 28 del GDPR. trattamento ? Il fornitore ha la propria sede La sede di Axioc Italia Service SI. ci a tal . . a sede di Axios Italia Service S.r.l. si trova a Roma (Italia). all’interno dell’Unione (Italia) ADEGUATO Europea ? Quali prodotti sono attivati ? La suite dispone di diversi servizi integrati, alcuni sono da considerarsi “principali” ed indispensabili per la didattica mentre altri sono aggiuntivi e l'amministratore della ADEGUATO piattaforma non deve attivarli salvo richiederne espresso consenso agli interessati. Quali sono i dati acquisiti Oltre ai dati essenziali forniti dall'istituto all'atto della creazione delle utenze, l’utilizzo della piattaforma comporta l’acquisizione di informazioni aggiuntive quali: mediante uso della informazioni sul dispositivo (modello, sistema operativo, seriale e numero di telefono piattaforma ? dell'utente). Informazioni di registro, attività svolte, informazioni sugli eventi del dispositivo e indirizzo del protocollo internet (IP) dell'utente; ADEGUATO Informazioni indirette sulla posizione, come determinato da varie tecnologie tra cui indirizzo IP; e altre informazioni come il numero di versione dell'applicazione e cookie o simili utilizzati per raccogliere e memorizzare informazioni su un browser o dispositivo, come la lingua preferita e altre impostazioni. Come vengono utilizzati questi | Le informazioni personali dell'utente vengono utilizzate solo per fornire i servizi principali sopra descritti. Axios si impegna a non pubblicare annunci commerciali né dati acquisiti ? utilizzare le informazioni personali raccolte nell’ambito dei servizi principali per scopi pubblicitari. La piattaforma è integrata in Scuola Digitale ed interagisce ADEGUATO perfettamente con il Registro Elettronico Axios adottato dall'Istituto, permettendo di visualizzarne il materiale didattico e di importare successivamente le valutazioni assegnate nella correzione dei compiti. DOCUMENTO ELABORATO DAL D.P.0. : Luca Corbellini c/o Studio AG.I.COM. S.r.l. REGISTRO Chi puo’ vedere i dati acquisiti Le informazioni raccolte non vengono condivise senza uno specifico consenso con ? nessuno al di fuori di Axios se non in circostanze limitate: Con gli amministratori interni alla scuola. che hanno accesso alle informazioni archiviate negli account degli utenti di quella scuola o dominio. Per motivi legali. Le informazioni personali possono essere condivise con terzi qualora ciò fosse necessario per soddisfare norme giuridiche o procedimenti legali o richiesta governativa applicabile, o per applicare i termini di servizio (indagini su potenziali ADEGUATO violazioni), o per rilevare, prevenire o affrontare frodi, problemi di sicurezza o tecnici, o ancora proteggere da danni ai diritti, alla proprietà o alla sicurezza, degli utenti o del pubblico come richiesto o consentito dalla legge. | genitori degli utenti di Axios Collabora nelle scuole primarie e secondarie possono accedere alle informazioni personali dei propri figli o richiederne l'eliminazione tramite l'amministratore della scuola. Sono adottate procedure di Sì. Sono disponibili sistemi di autenticazione basati su password complesse identificazione ed Axios consente di definire una serie di parametri che possono rendere sicure le ‘o. . ;> credenziali di accesso ai propri programmi fornite: 1. Verifica o meno del doppio autenticazione degli utenti : accesso 2. Inserimento data generale di scadenza password 3. Numero di gg massimi per la validità del codice di accesso 4. Numero massimo di gg da ultimo accesso per ADEGUATO consentire ancora lo stesso 5. Lunghezza minima del codice di accesso (in questo caso 14) 6. Numero minimo dei caratteri minuscoli 7. Numero minimo dei caratteri maiuscoli 8. Numero minimo dei caratteri numerici 9. Numero minimo dei caratteri speciali Sono presenti robusti processi | Sì. La creazione delle utenze viene eseguita dall'Istituto ad opera del soggetto interno di assegnazione agli utenti di autorizzato dalla scuola all’amministrazione della piattaforma. ADEGUATO credenziali ? Le password assegnate sono Sì, Il sistema permette di imporre che le password siano complesse (almeno 8 protette da una “password caratteri e composte sia da caratteri, minuscoli e maiuscoli, che da numeri) inoltre è eun > possibile imporre una scadenza temporale alla validità della password. Tale scadenza policies” adeguata ? nonché l’impostazione dell’obbligo di utilizzare password complesse è demandato ADEGUATO all'attività del soggetto interno autorizzato dalla scuola all’amministrazione della piattaforma. Axios gestisce lo storico password impedendo di fatto che possa essere riutilizzato un codice di accesso già utilizzato in precedenza Sono definiti differenti profili Sì, All’atto della creazione delle utenze ad opera del soggetto interno autorizzato dalla di autorizzazione da attribuire scuola all’amministrazione della piattaforma, lo stesso si preoccupa di definire delle . . . -° policies di accesso esclusivo ai dati di sua pertinenze. | docenti possono accedere ai soggetti autorizzati in modo esclusivamente ai dati relativi agli allievi delle loro classi, gli allievi possono interagire ADEGUATO da garantire un accesso esclusivamente con i loro compagni di classe. | prodotti Axios consentono, per ogni selettivo ai dati ? utente ed ogni funzionalità, di indicare la tipologia di accesso possibile (CRUD). I canali di trasmissione La trasmissione delle informazioni sensibili viene crittografata utilizzando la utilizzati sono sicuri sotto il tecnologia SSL (Secure Socket Layer). Axios si adopera per mantenere private le fil 9 informazioni dell'utente, tuttavia, non è in grado di garantire la sicurezza. ADEGUATO profilo tecnico : L'accesso o l'utilizzo non autorizzati, i guasti di hardware o software e altri fattori possono compromettere la sicurezza delle informazioni dell’utente Sono adottate soluzioni atte a Il programma Axios prevede un sistema automatico e non presidiato di copie del garantire la disponibilita’ dei proprio DB presente localmente sul server della scuola. Il sistema prevede inoltre > l'invio automatico a tre indirizzi mail e/o a tre numeri di cellulare, di un messaggio dati ? sull’esito dell'esecuzione delle copie. Il sistema di backup Axios prevede anche la possibilità di effettuare un backup non solo della base dati ma anche di una specifica cartella condivisa sul server della scuola stessa e tutte le sue sottocartelle. ADEGUATO Il sistema di backup di Axios effettua il salvataggio della base dati. L'installazione dei programmi è possibile in qualsiasi momento dal sito internet di Axios, così come l'eventuale ripristino del motore di database utilizzato (Sybase ver. 8.0.2.4495) Il backup effettuato da Axios è un file ZIP criptato che può essere ripristinato solo dalla scuola che lo ha generato. Questo consente di rimanere a norma anche con l'utilizzo di Backup Cloud di Axios Sono adottati sistemi di L’Istituto dispone di un firewall posto a monte della rete informatica che garantisce protezione perimetrale ? un adeguato livello di protezione perimetrale. ADEGUATO Sono adottati sistemi di L’Istituto dispone di un software antivirus aggiornato che garantisce un adeguato protezione antivirus e livello di protezione rispetto alla distruzione e perdita dei dati. ADEGUATO antimalware ? I software di base vengono L’Istituto dispone di un programma di assistenza tecnica informatica che comprende costantemente aggiornati ? anche l'aggiornamento dei sistemi operativi. ADEGUATO Degli accessi e delle operazioni | ! prodotti Axios registrano su tabella di log ogni singola operazione effettuata sui dati. compiute viene tenuta traccia La conservazione di tale log dipende dallo spazio presente sul disco del server della ADEGUATO . a . > scuola e dalle impostazioni fornite dalla scuola stessa sulla grandezza massima del file registrando i file di log ? di LOG Sono definite le istruzioni da La Direzione Scolastica prevede la formazione di tutti gli autorizzati al trattamento dei fornire ai soggetti autorizzati | °°! ADEGUATO al trattamento ? DOCUMENTO DELLE MISURE A TUTELA DEI DATI DELLE PERSONE Sono attuate misure di La Direzione Scolastica prevede l'informazione di tutti gli utilizzatori anche mediante la condivisione di un regolamento generale destinato agli allievi ed al personale formazione e sensibilizzazione ADEGUATO utilizzatore della piattaforma. degli utenti ? E’ stato necessario eseguire la Come evidenziato nelle righe precedenti, l'esecuzione della D.P.1.A. non deve intendersi obbligatoria in quanto il trattamento in esame non appare ad elevato DPIA ? rischio e le misure di sicurezza attuate appaiono adeguate, tuttavia è stata volontà del Titolare del trattamento, consigliato in questa direzione dal D.P.O. eseguire comunque tale analisi approfondita. In conseguenza dell'analisi le misure di sicurezza definite dalla piattaforma Axios- ADEGUATO Collabora appaiono ADEGUATE. Si rammenta che le stesse devono essere mantenute tali anche ad opera dell'Istituto Scolastico mediante l'adozione ed il mantenimento delle precauzioni specifiche di pertinenza del Titolare del trattamento che agisce per mezzo del soggetto interno autorizzato dalla scuola all’amministrazione della piattaforma che è stato formalmente individuato.