Oggetto: privacy e dad - indicazioni operative DPO Data: 12 marzo 2021 17:52 A: matteo grazioli avvocatograzioli@yahoo.it Gentili Dirigenti buon pomeriggio a tutti. Considerato che dalle ultime indicazioni pare probabile che la prossima settimana l’attività scolastica dovrà essere gestita in modalità “a distanza”, ho provato a sintetizzare nella tabella sottostante alcune indicazioni operative (molte delle quali già condivise in precedenza) per favorire le vostre eventuali e conseguenti valutazioni del caso. Preciso che gli spunti che seguono tengono conto della normativa vigente in materia di protezione dati personali, delle indicazioni fornite congiunto tra Ministero dell’istruzione e l’Ufficio del Garante lo scorso mese di settembre (nota 11600 del 3 settembre 2020) che condivido in allegato. BASE [omissis] scuola può trattare dati personali funzionali all’attività didattica e formativa nel contesto dell’attività a distanza senza necessità di acquisire uno specifico consenso degli interessati, in quanto ciò rientra nell’esercizio delle funzioni istituzionali di cui è competente. La base giuridica del predetto trattamento va individuata nell’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e nell’adempimento di un obbligo di legge (derivante anche dalla normativa di settore che prevede l’attivazione di modalità di didattica a distanza). SCELTA DEGLI STRUMENTI DA Ciascuna scuola è libera di scegliere, adottare e regolamentare gli strumenti da UTILIZZARE PER utilizzare per favorire la didattica a distanza. FAVORIRE LA DIDATTICA A DISTANZA Nella valutazione di quali strumenti adottare è necessario dare prevalenza a quelli che garantiscono la maggiore garanzia di protezione dei dati personali oggetto di RISPETTO LIMITI elaborazione, preferendo quelli che prevedono la minimizzazione del loro trattamento, TEMPORALI DEL TRATTAMENTO che non comportano la geolocalizzazione degli interessati, che non rendono necessario il trattamento di dati biometrici, che riducono al minimo la possibilità che i dati oggetto di elaborazione possano essere diffusi o comunicati a terzi non legittimati o utilizzati per fini diversi rispetto a quelli concernenti la didattica. In questa ponderazione considero importante dare prevalenza ai sistemi nei quali vi sia sempre la supervisione e il controllo di un soggetto referente (ad es. docente e/o amministratore di sistema) che possa fungere da filtro sui partecipanti e moderare i contenuti messi in condivisione. In relazione alla conservazione dei dati personali trattati attraverso tali strumenti, la scuola deve assicurarsi che non siano conservati più a lungo del necessario, disponendo ad esempio la loro cancellazione al termine del progetto didattico. SCELTA DEI FORNITORI [omissis] didattica a distanza comporti il trattamento di dati personali da parte di terzi SERVIZI (es. fornitori di servizi software) è necessario ricorrere ad interlocutori che forniscano strumenti dotati di adeguate garanzie e misure di protezione. I predetti fornitori, INDIVIDUAZIONE E laddove abbiano modo di compiere trattamenti per conto della scuola dovranno NOMINA DEL RESPONSABILE essere designati quali responsabili del trattamento. TRASFERIMENTO Nella scelta degli strumenti, in via primaria il Garante suggerisce di utilizzare le EXTRA UE funzionalità insite nel registro elettronico. Laddove si decida di ricorrere a piattaforme più complesse e “generaliste”, che non erogano servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti) senza permettere l’effettuazione di operazioni ulteriori (ad es. fornitura di altri servizi, marketing, profilazione, iscrizione newsletter, ecc.). In tale scelta è inoltre importante verificare che l’eventuale utilizzo di piattaforme non comporti il trasferimento di dati personali al di fuori del territorio della Comunità Europea. In caso contrario occorre verificare che sussistano i presupposti giuridici richiesti dalla disciplina per assicurare un adeguato livello di protezione (artt. 44 e segg. GDPR). INDIVIDUAZIONE E FORMAZIONE DEI Al fine di garantire la massima consapevolezza nell’utilizzo di strumenti tecnologici nel SOGGETTI contesto dell’attività didattica a distanza e ridurre ogni possibile elemento di rischio da AUTORIZZATI AL TRATTAMENTO ciò derivante risulta opportuno fornire al personale istruzioni sulle corrette modalità di trattamento dei dati personali degli alunni e dei colleghi. ADOZIONE DI Invito inoltre richiamare l’attenzione di ciascun operatore sui contenuti presenti nei REGOLAMENTI, POLICY, regolamenti scolastici (ad. es. disciplinare interno riferito agli strumenti informatici, ISTRUZIONI regolamento did, regolamento BYOD, materiale formativo ed istruzioni, ecc.) OPERATIVE OPERATIVE [omissis] scuola deve sempre garantire la trasparenza sui trattamenti svolti. Nello specifico deve sempre informare con chiarezza e con semplicità gli interessati (alunni, studenti, (INFORMATIVE) genitori e docenti), sul trattamento svolto nel contesto dell’attività didattica a distanza tramite adeguate informative. MISURE DI SICUREZZA La scuola è tenuta ad adottare misure tecniche e organizzative adeguate, sulla base del TECNICHE E rischio, per prevenire che i dati trattati possano andare distrutti, persi, danneggiati o ORGANIZZATIVE finire in possesso di terzi non autorizzati. Tra queste misure è importante assicurare: - l’adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti; - l’utilizzo di processi di assegnazione agli utenti di credenziali di autenticazione; - la definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati; - la definizione di password policy adeguate; - la corretta conservazione delle password degli utenti; - l’utilizzo di canali di trasmissione sicuri; - l’ adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery); - l’utilizzo di sistemi di protezione perimetrale; - l’utilizzo di sistemi antivirus e anti malware costantemente aggiornati; - l’aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità; - la registrazione degli accessi e delle operazioni compiute dagli amministratori ddi sistema; - la definizione di istruzioni rivolte ai soggetti autorizzati al trattamento; - la formazione e sensibilizzazione degli utenti. Particolare attenzione va rivolta alla configurazione dei siti e delle App messe a disposizione per l'erogazione delle attività didattiche a distanza, nel rispetto del principio di privacy by design e by default. In particolare, nell'uso di tali strumenti, è necessario evitare l’inserimento di tracker e analytics, notifiche push (per le App), font resi disponibili da terze parti o altri elementi che possano comportare il trasferimento di dati fuori dall’Unione Europea e/o il monitoraggio delle attività degli utenti. [omissis] valutazione di impatto deve essere effettuata solo se e quando ricorrono i presupposti IMPATTO dell’articolo 35 del Regolamento. Occorre precisare innanzitutto che, poiché l'istituzione (DPIA) scolastica , in genere, non effettua trattamenti di dati personali su larga scala, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). La valutazione di impatto va effettuata nel caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, l'istituzione scolastica per individuare i trattamenti da sottoporre a valutazione di impatto dovrà verificare se il trattamento in questione: 1. rientra nei casi previsti dall'art.35, par. 3 del Regolamento; 2. comporta la compresenza di almeno di due criteri individuati come indici sintomatici del “rischio elevato” dal Gruppo di lavoro ex articolo 29 delle Linee guida in materia di valutazione d'impatto sulla protezione dei dati (trattamenti valutativi o di scoring), compresa la profilazione, processo decisionale automatizzato, monitoraggio sistematico, dati sensibili o dati aventi carattere altamente personale, trattamento di dati su larga scala espressi in percentuale della popolazione di riferimento, creazione di corrispondenze o combinazione di insiemi di dati, dati relativi a interessati vulnerabili, uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, trattamento che in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto". Mi scuso per la sintesi ma spero che lo sforzo di “riassumere e condensare” in uno specchietto operativo le attività da dover osservare possa essere di vostro aiuto in questa delicata fase. Ciò premesso vi proporrei di concordare nei prossimi giorni un’occasione di approfondimento che possa essere estesa a voi Dirigenti e ai collaboratori che riterrete voler coinvolgere. Vi ringrazio in anticipo per l’attenzione e auguro a tutti buona serata. Didattica- Digital…rali.pdf