TRATTAMENTO DEI DATI DEGLI ALLIEVI Registro T1 6 (AMMINISTRAZIONE DEGLI STUDENTI) Sottoregistro A DIDATTICA DIGITALE INTEGRATA REALIZZATA CON GOOGLE SUITE Descrizione In relazione alla Didattica Digitale Integrata (D.D.I.) il trattamento dei dati deve intendersi collegato all'esecuzione di sommaria un compito di interesse pubblico di cui è investito l’Istituto, che viene perseguito attraverso una modalità operativa dell’attività di diversa ma che rientra tra le attività istituzionalmente assegnate all'istituzione scolastica ovvero di didattica trattamento nell’ambito degli ordinamenti scolastici vigenti. ISCRIZIONE DEGLI ALLIEVI GESTIONE ORGANIZZATIVA DELLA LEZIONE E DELLA VALUTAZIONE DEGLI ALLIEVI Finalità del TENUTA DEI DATI INERENTI ALLA FREQUENZA SCOLASTICA ED AL RENDIMENTO DEGLI ALLIEVI trattamento CERTIFICAZIONI ALLIEVI RISPETTO ALLA LORO FREQUENZA ED AI RISULTATI CONSEGUITI ADEMPIMENTI AGLI OBBLIGHI DI LEGGE CONSERVAZIONE SOSTITUTIVA DEI DATI DI PRESENZA E DI RISULTATO Raccolti direttamente presso gli interessati LA TOTALITA' DEI DATI E' RACCOLTA DIRETTAMENTE PRESSO GLI INTERESSATI Fonte dei dati Raccolti presso terzi MINISTERO E UFFICI SCOLASTICI SUPERIORI RISPETTO A DATI DI NATURA ANAGRAFICA PER FINALITA’ ORGANIZZATIVE Dati comuni (art. 6 GDPR) OBBLIGO SCOLASTICO (Legge 296/2006) CONTRATTO (ISCRIZIONE) Base giuridica Dati particolari (art. 9 GDPR) OBBLIGO SCOLASTICO (Legge 296/2006) CONTRATTO (ISCRIZIONE) Comuni Termine trattamento I DATI RELATIVI ALLA DIDATTICA DIGITALE [omissis] DURATA DI PERMANENZA DELL’ALLIEVO PRESSO DATI ANAGRAFICI DELL'ALLIEVO E DEI SOGGETTI L'ISTITUTO, DOPO DI CHE, AL TERMINE DELL’ULTIMO ESERCENTI LA POTESTA'; Natura dei dati DATI DI PRESENZA E DI RENDIMENTO SCOLASTICO . [omissis] DISTRUZIONE DEI DATI CHE AVVERRÀ oggetto di ENTRO IL TERMINE TECNICO DI 180 (CENTOTTANTA) trattamento GIORNI. Particolari Termine trattamento NESSUNO NESSUNO Giudiziari Termine trattamento NESSUNO NESSUNO M lità di odalità d . I DATI VENGONO TRATTATI IN MODALITA’ ELETTRONICA trattamento dati Categorie di ALLIEVI interessati SOGGETTI ESERCENTI LA POTESTA’ SUGLI ALLIEVI Interni Trattamenti eseguiti RACCOLTA REGISTRAZIONE RAFFRONTO UTILIZZO DOCENTI DI CLASSE E DOCENTI DI SOSTEGNO ALLA ORGANIZZAZIONE INTERCONNESSIONE STRUTTURAZIONE CLASSE CONSERVAZIONE BLOCCO PERSONALE INCARICATO DI PRESTAZIONI DI ASSISTENZA | CONSULTAZIONE COMUNICAZIONE INFORMATICA ELABORAZIONE DIFFUSIONE . Tal SELEZIONE CANCELLAZIONE PTOTZAtI a ESTRAZIONE DISTRUZIONE rattamento 7 n 7 1 Esterni [omissis] Trattamenti eseguiti REGISTRAZIONE RAFFRONTO ORGANIZZAZIONE UTILIZZO PERSONALE INCARICATO DELL’ASSISTENZA STRUTTURAZIONE INTERCONNESSIONE INFORMATICA CONSERVAZIONE BLOCCO GESTORE DELLA PIATTAFORMA DI DIDATTICA A CONSULTAZIONE COMUNICAZIONE DISTANZA [omissis] ELABORAZIONE DIFFUSIONE SELEZIONE CANCELLAZIONE ESTRAZIONE DISTRUZIONE Dati in formato cartaceo Archiviazione storica dati cartacei NESSUNO NESSUNO Strutture entro le Dati in formato elettronico Archiviazione storica dati elettronici quali avviene il CLOUD (PIATTAFORMA DIDATTICA A DISTANZA) CONSERVATORIA DIGITALE DI GOOGLE SUITE trattamento dati Software impiegati per il trattamento informatico dei dati in formato elettronico GOOGLE SUITE DOCUMENTO DELLE MISURE A TUTELA DEI DATI DELLE PERSONE Possibili destinatari Comunicazioni istituzionali Extra UE | Comunicazioni su base volontaria Extra UE di SRO di AMMINISTRAZIONE SCOLASTICA NO NESSUNO NO comunicazione Informativa VIENE FORNITA INFORMATIVA [omissis] UATA NESSUNA ATTIVITA’ DI PROFILAZIONE [omissis] IVITA’ SCOLASTICA TRATTAMENTO ANALIZZATO PROBABILITA’ (P) | CONSEGUENZE (C) LIVELLO DI RISCHIO (LR) [omissis] IVITA’ DEI DOCENTI ischi SVOLTA MEDIANTE POCO PROBABILE LIMITATE rischio PIATTAFORMA DIDATTICA A [2] [3] DISTANZA L'esito della valutazione dei rischi mostra un livello di rischio ELEVATO peri diritti e le libertà delle persone fisiche interessate ? L'attività comporta procedimenti valutativi, di scoring o di profilazione ? L'attività comporta la presa di decisioni automatizzate che producono significativi effetti giuridici (ammissioni, assunzioni, concessioni etc.) ? L'attività comporta il monitoraggio sistematico di persone fisiche (videosorveglianza ad esempio) ? L'attività comporta il trattamento di dati particolari, giudiziari o di natura estremamente personale (es. opinioni politiche) ? Valutazione della L'attività comporta il trattamento di dati personali su larga scala ? obbligatorietà della L'attività comporta la combinazione o il raffronto di insiemi di dati derivanti DPIA da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal contesto iniziale (big data) ? L'attività comporta il trattamento di dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani etc.) ? L'attività comporta utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (riconoscimento facciale ad esempio) ? L'attività comporta trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento). RISCHIO VULNERABILITA” (Vu) Valutazione del [omissis] VALORE RISCHIO NORMALIZZATO . . (Ri) PEGGIORE rischio su questo I ATTIVITA’ DEI DOCENTI trattamento a valle | svOLTA MEDIANTE MEDIO BASSO ADEGUATO della DPIA PIATTAFORMA DIDATTICA A [6] [0,25] DISTANZA GOOGLE SUITE AL FINE DEL CONTENIMENTO DEL RISCHIO SONO ADOTTATE LE SEGUENTI MISURE DI SICUREZZA TECNICHE ED ORGANIZZATIVE: MISURA DI SICUREZZA [omissis] fornitore e’ stato designato Il contratto concluso con Google Ireland Ltd prevede che il fornitore acquisisca gli come responsabile del obblighi tipici del Responsabile del Trattamenti dei dati come definito all’Art. 28 del ADEGUATO trattamento ? GDPR. Il fornitore ha la propria sede . i i i . all’interno dell’ [omissis] sede di Google Ireland Ltd si trova in Irlanda e conseguentemente lo stesso è ADEGUATO soggetto al Regolamento UE 679/2016 Europea ? Quali prodotti sono attivati ? La suite dispone di diversi servizi integrati, alcuni sono da considerarsi “principali” ed indispensabili per la didattica mentre altri sono aggiuntivi e l'amministratore della ADEGUATO piattaforma non deve attivarli salvo richiederne espresso consenso agli interessati. Quali sono i dati acquisiti Oltre ai dati essenziali forniti dall'istituto all'atto della creazione delle utenze, l'utilizzo mediante uso della della piattaforma comporta l'acquisizione di informazioni aggiuntive quali: . informazioni sul dispositivo (modello, sistema operativo, seriale e numero di telefono piattaforma ? dell'utente). Informazioni di registro, attività svolte, informazioni sugli eventi del dispositivo e indirizzo del protocollo internet (IP) dell'utente; ADEGUATO Informazioni indirette sulla posizione, come determinato da varie tecnologie tra cui indirizzo IP; e altre informazioni come il numero di versione dell'applicazione e cookie o simili utilizzati per raccogliere e memorizzare informazioni su un browser o dispositivo, come la lingua preferita e altre impostazioni. Come vengono utilizzati questi | Le informazioni personali dell'utente vengono utilizzate solo per fornire i servizi dati acquisiti ? principali sopra descritti. Google si impegna a non pubblicare annunci commerciali né ADEGUATO utilizzare le informazioni personali raccolte nell’ambito dei servizi principali per scopi pubblicitari. Chi puo’ vedere i dati acquisiti Le informazioni raccolte non vengono condivise senza uno specifico consenso con 9 nessuno al di fuori di Google de non in circostanze limitate: ADEGUATO DOCUMENTO ELABORATO DAL D.P.0. : Luca Corbellini c/o Studio AG.I.COM, S.r.l. REGISTRO Con gli amministratori interni alla scuola di G Suite for Education. Che hanno accesso alle informazioni archiviate negli account Google degli utenti di quella scuola 0 dominio. Per lavorazioni esterne. Anche Google talvolta fornisce informazioni personali a suoi affiliati o ad altre aziende o persone fidate affinché le elaborino per in nome e per conto di Google, sulla base di istruzioni e in conformità con l'informativa sulla privacy. Per motivi legali. Le informazioni personali possono essere condivise con terzi qualora ciò fosse necessario per soddisfare norme giuridiche o procedimenti legali o richiesta governativa applicabile, o per applicare i termini di servizio (indagini su potenziali violazioni), o per rilevare, prevenire o affrontare frodi, problemi di sicurezza o tecnici, o ancora proteggere da danni ai diritti, alla proprietà o alla sicurezza di Google, degli utenti o del pubblico come richiesto o consentito dalla legge. I genitori degli utenti di G Suite for Education nelle scuole primarie e secondarie possono accedere alle informazioni personali dei propri figli o richiederne l'eliminazione tramite l'amministratore della scuola. Se un genitore desidera interrompere qualsiasi ulteriore raccolta o utilizzo delle informazioni del proprio figlio, può richiedere che l'amministratore utilizzi i controlli del servizio a sua disposizione per limitare l'accesso dell’allievo a funzioni o servizi o eliminare completamente l'account. Sono adottate procedure di Sì. Sono disponibili sistemi di autenticazione basati su password complesse e anche su password a due fattori identificazione ed ADEGUATO autenticazione degli utenti ? Sono presenti robusti processi | Sì. La creazione delle utenze viene eseguita dall'Istituto ad opera del soggetto interno di assegnazione agli utenti di autorizzato dalla scuola all’amministrazione della piattaforma. ADEGUATO credenziali ? Le password assegnate sono Sì, Il sistema permette di imporre che le password siano complesse (almeno 8 protette da una “password caratteri e composte sia da caratteri, minuscoli e maiuscoli, che da numeri) inoltre è rn possibile imporre una scadenza temporale alla validità della password. Tale scadenza policies” adeguata ? nonché l'impostazione dell’obbligo di utilizzare password complesse è demandato ADEGUATO all'attività del soggetto interno autorizzato dalla scuola all'’amministrazione della piattaforma. Sono definiti differenti profili Sì, All'atto della creazione delle utenze ad opera del soggetto interno autorizzato dalla di autorizzazione da attribuire scuola all’amministrazione della piattaforma, lo stesso si preoccupa di definire delle . . . . policies di accesso esclusivo ai dati di sua pertinenze. I docenti possono accedere ai soggetti autorizzati in modo esclusivamente ai dati relativi agli allievi delle loro classi, gli allievi possono interagire ADEGUATO da garantire un accesso esclusivamente con i loro compagni di classe. selettivo ai dati ? I canali di trasmissione E in uso il protocollo TLS (Transport Layer Security) che consente di criptare e utilizzati sono sicuri sotto il recapitare i messaggi di posta in modo sicuro, sia per il traffico in entrata che per . , quello in uscita, consentendo così di prevenire l'intercettazione dei messaggi durante profilo tecnico ? il passaggio fra server di posta. Il rapporto Crittografia mostra il numero di messaggi criptati mediante TLS nel dominio. Google si avvale di diverse misure di sicurezza volte a garantire l'autenticità, l'integrità e la privacy dei dati in transito. Google crittografa e autentica tutti i dati in transito su uno o più livelli di rete quando i dati si spostano all'esterno dei confini fisici non controllati da Google o per conto di Google. | dati in transito all'interno di un confine fisico controllato da Google o per conto di Google sono generalmente autenticati, ma non necessariamente crittografati. A seconda della connessione effettuata, Google applica le misure di protezione ADEGUATO predefinite ai dati in transito. Ad esempio, proteggiamo le comunicazioni tra l'utente e Google Front End (GFE) utilizzando TLS. I clienti di Google Cloud con requisiti aggiuntivi per la crittografia dei dati trasmessi su WAN possono scegliere di implementare ulteriori misure di protezione per i dati trasferiti da un utente a un'applicazione o da una macchina virtuale all'altra. Queste misure di protezione comprendono tunnel IPSec, S/MIME di Gmail, certificati SSL gestiti e Istio. Google collabora attivamente con il settore per contribuire a mettere la crittografia dei dati in transito a disposizione di tutti, ovunque. Abbiamo diversi progetti open source che incoraggiano l'uso della crittografia dei dati in transito e la sicurezza dei dati su Internet in generale, tra cui Certificate Transparency, le API di Chrome e SMTP sicuro. Sono adottate soluzioni atte a G Suite presenta solo funzionalità limitate per il ripristino dei dati di G Suite perduti, garantire la disponibilita’ dei distrutti o danneggiati e non dispone né delle funzionalità né dell'affidabilità delle . soluzioni di backup con le quali molte attività proteggono le proprie applicazioni dati ? critiche. E' da dire tuttavia che i dati custoditi su G Suite sono da intendersi come dati ADEGUATO principalmente didattici, pertanto pur trattandosi di una voce in cui la piattaforma non eccelle, la protezione garantita può dirsi adeguata se rapportata al tipo di dato trattato. Sono adottati sistemi di L’Istituto dispone di un firewall posto a monte della rete informatica che garantisce ADEGUATO un adeguato livello di protezione perimetrale. protezione perimetrale ? DOCUMENTO DELLE MISURE A TUTELA DEI DATI DELLE PERSONE Sono adottati sistemi di L’Istituto dispone di un software antivirus aggiornato che garantisce un adeguato protezione antivirus e livello di protezione rispetto alla distruzione e perdita dei dati. ADEGUATO antimalware ? I software di base vengono L’Istituto dispone di un programma di assistenza tecnica informatica che comprende costantemente aggiornati ? anche l'aggiornamento dei sistemi operativi. ADEGUATO Degli accessi e delle operazioni E in uso un sistema di registrazione e back up dei file di log riferiti alle utenze compiute viene tenuta traccia amministrative implementato dall Amministratore di Sistema. I file di log di G Suite ADEGUATO . e . 9 sono a disposizione del soggetto interno autorizzato dalla scuola all’amministrazione registrando i file di log _18_ [omissis] uate misure di La Direzione Scolastica prevede l'informazione di tutti gli utilizzatori anche mediante formazione e sensibilizzazione la condivisione di un regolamento generale destinato agli allievi ed al personale ADEGUATO degli utenti ? utilizzatore della piattaforma. egli Utenti : E’ stato necessario eseguire la Come evidenziato nelle righe precedenti, l'esecuzione della D.P.I.A. non deve DPIA ? intendersi obbligatoria in quanto il trattamento in esame non appare ad elevato ° rischio e le misure di sicurezza attuate appaiono adeguate, tuttavia è stata volontà del Titolare del trattamento, consigliato in questa direzione dal D.P.O. eseguire comunque tale analisi approfondita. In conseguenza dell'analisi le misure di sicurezza definite dalla piattaforma Google ADEGUATO Suite for Education appaiono ADEGUATE. Si rammenta che le stesse devono essere mantenute tali anche ad opera dell'Istituto Scolastico mediante l'adozione ed il mantenimento delle precauzioni specifiche di pertinenza del Titolare del trattamento che agisce per mezzo del soggetto interno autorizzato dalla scuola all’amministrazione della piattaforma che è stato formalmente individuato. Registro T1 6 (AMMINISTRAZIONE DEGLI STUDENTI) Sottoregistro A DIDATTICA DIGITALE INTEGRATA REALIZZATA CON MICROSOFT 365 Descrizione In relazione alla Didattica Digitale Integrata (D.D.I.) il trattamento dei dati deve intendersi collegato all'esecuzione di sommaria un compito di interesse pubblico di cui è investito l’Istituto, che viene perseguito attraverso una modalità operativa dell’attività di diversa ma che rientra tra le attività istituzionalmente assegnate all'istituzione scolastica ovvero di didattica trattamento nell’ambito degli ordinamenti scolastici vigenti. ISCRIZIONE DEGLI ALLIEVI GESTIONE ORGANIZZATIVA DELLA LEZIONE E DELLA VALUTAZIONE DEGLI ALLIEVI Finalità del TENUTA DEI DATI INERENTI ALLA FREQUENZA SCOLASTICA ED AL RENDIMENTO DEGLI ALLIEVI trattamento CERTIFICAZIONI ALLIEVI RISPETTO ALLA LORO FREQUENZA ED AI RISULTATI CONSEGUITI ADEMPIMENTI AGLI OBBLIGHI DI LEGGE CONSERVAZIONE SOSTITUTIVA DEI DATI DI PRESENZA E DI RISULTATO Raccolti direttamente presso gli interessati LA TOTALITA' DEI DATI E' RACCOLTA DIRETTAMENTE PRESSO GLI INTERESSATI Fonte dei dati Raccolti presso terzi MINISTERO E UFFICI SCOLASTICI SUPERIORI RISPETTO A DATI DI NATURA ANAGRAFICA PER FINALITA’ ORGANIZZATIVE Dati comuni (art. 6 GDPR) OBBLIGO SCOLASTICO (Legge 296/2006) CONTRATTO (ISCRIZIONE) Base giuridica Dati particolari (art. 9 GDPR) OBBLIGO SCOLASTICO (Legge 296/2006) CONTRATTO (ISCRIZIONE) Comuni Termine trattamento I DATI RELATIVI ALLA DIDATTICA DIGITALE [omissis] DURATA DI PERMANENZA DELL’ALLIEVO PRESSO DATI ANAGRAFICI DELL'ALLIEVO E DEI SOGGETTI L'ISTITUTO, DOPO DI CHE, AL TERMINE DELL’ULTIMO ESERCENTI LA POTESTA'; Natura dei dati DATI DI PRESENZA E DI RENDIMENTO SCOLASTICO . [omissis] DISTRUZIONE DEI DATI CHE AVVERRÀ oggetto di ENTRO IL TERMINE TECNICO DI 180 (CENTOTTANTA) trattamento GIORNI. Particolari Termine trattamento NESSUNO NESSUNO Giudiziari Termine trattamento NESSUNO NESSUNO M lità di odalità d . I DATI VENGONO TRATTATI IN MODALITA’ ELETTRONICA trattamento dati Categorie di ALLIEVI interessati SOGGETTI ESERCENTI LA POTESTA’ SUGLI ALLIEVI Interni Trattamenti eseguiti RACCOLTA REGISTRAZIONE RAFFRONTO UTILIZZO DOCENTI DI CLASSE E DOCENTI DI SOSTEGNO ALLA ORGANIZZAZIONE INTERCONNESSIONE STRUTTURAZIONE CLASSE CONSERVAZIONE BLOCCO PERSONALE INCARICATO DI PRESTAZIONI DI ASSISTENZA | CONSULTAZIONE COMUNICAZIONE INFORMATICA ELABORAZIONE DIFFUSIONE . Tal SELEZIONE CANCELLAZIONE PTOTZAtI a ESTRAZIONE DISTRUZIONE rattamento 7 n 7 1 Esterni [omissis] Trattamenti eseguiti REGISTRAZIONE RAFFRONTO ORGANIZZAZIONE UTILIZZO PERSONALE INCARICATO DELL’ASSISTENZA STRUTTURAZIONE INTERCONNESSIONE INFORMATICA CONSERVAZIONE BLOCCO GESTORE DELLA PIATTAFORMA DI DIDATTICA A CONSULTAZIONE COMUNICAZIONE DISTANZA (MICROSOFT) ELABORAZIONE DIFFUSIONE SELEZIONE CANCELLAZIONE ESTRAZIONE DISTRUZIONE Dati in formato cartaceo Archiviazione storica dati cartacei NESSUNO NESSUNO Strutture entro le Dati in formato elettronico Archiviazione storica dati elettronici quali avviene il CLOUD (PIATTAFORMA DIDATTICA A DISTANZA) CONSERVATORIA DIGITALE DI MICROSOFT trattamento dati Software impiegati per il trattamento informatico dei dati in formato elettronico MICROSOFT 365 DOCUMENTO DELLE MISURE A TUTELA DEI DATI DELLE PERSONE Possibili destinatari Comunicazioni istituzionali Extra UE | Comunicazioni su base volontaria Extra UE di SRO di AMMINISTRAZIONE SCOLASTICA NO NESSUNO NO comunicazione Informativa VIENE FORNITA INFORMATIVA [omissis] UATA NESSUNA ATTIVITA’ DI PROFILAZIONE [omissis] IVITA’ SCOLASTICA TRATTAMENTO ANALIZZATO PROBABILITA’ (P) | CONSEGUENZE (C) LIVELLO DI RISCHIO (LR) [omissis] IVITA’ DEI DOCENTI ischi SVOLTA MEDIANTE POCO PROBABILE LIMITATE rischio PIATTAFORMA DIDATTICA A [2] [3] DISTANZA L'esito della valutazione dei rischi mostra un livello di rischio ELEVATO peri diritti e le libertà delle persone fisiche interessate ? L'attività comporta procedimenti valutativi, di scoring o di profilazione ? L'attività comporta la presa di decisioni automatizzate che producono significativi effetti giuridici (ammissioni, assunzioni, concessioni etc.) ? L'attività comporta il monitoraggio sistematico di persone fisiche (videosorveglianza ad esempio) ? L'attività comporta il trattamento di dati particolari, giudiziari o di natura estremamente personale (es. opinioni politiche) ? Valutazione della L'attività comporta il trattamento di dati personali su larga scala ? obbligatorietà della L'attività comporta la combinazione o il raffronto di insiemi di dati derivanti DPIA da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal contesto iniziale (big data) ? L'attività comporta il trattamento di dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani etc.) ? L'attività comporta utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (riconoscimento facciale ad esempio) ? L'attività comporta trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento). RISCHIO VULNERABILITA” (Vu) Valutazione del [omissis] VALORE RISCHIO NORMALIZZATO . . (Ri) PEGGIORE rischio su questo I ATTIVITA’ DEI DOCENTI trattamento a valle | svOLTA MEDIANTE MEDIO BASSO ADEGUATO della DPIA PIATTAFORMA DIDATTICA A [6] [0,25] DISTANZA MICROSOFT 365 AL FINE DEL CONTENIMENTO DEL RISCHIO SONO ADOTTATE LE SEGUENTI MISURE DI SICUREZZA TECNICHE ED ORGANIZZATIVE: MISURA DI SICUREZZA [omissis] fornitore e’ stato designato ll contratt | Mi a de che ilfornit ‘cic a eli obblighi A contratto concluso con Microsoft prevede che il fornitore acquisisca gli obblighi come responsabile del tipici del Responsabile del Trattamenti dei dati come definito all’Art. 28 del GDPR. ADEGUATO trattamento ? Il fornitore ha la propria sede La sede di Microsofît si trova negli Stati Uniti, tuttavia Microsoft partecipa al all’interno dell’Unione programma “privacy shield” tra Unione Europea e Stati Uniti quando si verificano ADEGUATO trasferimenti di dati in paesi non sicuri, Microsoft utilizza contratti per garantire che i Europea ? diritti dell'utente e le protezioni viaggino insieme ai dati Quali prodotti sono attivati ? La suite dispone di diversi servizi integrati, alcuni sono da considerarsi “principali” ed indispensabili per la didattica mentre altri sono aggiuntivi e l'amministratore della ADEGUATO piattaforma non deve attivarli salvo richiederne espresso consenso agli interessati. Quali sono i dati acquisiti Oltre ai dati essenziali forniti dall'istituto all'atto della creazione delle utenze, l'utilizzo mediante uso della della piattaforma comporta l'acquisizione di informazioni aggiuntive quali: l . informazioni sul dispositivo (modello, sistema operativo, seriale e numero di telefono piattaforma ? dell'utente). Informazioni di registro, attività svolte, informazioni sugli eventi del dispositivo e indirizzo del protocollo internet (IP) dell'utente; ADEGUATO Informazioni indirette sulla posizione, come determinato da varie tecnologie tra cui indirizzo IP; e altre informazioni come il numero di versione dell'applicazione e cookie o simili utilizzati per raccogliere e memorizzare informazioni su un browser o dispositivo, come la lingua preferita e altre impostazioni. Come vengono utilizzati questi | Le informazioni personali dell'utente vengono utilizzate solo per fornire i servizi dati acquisiti ? principali sopra descritti. Microsoft si impegna a non pubblicare annunci commerciali ADEGUATO né utilizzare le informazioni personali raccolte nell’ambito dei servizi principali per scopi pubblicitari. Chi puo’ vedere i dati acquisiti Le informazioni raccolte non vengono condivise senza uno specifico consenso con 2 nessuno al di fuori di Microsoft se non in circostanze limitate: ADEGUATO DOCUMENTO ELABORATO DAL D.P.0. : Luca Corbellini c/o Studio AG.I.COM, S.r.l. REGISTRO Con gli amministratori interni alla scuola. che hanno accesso alle informazioni archiviate negli account Microsoft degli utenti di quella scuola o dominio. Per lavorazioni esterne. Anche Microsoft talvolta fornisce informazioni personali a suoi affiliati o ad altre aziende o persone fidate affinché le elaborino per in nome e per conto di Microsoft, sulla base di istruzioni e in conformità con l'informativa sulla privacy. Per motivi legali. Le informazioni personali possono essere condivise con terzi qualora ciò fosse necessario per soddisfare norme giuridiche o procedimenti legali o richiesta governativa applicabile, o per applicare i termini di servizio (indagini su potenziali violazioni), o per rilevare, prevenire o affrontare frodi, problemi di sicurezza o tecnici, o ancora proteggere da danni ai diritti, alla proprietà o alla sicurezza di Microsoft, degli utenti o del pubblico come richiesto o consentito dalla legge. I genitori degli utenti di Microsoft 365 nelle scuole primarie e secondarie possono accedere alle informazioni personali dei propri figli o richiederne l'eliminazione tramite l'amministratore della scuola. Se un genitore desidera interrompere qualsiasi ulteriore raccolta o utilizzo delle informazioni del proprio figlio, può richiedere che l'amministratore utilizzi i controlli del servizio a sua disposizione per limitare l'accesso dell'allievo a funzioni o servizi o eliminare completamente l'account. Sono adottate procedure di Sì. Sono disponibili sistemi di autenticazione basati su password complesse e anche su password a due fattori identificazione ed ADEGUATO autenticazione degli utenti ? Sono presenti robusti processi | Sì. La creazione delle utenze viene eseguita dall'Istituto ad opera del soggetto interno di assegnazione agli utenti di autorizzato dalla scuola all’amministrazione della piattaforma. ADEGUATO credenziali ? Le password assegnate sono Sì, Il sistema permette di imporre che le password siano complesse (almeno 8 protette da una “password caratteri e composte sia da caratteri, minuscoli e maiuscoli, che da numeri) inoltre è sue» 9 possibile imporre una scadenza temporale alla validità della password. Tale scadenza ADEGUATO policies” adeguata ? nonché l'impostazione dell’obbligo di utilizzare password complesse è demandato all'attività del soggetto interno autorizzato dalla scuola all’amministrazione della piattaforma. Sono definiti differenti profili Sì, All'atto della creazione delle utenze ad opera del soggetto interno autorizzato dalla di autorizzazione da attribuire scuola all’amministrazione della piattaforma, lo stesso si preoccupa di definire delle . . . . policies di accesso esclusivo ai dati di sua pertinenze. I docenti possono accedere ai soggetti autorizzati in modo esclusivamente ai dati relativi agli allievi delle loro classi, gli allievi possono interagire ADEGUATO da garantire un accesso esclusivamente con i loro compagni di classe. selettivo ai dati ? I canali di trasmissione E in uso il protocollo TLS (Transport Layer Security) che consente di criptare e utilizzati sono sicuri sotto il recapitare i messaggi di posta in modo sicuro, sia per il traffico in entrata che per . , quello in uscita, consentendo così di prevenire l'intercettazione dei messaggi durante profilo tecnico ? il passaggio fra server di posta. Il rapporto Crittografia mostra il numero di messaggi criptati mediante TLS nel dominio. Microsoft si avvale di diverse misure di sicurezza volte a garantire l'autenticità, l'integrità e la privacy dei dati in transito. Microsoft crittografa e autentica tutti i dati in transito su uno o più livelli di rete quando i dati si spostano all'esterno dei confini fisici non controllati da Microsoft o per conto di Microsoft. | dati in transito all'interno di un confine fisico controllato da Microsoft o per conto di Microsoft sono generalmente autenticati, ma non necessariamente crittografati. A seconda della connessione effettuata, Microsoft applica le misure di protezione ADEGUATO predefinite ai dati in transito. Ad esempio, proteggiamo le comunicazioni tra l'utente e Microsoft utilizzando TLS. I clienti di Microsoft con requisiti aggiuntivi per la crittografia dei dati trasmessi su WAN possono scegliere di implementare ulteriori misure di protezione per i dati trasferiti da un utente a un'applicazione o da una macchina virtuale all'altra. Queste misure di protezione comprendono tunnel IPSec, S/MIME di Gmail, certificati SSL gestiti e Istio. Microsoft collabora attivamente con il settore per contribuire a mettere la crittografia dei dati in transito a disposizione di tutti, ovunque. Abbiamo diversi progetti open source che incoraggiano l'uso della crittografia dei dati in transito e la sicurezza dei dati su Internet in generale, tra cui Certificate Transparency, le API di Chrome e SMTP sicuro. Sono adottate soluzioni atte a Microsoft presenta solo funzionalità limitate per il ripristino dei dati di Microsoft 365 garantire la disponibilita’ dei perduti, distrutti o danneggiati e non dispone né delle funzionalità né dell'affidabilità . delle soluzioni di backup con le quali molte attività proteggono le proprie applicazioni dati ? critiche. E' da dire tuttavia che i dati custoditi su Microsoft sono da intendersi come ADEGUATO dati principalmente didattici, pertanto pur trattandosi di una voce in cui la piattaforma non eccelle, la protezione garantita può dirsi adeguata se rapportata al tipo di dato trattato. Sono adottati sistemi di L’Istituto dispone di un firewall posto a monte della rete informatica che garantisce ADEGUATO un adeguato livello di protezione perimetrale. protezione perimetrale ? DOCUMENTO DELLE MISURE A TUTELA DEI DATI DELLE PERSONE Sono adottati sistemi di L’Istituto dispone di un software antivirus aggiornato che garantisce un adeguato protezione antivirus e livello di protezione rispetto alla distruzione e perdita dei dati. ADEGUATO antimalware ? I software di base vengono L’Istituto dispone di un programma di assistenza tecnica informatica che comprende costantemente aggiornati ? anche l'aggiornamento dei sistemi operativi. ADEGUATO Degli accessi e delle operazioni | Fin uso un sistema di registrazione e back up dei file di log riferiti alle utenze compiute viene tenuta traccia amministrative implementato dall Amministratore di Sistema. | file di log di Microsoft ADEGUATO . e . 9 365 sono a disposizione del soggetto interno autorizzato dalla scuola registrando i file di log _32_ [omissis] uate misure di La Direzione Scolastica prevede l'informazione di tutti gli utilizzatori anche mediante formazione e sensibilizzazione la condivisione di un regolamento generale destinato agli allievi ed al personale ADEGUATO . . utilizzatore della piattaforma. degli utenti ? E’ stato necessario eseguire la Come evidenziato nelle righe precedenti, l'esecuzione della D.P.I.A. non deve DPIA ? intendersi obbligatoria in quanto il trattamento in esame non appare ad elevato ° rischio e le misure di sicurezza attuate appaiono adeguate, tuttavia è stata volontà del Titolare del trattamento, consigliato in questa direzione dal D.P.O. eseguire comunque tale analisi approfondita. In conseguenza dell analisi le misure di sicurezza definite dalla piattaforma ADEGUATO Microsoft365 appaiono ADEGUATE. Si rammenta che le stesse devono essere mantenute tali anche ad opera dell'Istituto Scolastico mediante l'adozione ed il mantenimento delle precauzioni specifiche di pertinenza del Titolare del trattamento che agisce per mezzo del soggetto interno autorizzato dalla scuola all’amministrazione della piattaforma che è stato formalmente individuato.