VALUTAZIONE [omissis] VERIFICA DELLA SICUREZZA DEL TRATTAMENTO (DPIA) NOME DEL TRATTAMENTO: UTILIZZO PIATTAFORMA DIDATTICA ON LINE G-suite for education DESCRIZIONE DEL gestione della didattica a distanza con l'utilizzo di sistemi di TRATTAMENTO: trasferimento file, mail, videochiamate, chat Responsabi titolare del Posizione: dirigente scolastico : le trattamento Omissis elaborazion e DPIA: Data redazione della Valutazione di impatto 19/03/2020 Amministratore di sistema: Omissis Data Protection Officer: Omissis Verifica preliminare di applicabilità della DPIA, in conformità all'articolo 32, comma 2 del regolamento generale CL] Trattamenti sistematici ed estensivi di valutazione di aspetti personali dell'interessato, basati su sistemi automatizzati, inclusa la profilazione, i cui esiti portino a decisioni che possono avere effetti legali diretti ed indiretti sull'interessato-articolo 33 comma 2a UTrattamento di dati afferenti a profili penali e giudiziari come illustrato nell'articolo 9a L] monitoraggio automatico di aree pubbliche, su larga scala CD] altre attività di trattamento che siano inseriti nell'elenco pubblico dell'autorità garante nazionale, e che richiedono specificamente allo sviluppo di un data protection impart assessment-articolo 33. 2a CI trattamenti in cui una violazione dei dati può avere un impatto negativo sulla protezione dei dati stessi, nonché la riservatezza e i diritti o i legittimi interessi degli interessati coinvolti X attività di trattamento che non rientra nei casi precedenti, ma per le quali il titolare del trattamento redatto ritiene comunque sia appropriato svolgere una data protection impact assessment Avvio della valutazione 1.1 valutazione preliminare dell'utilizzo dei dati I dati verranno raccolti tramite la piattaforma Google G-Suite for Edcation che provvede esclusivamente a gestire i seguenti dati: 1. nome cognome 2. mail 3. classe di appartenenza l’accesso ai dati sarà svolto solo dal personale dell'Istituto come individuato all'art. 4 C.10, autorizzato dal titolare del trattamento ai sensi dell'art. 2-quaterdecies Nuovo Codice Privacy — D.lgs 196/2003 aggiornato al D.lgs 101/2018 I dati sono raccolti tramite la piattaforma indicata che espone la sua conformità alla privacy al presente indirizzo link https://edu.google.com/intl/it_it/why-google/privacy- security/?modal _active=none 1.2 composizione della popolazione coinvolta docenti utilizzatori Omissis alunni utilizzatori Omissis 1.3 Sistemi di protezione dell'istituto (a cura amministratore di sistema) Le attività saranno eseguite in modalità remota dagli insegnanti designati come autorizzati al trattamento; la stessa sarà svolta interamente on line e la postazione remota conserverà esclusivamente le proprie credenziali di accesso al sistema. In ogni caso ogni postazione remota sarà equipaggiata con Sistema operativo Windows 10 oppure Mac OS 10.12 o superiore. Ogni postazione sarà inoltre protetta da ............... .(omissis). Gli accessi dei docenti e dei discenti sono eseguiti sul sistema prescelto con account personale ed univoco collegato ad una password. Tali dati sono consegnati all'insegnante e all'allievo ovvero alla famiglia e devono essere conservati e custoditi con cura e diligenza Impostazione dell'analisi di rischio preliminare 2.1 Tecnologie utilizzate La piattaforma utilizza le seguenti tecnologie proprietarie del fornitore: I data center di Google utilizzano un hardware personalizzato su cui sono in esecuzione un sistema operativo e un file system personalizzati. Ognuno di questi sistemi è stato ottimizzato per ottenere sicurezza e prestazioni migliori. Dal momento che Google controlla l'intero stack dell'hardware, è in grado di reagire rapidamente a qualsiasi minaccia che possa presentarsi. Google criptai dati di Gmail (allegati inclusi) e di Drive durante gli spostamenti. In tal modo i tuoi messaggi sono protetti non solo negli spostamenti tra la tua sede e i server di Google, ma anche negli spostamenti tra i data center di Google. Le connessioni e trasmissioni dati sono protette con HTTPS e la connettività è protetta con SSL e TLS. Per i dettagli si rimanda al link sopra riportato circa la piattaforma. non verranno utilizzate nuove tecnologie informatiche che potrebbero avere un significativo potenziale di violazione della protezione dei dati personali e riduzione del livello di protezione dei dati, garantito agli interessati. 2.2 Metodi di identificazione Verranno utilizzati nuovi metodi di identificazione dei dati proprietari del fornitore della piattaforma che sono comunque garantito dal fornitore stesso. Non saranno apportate nuove o significative modifiche alle modalità di trattamento dei dati personali, resteranno quelle in vigore presso l'istituzione scolastica . 2.4 Modifiche alle modalità di trattamento dei dati Questa iniziativa di trattamento coinvolge altre strutture, sia quella del fornitore indicato che dei suoi sub fornitori, ma non verranno utilizzati nuovi o significativamente modificati requisiti di autentica di identità, che possano risultare intrusivi od onerosi. uesta iniziativa di trattamento non apporterà nuove o significative modifiche alle modalità di trattamento dei dati personali, che potrebbero destare preoccupazioni nell’interessato. 2.5 motivazioni per l'avvio della nuova modalità di trattamento La motivazione risiede nell'emergenza infettiva dovuta alla pandemia da covid19. Esito dell'analisi preliminare dei rischi 3.1 Identificazione preliminare dei rischi La tabella seguente illustra i principali rischi afferenti alla protezione dei dati, che sono stati identificati in fase di valutazione preliminare Descrizione del rischio Valutazione preliminare di esposizione Rischio 1 [Sottrazione credenziali basso Rischio 2. |Accesso indesiderato basso Rischio 3. |Perdita di dati basso Rischio 4. |[Intrusione ai dati basso 3.2 Decisione su come procedere Si decide di avviare il nuovo trattamento Nome di colui che ha assunto Dirigente Scolastico — omissis la decisione Nome di altri soggetti che Amministratore di sistema, DPO hanno condiviso questa decisione Consultazione 5.1 Soggetti terzi coinvolti Nome del soggetto coinvolto famiglie DPO 5.2 Soggetti interni coinvolti Nome del Illustrazione di eventuali osservazioni avanzate in fase di soggetto consultazione coinvolto docenti nessuna Amministratore di nessuna sistema Congruità con altre leggi, codici o regolamenti afferenti alla protezione dei dati 6.1 Indicare il provvedimento In relazione al provvedimento sopra elencato, è stata effettuata una verifica di conformità, come parte di questa DPIA, secondo quanto illustrato nella appendice A e siamo giunti alla seguente conclusione: la procedura non presenta rischi elevati 6.2 Indicare il provvedimento In relazione al provvedimento sopra elencato, è stata effettuata una verifica di conformità, come parte di questa DPIA, secondo quanto illustrato nella appendice A e siamo giunti alla seguente conclusione: le piattaforme indicate sono strutturate ed efficaci, il fornitore ha garantito la compliance al gdpr (vedasi allegato) Contenuti analitici della DPIA 7.1 Descrizione analitica delle operazioni di trattamento, con indicazione delle finalità e dei legittimi interessi perseguiti dal Titolare Le operazioni di trattamento sono così indicate: accesso con dati personali identificativi scambio informazioni didattiche valutazione attività svolte comunicazioni email Gli interessi legittimi trovano dimensione nell’obbligatorietà del servizio istruzione previsto dalla costituzione 7.2 Valutazione della necessità e proporzionalità delle operazioni di trattamento, in relazione alle finalità La necessità è resa tale dall'emergenza e dai dcpm di febbraio, 2020, a cui si rimanda anche per la proporzionalità dell'attività di trattamento. 7.3 Valutazione dei rischi afferenti ai diritti e alle libertà degli interessati, incluso il rischio di discriminazione connesso o rinforzato dal trattamento Nessun rischio si rileva connesso ai diritti delle libertà individuali degli interessati connessi ai loro dati personali. 7.4 Descrizione delle misure individuate per mettere sotto controllo i rischi e ridurre al minimo il volume di dati personali da trattare- DPbDefault I sistemi sono stati configurati per l'utilizzo di un set di dati personali minimo e non ridondato, come la singola mail del discente. 7.5 Elenco dettagliato delle salvaguardie, delle misure di sicurezza e dei meccanismi adottati per garantire la protezione dati personali, come ad esempio la pseudoanonimizzazione, oppure la criptografia, al fine di dimostrare la congruità con il regolamento, tenendo conto dei diritti e dei legittimi interessi degli interessati ed altre persone coinvolte Si fa rimando al regolamento di istituto per la gestione della privacy, per la gestione dei sistemi informatici ed alle specifiche tecniche fornite dal fornitore 7.6 Indicazione generale dei limiti di tempo per procedere alla cancellazione delle diverse categorie di dati raccolti I dati saranno cancellati appena terminato l'utilizzo della piattaforma da parte degli interessati. 7./ Elenco dei destinatari o delle categorie di destinatari dei dati personali Famiglie, Docenti, Alunni 7.8 Eventuale coinvolgimento del [omissis] è stato coinvolto ed è estensore della presente 9.1 Raccomandazioni Si raccomanda di controllare periodicamente l'utilizzo della piattaforma 9.2 Approvazione In considerazione di quanto sopra si approva l'utilizzo della piattaforma IL TITOLARE DEL TRATTAMENTO VISTO IL DATA PROTECTION OFFICER Appendice A Lista di controllo della congruità del trattamento previsto con le esigenze di protezione dei dati Domanda Risposta Che tipologie di dati personali Mail, anagrafe, classe di appartenenza devono essere trattate? dell'allievo Sulla base di quanto illustrato nella Si DPIA, esiste una motivazione legittima per il trattamento? Se vengono trattati speciali categorie di SÌ dati, elencati all'articolo 9 comma 1, sulla base di quanto illustrato nella DPIA, esiste una motivazione legittima per il trattamento? Vi sono aspetti afferenti al rispetto no dell'articolo 1, comma 2, del regolamento, che protegge i diritti fondamentali e le libertà delle persone fisiche, ed in particolare il loro diritto alla protezione dei dati personali, che non siano trattati in questa DPIA? Tutti i dati personali che verranno Si, tramite sistemi di sicurezza trattati sono coperti da garanzie di informatica con protezioni multiple a riservatezza? Se sì, come questa livello di rete, di tunneling, di antivirus ed organizzative riservatezza viene garantita? Come viene offerta agli interessati Tramite segnalazione diretta su l'informativa in merito al fatto che i registro elettronico e circolari interne loro dati personali verranno raccolti e trattati? Il progetto di trattamento dei dati SÌ comporta l'utilizzo di dati personali già raccolti, che verranno utilizzati per nuove finalità? Quali procedure vengono adottate per Analisi delle basi dati e del loro utilizzo verificare che le procedure di raccolta dei dati sono adeguate, coerenti e non eccessive, in relazione alle finalità per i quali i dati vengono trattati? Con quali modalità viene verificata la Gestione manuale accuratezza dei dati personali raccolti e trattati? 10. E stato effettuato una valutazione no circa il fatto che il trattamento dei dati personali raccolti potrebbe causare danno o stress agli interessati coinvolti? 11. È stato stabilito un periodo massimo di Si, fino alla presenza dei soggetti conservazione dei dati? nell’istituzione 12. Quali misure tecniche e organizzative di Protezione con password univoca, sicurezza sono state adottate per collegamento con connessioni protette prevenire qualsivoglia trattamento di dati personali non autorizzato 0 illegittimo? 13. E previsto il trasferimento di dati no personali in un paese non facente parte dell'unione europea? Se sì, quali provvedimenti sono stati adottati per garantire che i dati siano salvaguardati in modo appropriato? Appendice B - Tabella dei rischi afferenti alla DPIA Interventi che permettono di Descrizione del rischio Rischi inerenti alla protezione dei evitare o mitigare questo Rischi dati EOS residui Impatto| Probabilità | Esposizione Impatto | Probabilità | Esposizione Sottrazione credenziali alto bassa bassa Informazione continua agli utenti Accesso indesiderato basso bassa bassa Sistemi di protezione scuola/fornitore Perdita di dati basso bassa bassa Sistemi di protezione scuola/fornitore Intrusione ai dati basso bassa bassa Sistemi di protezione scuola/fornitore