FONDI ie Lara e rio ine lt re AL ikpuarfirtamta perr la Ptogiarrentone cella Ml STRUTTURALI Firezione Lama gi pai Biarirevti] sa alert i i Mil iciaiista. per ii pabera del fond triste per a e a pi Dai Rc ALT Ph EUROPEI 2014-2020 [omissis] SCUOLA - COMPETENZE È AMBIENTI PER L'APPRENDIMENTO [FSE-FESR nia eo smmmer e II e - ISTITUTO COMPRENSIVO DI SIZIANO Via Pavia, n. 58/60) - 27010 SIZIANO (PV) te, Codice Ministeriale PVIC81500V— C.F. 96049770181 È AN È Telefono 0382/617348 - Tax 0382/679413 i www.icsiziano.it -- e-mail: pric81500v€ istruzione.it PEC: iexiziano@ postecert.it — PVIC$K1S00V @PEC.ISTRUZIONE.IT ISTITUTO COMPRENSIVO DI SIZIANO Prot. 0003083 del 17/10/2022 AI Sig. Fabio Pietrosanti, |-4 (Uscita) con domicilio digitale all’indirizzo Pec: comunicazioni@pec.monitora-pa.it; p.c. AI Direttore Generale Ufficio Scolastico Regione Lombardia Pec: drlo@postacert.istruzione.it ATTI Oggetto: Riscontro a richiesta di accesso civico generalizzato presentato dal sig. Fabio Pietrosanti ai sensi dell’art.5, comma 2 del D.Lgs 14 marzo 2013, n.33 Con riferimento alla Sua richiesta FOIA di Accesso Civico Generalizzato, pervenuta via PEC allo scrivente Istituto in data 19/09/2022 si comunica che : Richiesta 1 — Copia dei contratti in forza del quale la scuola ha utilizzato e utilizzerà per gli A.S. 2020- 21, 2021-22, 2022-23 i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata e registro elettronico Precisazione La definizione di contratto è contenuta nell’art. 1321 del Codice Civile: “// contratto e' l'accordo di due o piu' parti per costituire, regolare o estinguere tra loro un rapporto giuridico patrimoniale.” [omissis] contratto regola quindi rapporti economici tra i sottoscrittori. La richiesta presentata allo scrivente ufficio appare troppo onerosa coinvolgendo servizi erogati anche da altri enti pubblici e amministrazioni con cui la scuola interagisce. La richiesta copre un periodo di tre anni scolastici, con la conseguenza di apparire esorbitante rispetto allo scopo e rischiando di cagionare una paralisi all'attività scolastica . Servizi di posta elettronica L'Istituto usufruisce in concessione di una casella di posta elettronica ministeriale e di una casella di posta certificata PEC ministeriale. Le software house fornitrici dei servizi di posta (Microsoft e Aruba) sono scelte a livello ministeriale e la relativa contrattualizzazione è stata gestita dal Ministero competente. Pertanto questo istituto non può accogliere la sua richiesta in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in disponibilità della scuola. Il Documento non è presente agli atti di questa Istituzione. Piattaforma DaD/DDI Le piattaforme DaD/DDI utilizzate dall’Istituto sono concesse agli Istituti Scolastici di ogni grado con una licenza di utilizzo gratuita. Per questo motivo non esiste un contratto economico sottoscritto tra le parti. Il rapporto tra le parti è regolato dai Termini di condizioni e utilizzo della piattaforma, che l’Istituto ha dovuto sottoscrivere prima dell'attivazione del servizio. | termini di utilizzo sono pubblici e sono reperibili sui siti web delle piattaforme in questione: - Google for Workspace: https://workspace.google.com/terms/education_terms.html - Microsoft 365: https://www.microsoft.com/en/microsoft-365/business/terms-and-conditions - Weschool: https://www.weschool.com/termini-e-condizioni/ - https://wp-assets.weschool.com/wp-content/uploads/2021/09/10100756/WeSchool- Contratto-Scuole-V3-30092020-1.pdf Il Documento non è presente agli atti di questa Istituzione Registro Elettronico e Segreteria Digitale | contratti sottoscritti tra lo scrivente Istituto e le software house che forniscono i servizi di Registro Elettronico e Segreteria Digitale sono pubblicati nell'apposita sezione di Amministrazione Trasparente, raggiungibile dal sito istituzionale, ed al link: https://trasparenza- pa.net/?codcli=SC25545&node=59667&opc=1450965 , in osservanza del D.LGS. N. 33/2013. L'istituto non può quindi accogliere la richiesta, in quanto trattasi di documenti già disponibili pubblicamente. Richiesta 2 — DPIA effettuata dall’istituto nell’ambito dell’utilizzo di un servizio online di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti per piattaforma DDI per gli A.S. 2020-21 e 2021-22 La DPIA effettuata dall'istituto nell’ambito dell'utilizzo di un servizio online di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti è contenuta nel Documento delle Misure a Tutela dei Dati delle Persone e si allega (Doc_1) Le DPIA dei fornitori di piattaforme DDI sono comunque disponibili sui siti web delle piattaforme in questione, ma non presenti agli atti di questa Istituzione. - Microsoft: https://learn.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-office365 - Google: https://cloud.google.com/privacy/data-protection-impact-assessment Richiesta 3 — Misure tecniche previste ed adottate per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni 2020/2021, 2021/2022, 2022/2023 L'istituto ha un amministratore di piattaforma a cui ha dato l’incarico di creare le utenze di tutto il personale e tutti gli allievi presso la piattaforma didattica adottata dalla scuola. A tale soggetto sono state fornite istruzioni circa l’attivazione dei soli contenuti minimi necessari al fine del corretto funzionamento della didattica digitale. L'Istituto non fa uso di applicativi aggiuntivi complessi non confacenti ad un ambiente scolastico . L'utilizzo delle piattaforme multimediali si è sempre indirizzato verso l'ottenimento di uno strumento efficace e complementare delle attività di didattica, così come ricordato dalla nota del Garante Italiano in data 26 marzo 2020. La scuola ha attivato una gestione peculiare della piattaforma attivando le sole funzionalità previste e gestendo gli accessi e le abilitazioni tramite la creazione di specifiche OU con specifici permessi. La scuola ha attivato i soli servizi essenziali (Gmail, Classroom) regolati da termini di utilizzo che vincolano Google alla non registrazione e alla non divulgazione. Servizi non essenziali possono essere attivati solo per specifiche OU non collegate agli studenti. Il Documento non è presente agli atti di questa istituzione. Richiesta 4 — DPIA effettuata dall'istituto nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata e registro elettronico per l’A.S. 2022-23 Posta Elettronica Come enunciato nella risposta alla Richiesta 1, le software house sono scelte a livello Ministeriale; la necessità di DPIA è stata quindi esaminata centralmente dal Ministero competente. L’istituto non può quindi accogliere la richiesta, in quanto trattasi di documento prodotto e sottoscritto da soggetto terzo e non in nostra disponibilità. Il Documento non è presente agli atti di questa istituzione. Piattaforma DDI (Messaggistica, videoconferenza, etc) La Didattica a Distanza (DaD) non è più uno strumento previsto dal Ministero competente, come indicato nella Nota 1199 del 28 agosto 2022 nella quale si legge che l’obiettivo è garantire la frequenza scolastica in presenza, limitando al massimo l’impatto delle misure di contenimento dell'epidemia. E’ pertanto un errore richiedere una DPIA su un servizio (la DaD) non più attivabile. L'Istituto ha facoltà di attivare strumenti complementari alle attività didattiche (DDI): la valutazione di impatto sulla protezione dei dati (DPIA) per questa tipologia di trattamento è regolata dall’art. 35 comma 3 del Regolamento UE 679/2016 GDPR. La DPIA è obbligatoria in casi specifici e normati, tra i quali non ricadono i trattamenti di dati in ambito scolastico : gli istituti scolastici infatti non effettuano trattamenti automatizzati (punto a), né su larga scala (punto b) né sistematici (punto c). Anche il Garante italiano per la Privacy con il provvedimento n. 64 del 26 marzo 2020 (doc. web n. 9300784) ha dichiarato che non è prevista la DPIA per questa tipologia di trattamento: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).” La DPIA effettuata dall'istituto nell’ambito dell'utilizzo di un servizio online di videoconferenza o di una piattaforma che consenta il monitoraggio sistematico degli utenti è contenuta nel Documento delle Misure a Tutela dei Dati delle Persone e si allega (doc 1) Le DPIA dei fornitori di piattaforme DDI sono comunque disponibili sui siti web delle piattaforme in questione. - Microsoft: https://learn.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-office365 - Google: https://cloud.google.com/privacy/data-protection-impact-assessment Il Documento non è presente agli atti di questa istituzione. Registro elettronico L'Istituto scrivente ha recepito all’atto della sottoscrizione del contratto di prestazione di servizio la DPIA redatta dalla software house fornitrice. Le DPIA delle software house fornitrici del servizio sono pubbliche e reperibili nella scheda del servizio SaaS presente nel Marketplace AglD: https://catalogocloud.agid.gov.it/show/all?searchCategory=SaaS Alcune software house hanno reso pubblica una copia della loro DPIA. - ARGO: https://catalogocloud.agid.gov.it/search/results?searchKey=argo&searchType=&searchCateg ories=&searchFilter= Richiesta 5 — Valutazione di impatto sul trasferimento di dati all’estero (TIA) afferente all'eventuale trattamento dei dati in paesi terzi necessario per la fruizione e il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata e registro elettronico per l’A.S. 2022-23 Questa valutazione non è stata eseguita poiché non sussistono i presupposti. Il Documento non è presente agli atti di questa Istituzione Richiesta 6 — Valutazione comparativa ai sensi dell'art.68 del D.Lgs 82/2005 realizzata per provvedere all'acquisizione delle piattaforme di posta elettronica , messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata e registro elettronico per l’A.S. 2022-23 Il Documento non è presente agli atti di questa Istituzione. Il richiedente può presentare istanza di riesame al responsabile della prevenzione della corruzione e della trasparenza link: https://www.miur.gov.it/web/guest/responsabile-della-prevenzione-della- corruzione-e-della-trasparenza . Il responsabile della prevenzione della corruzione e della trasparenza decide con provvedimento motivato entro il termine di venti giorni. Avverso la decisione dell'amministrazione competente o, in caso di richiesta di riesame, avverso quella del responsabile della prevenzione della corruzione e trasparenza, il richiedente può proporre ricorso al Tribunale amministrativo regionale ai sensi dell'articolo 116 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104 Siziano, li 17/10/2022 Il Dirigente Scolastico [omissis] firma autografa omessa ai sensi dell'art. 3 comma 2 del D.Lgs. 39/1993 TRATTAMENTO — DEI DATI DEGLI ALLIEVI Registro TI (AMMINISTRAZIONE DEGLI STUDENTI) Sottoregistro A DIDATTICA DIGITALE INTEGRATA REALIZZATA CON GOOGLE SUITE Descrizione In relazione alla Didattica Digitale Integrata (D.D.I.) il trattamento dei dati deve intendersi collegato all’esecuzione di sommaria un compito di interesse pubblico di cui è investito l’Istituto, che viene perseguito attraverso una modalità operativa dell’attività di diversa ma che rientra tra le attività istituzionalmente assegnate all’istituzione scolastica ovvero di didattica nell’ambito degli ordinamenti scolastici vigenti. trattamento ISCRIZIONE DEGLI ALLIEVI GESTIONE ORGANIZZATIVA DELLA LEZIONE E DELLA VALUTAZIONE DEGLI ALLIEVI Finalità del TENUTA DEI DATI INERENTI ALLA FREQUENZA SCOLASTICA ED AL RENDIMENTO DEGLI ALLIEVI trattamento CERTIFICAZIONI ALLIEVI RISPETTO ALLA LORO FREQUENZA ED AI RISULTATI CONSEGUITI ADEMPIMENTI AGLI OBBLIGHI DI LEGGE CONSERVAZIONE SOSTITUTIVA DEI DATI DI PRESENZA E DI RISULTATO Raccolti direttamente presso gli interessati LA TOTALITA” DEI DATI E’ RACCOLTA DIRETTAMENTE PRESSO GLI INTERESSATI Fonte dei dati Raccolti presso terzi MINISTERO E UFFICI SCOLASTICI SUPERIORI RISPETTO A DATI DI NATURA ANAGRAFICA PER FINALITA’ ORGANIZZATIVE Dati comuni (art. 6 GDPR) OBBLIGO SCOLASTICO (Legge 296/2006) CONTRATTO (ISCRIZIONE) Base giuridica Dati particolari (art. 9 GDPR) OBBLIGO SCOLASTICO (Legge 296/2006) CONTRATTO (ISCRIZIONE) Comuni Termine trattamento IDATI RELATIVI ALLA DIDATTICA DIGITALE INTEGRATA SARANNO CONSERVATI PRESSO IL FORNITORE PER TUTTA DATI ANAGRAFICI DELL’ALLIEVO E DEI LA DURATA DI PERMANENZA DELL’ALLIEVO SOGGETTI PRESSO ESERCENTI LA POTESTA’; L’ISTITUTO, DOPO DI CHE, AL TERMINE Natura dei dati DATI DI PRESENZA E DI RENDIMENTO DELL’ULTIMO trattamento [omissis] DISTRUZIONE DEI DATI CHE [omissis] TERMINE TECNICO DI 180 (CENTOTTANTA) GIORNI. Particolari Termine trattamento NESSUNO NESSUNO Giudiziari Termine trattamento NESSUNO NESSUNO Modalità di IDATI VENGONO TRATTATI IN MODALITA’ ELETTRONICA trattamento dati Categorie di ALLIEVI SOGGETTI ESERCENTI LA POTESTA’ SUGLI ALLIEVI interessati Interni Trattamenti eseguiti RACCOLTA RAFFRONTO REGISTRAZIONE UTILIZZO DOCENTI DI CLASSE E DOCENTI DI SOSTEGNO ORGANIZZAZIONE INTERCONNESSIONE ALLA STRUTTURAZIONE BLOCCO Autorizzati al CLASSE CONSERVAZIONE COMUNICAZIONE trattamento PERSONALE INCARICATO DI PRESTAZIONI DI CONSULTAZIONE DIFFUSIONE ASSISTENZA INFORMATICA ELABORAZIONE CANCELLAZIONE SELEZIONE DISTRUZIONE ESTRAZIONE Esterni [omissis] Trattamenti eseguiti DOCUMENTO DELLE MISURE A TUTELA DEI DATI DELLE PERSONE REGISTRAZIONE RAFFRONTO PERSONALE INCARICATO DELL’ASSISTENZA ORGANIZZAZIONE UTILIZZO INFORMATICA STRUTTURAZIONE INTERCONNESSIONE CONSERVAZIONE BLOCCO GESTORE DELLA PIATTAFORMA DI DIDATTICA CONSULTAZIONE COMUNICAZIONE A ELABORAZIONE DIFFUSIONE DISTANZA (GOOGLE) SELEZIONE CANCELLAZIONE ESTRAZIONE DISTRUZIONE Dati in formato cartaceo Archiviazione storica dati cartacei NESSUNO NESSUNO Strutture entro le Dati in formato elettronico Archiviazione storica dati elettronici quali avviene il CLOUD (PIATTAFORMA DIDATTICA A CONSERVATORIA DIGITALE DI GOOGLE SUITE trattamento dati DISTANZA) Software impiegati per il trattamento informatico dei dati in formato elettronico GOOGLE SUITE Possibili destinatari Comunicazioni istituzionali Extra UE | Comunicazioni su base volontaria Extra [omissis] ività di . . AMMINISTRAZIONE SCOLASTICA NO NESSUNO NO comunicazione Informativa VIENE FORNITA INFORMATIVA [omissis] UATA [omissis] TRATTAMENTO AVVIENE CON FREQUENZA [omissis] [omissis] IVITÀ’ SCOLASTICA TRATTAMENTO PROBABILITA” CONSEGUENZE LIVELLO DI RISCHIO (LR) ANALIZZATO (P) (©) [omissis] IVITA’ DEI DOCENTI SVOLTA MEDIANTE POCO rischio PIATTAFORMA DIDATTICA | PROBABILE LIMITATE [3] A [2] DISTANZA L’esito della valutazione dei rischi mostra un livello di rischio ELEVATO per 1 diritti e le libertà delle persone fisiche interessate ? L’attività comporta procedimenti valutativi, di scoring o di profilazione ? L'attività comporta la presa di decisioni automatizzate che producono significativi effetti giuridici (ammissioni, assunzioni, concessioni etc.) ? L'attività comporta il monitoraggio sistematico di persone fisiche (videosorveglianza ad esempio) ? L'attività comporta il trattamento di dati particolari, giudiziari o di natura estremamente personale (es. opinioni politiche) ? Valutazione della L’attività comporta il trattamento di dati personali su larga scala? obbligatorietà della L'attività comporta la combinazione o il raffronto di insiemi di dati derivanti DPIA da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal contesto iniziale (big data) ? L’attività comporta il trattamento di dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani etc.) ? L'attività comporta utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (riconoscimento facciale ad esempio) ? L’attività comporta trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso 1 dati registrati in una centrale rischi per stabilire la concessione di un finanziamento). RISCHIO VULNERABILITA” TRATTAMENTO INTRINSECO | (Vu) RISCHIO NORMALIZZATO Valutazione del (Ri) SI CONSIDERA IL VALORE PEGGIORE rischio su questo ATTIVITA’ DEI DOCENTI trattamento a valle SVOLTA MEDIANTE MEDIO della DPIA PIATTAFORMA DIDATTICA BASSO ADEGUATO A 6] [0,25] DISTANZA GOOGLE SUITE ORGANIZZATIVE: ADEGUATEZZA MISURA DI SICUREZZA RISCHIO CONTRASTATO (Vu) Il fornitore e’ stato designato Google Ireland Ltd prevede che il fornitore acquisisca gli obblighi tipici del come responsabile del Responsabile del Trattamenti dei dati come definito all’ Art. 28 del GDPR. ADEGUATO trattamento ? Il fornitore ha la propria sede Sì la sede di Google Ireland Ltd si c rland ì . e , È Ì la sede di Google Ireland Ltd s1 trova in Irlanda e conseguentemente lo stesso è ADEGUATO al interno dell’Unione Europea soggetto al Regolamento UE 679/2016 Quali prodotti sono attivati ? La suite dispone di diversi servizi integrati, alcuni sono da considerarsi “principali” ed indispensabili per la didattica mentre altri sono aggiuntivi e l'amministratore della ADEGUATO piattaforma non deve attivarli salvo richiederne espresso consenso agli interessati. Quali sono i dati acquisiti Oltre ai dati essenziali forniti dall’istituto all’atto della creazione delle utenze, A ANTE SEA l’utilizzo della piattaforma comporta l’acquisizione di informazioni aggiuntive quali: p informazioni sul dispositivo (modello, sistema operativo, seriale e numero di telefono i dell'utente). Informazioni di registro, attività svolte, informazioni sugli eventi del dispositivo e indirizzo del protocollo internet (IP) dell'utente; ADEGUATO Informazioni indirette sulla posizione, come determinato da varie tecnologie tra cui indirizzo IP; e altre informazioni come il numero di versione dell'applicazione e cookie o simili utilizzati per raccogliere e memorizzare informazioni su un browser o dispositivo, come la lingua preferita e altre impostazioni. Come vengono utilizzati questi Le informazioni personali dell'utente vengono utilizzate solo per fornire i servizi . a ‘ncipali descritti. le sii bbli . sali né dati acquisiti ? principali sopra descritti. Google si impegna a non pubblicare annunci commerciali né ADEGUATO utilizzare le informazioni personali raccolte nell’ambito dei servizi principali per scopi pubblicitari. Chi puo” vedere i dati acquisiti | Le informazioni raccolte non vengono condivise senza uno specifico consenso con 9 nessuno al di fuori di Google de non in circostanze limitate: ADEGUATO Con gli amministratori interni alla scuola di G Suite for Education. Che hanno accesso alle informazioni archiviate negli account Google degli utenti di quella scuola o dominio. Per lavorazioni esterne. Anche Google talvolta fornisce informazioni personali a suoi affiliati o ad altre aziende o persone fidate affinché le elaborino per in nome e per conto di Google, sulla base di istruzioni e in conformità con l’informativa sulla privacy. Per motivi legali. Le informazioni personali possono essere condivise con terzi qualora ciò fosse necessario per soddisfare norme giuridiche o procedimenti legali o richiesta governativa applicabile, o per applicare i termini di servizio (indagini su potenziali violazioni), o per rilevare, prevenire o affrontare frodi, problemi di sicurezza o tecnici, o ancora proteggere da danni ai diritti, alla proprietà o alla sicurezza di Google, degli utenti o del pubblico come richiesto o consentito dalla legge. I genitori degli utenti di G Suite for Education nelle scuole primarie e secondarie possono accedere alle informazioni personali dei propri figli o richiederne l'eliminazione tramite l'amministratore della scuola. Se un genitore desidera interrompere qualsiasi ulteriore raccolta o utilizzo delle informazioni del proprio figlio, può richiedere che l'amministratore utilizzi i controlli del servizio a sua disposizione per limitare l'accesso dell’allievo a funzioni o servizi o eliminare completamente l'account. Sono adottate procedure di Sì. Sono disponibili sistemi di autenticazione basati su password complesse e anche su identificazione ed password a due fattori ADEGUATO autenticazione degli utenti ? Sono presenti robusti processi Sì. La creazione delle utenze viene eseguita dall’Istituto ad opera del soggetto interno di assegnazione agli utenti di autorizzato dalla scuola all’amministrazione della piattaforma. ADEGUATO credenziali ? Le password assegnate sono Sì, Il sistema permette di imporre che le password siano complesse (almeno 8 caratteri protette da una “ passwor: d e composte sia da caratteri, minuscoli e maiuscoli, che da numeri) inoltre è possibile 0 imporre una scadenza temporale alla validità della password. Tale scadenza nonché policies” adeguata ? l'impostazione dell’obbligo di utilizzare password complesse è demandato all’attività ADEGUATO del soggetto interno autorizzato dalla scuola all’amministrazione della piattaforma. Sono definiti differenti profili di Sì, All’atto della creazione delle utenze ad opera del soggetto interno autorizzato dalla scuola all’amministrazione della piattaforma, lo stesso si preoccupa di definire delle autorizzazione da attribuire ai policies di accesso esclusivo ai dati di sua pertinenze. I docenti possono accedere soggetti autorizzati in modo da esclusivamente ai dati relativi agli allievi delle loro classi, gli allievi possono interagire ADEGUATO garantire un accesso selettivo ai | esclusivamente con i loro compagni di classe. dati ? I canali di trasmissione E’ in uso il protocollo TLS (Transport Layer Security) che consente di criptare e li oe co recapitare i messaggi di posta in modo sicuro, sia per il traffico in entrata che per quello . . in uscita, consentendo così di prevenire l'intercettazione dei messaggi durante il profilo tecnico ? passaggio fra server di posta. Il rapporto Crittografia mostra il numero di messaggi criptati mediante TLS nel dominio. Google si avvale di diverse misure di sicurezza volte a garantire l'autenticità, l'integrità e la privacy dei dati in transito. Google crittografa e autentica tutti i dati in transito su uno o più livelli di rete quando i dati si spostano all'esterno dei confini fisici non controllati da Google o per conto di Google. I dati in transito all'interno di un confine fisico controllato da Google o per conto di Google sono generalmente autenticati, ma non necessariamente crittografati. A seconda della connessione effettuata, Google applica le misure di protezione predefinite ai dati in transito. Ad esempio, proteggiamo le comunicazioni tra l'utente e ADEGUATO Google Front End (GFE) utilizzando TLS. I clienti di Google Cloud con requisiti aggiuntivi per la crittografia dei dati trasmessi su WAN possono scegliere di implementare ulteriori misure di protezione per i dati trasferiti da un utente a un'applicazione o da una macchina virtuale all'altra. Queste misure di protezione comprendono tunnel IPSec, S/MIME di Gmail, certificati SSL gestiti e Istio. Google collabora attivamente con il settore per contribuire a mettere la crittografia dei dati in transito a disposizione di tutti, ovunque. Abbiamo diversi progetti open source che incoraggiano l'uso della crittografia dei dati in transito e la sicurezza dei dati su Internet in generale, tra cui Certificate Transparency, le API di Chrome e SMTP sicuro. Sono adottate soluzioni atte a G Suite presenta solo funzionalità limitate per il ripristino dei dati di G Suite perduti, garantire la disponibilita’ dei distrutti o danneggiati e non dispone né delle funzionalità né dell'affidabilità delle ‘9 soluzioni di backup con le quali molte attività proteggono le proprie applicazioni dati ‘ critiche. E’ da dire tuttavia che i dati custoditi su G Suite sono da intendersi come dati ADEGUATO principalmente didattici, pertanto pur trattandosi di una voce in cui la piattaforma non eccelle, la protezione garantita può dirsi adeguata se rapportata al tipo di dato trattato. Sono adottati sistemi di L’Istituto dispone di un firewall posto a monte della rete informatica che garantisce un protezione perimetrale ? adeguato livello di protezione perimetrale. ADEGUATO Sono adottati sistemi di L’Istituto dispone di un software antivirus aggiornato che garantisce un adeguato protezione antivirus e livello di protezione rispetto alla distruzione e perdita dei dati. ADEGUATO antimalware ? I software di base vengono L’Istituto dispone di un programma di assistenza tecnica informatica che comprende costantemente aggiornati ? anche l’aggiornamento dei sistemi operativi. ADEGUATO Degli accessi e delle operazioni | È in uso un sistema di registrazione e back up dei file di log riferiti alle utenze compiute viene tenuta traccia amministrative implementato dall Amministratore di Sistema. Ifile di log di G Suite ADEGUATO . : file di loc? sono a disposizione del soggetto interno autorizzato dalla scuola all’amministrazione registrando i file di log ° della piattaforma. Sono definite le istruzioni da La Direzione Scolastica prevede la formazione di tutti gli autorizzati al trattamento dei fornire ai soggetti autorizzati | ©! ADEGUATO al trattamento ? Sono attuate misure di La Direzione Scolastica prevede l’informazione di tutti gli utilizzatori anche mediante A la condivisione di un regolamento generale destinato agli allievi ed al personale ADEGUATO utilizzatore della piattaforma. degli utenti ? DOCUMENTO DELLE MISURE A TUTELA DEI DATI DELLE PERSONE E° stato necessario eseguire la Come evidenziato nelle righe precedenti, l’esecuzione della D.P.LA. non deve intendersi obbligatoria in quanto il trattamento in esame non appare ad elevato rischio e DPIA ? le misure di sicurezza attuate appaiono adeguate, tuttavia è stata volontà del Titolare del trattamento, consigliato in questa direzione dal D.P.O. eseguire comunque tale analisi approfondita. In conseguenza dell’analisi le misure di sicurezza definite dalla piattaforma Google ADEGUATO Suite for Education appaiono ADEGUATE. Si rammenta che le stesse devono essere mantenute tali anche ad opera dell’Istituto Scolastico mediante l’adozione ed il mantenimento delle precauzioni specifiche di pertinenza del Titolare del trattamento che agisce per mezzo del soggetto interno autorizzato dalla scuola all’amministrazione della piattaforma che è stato formalmente individuato.