E-mail: VIISO00900N @ISTRUZIONE.IT PEC VIISO0900N@PEC.ISTRUZIONE.IT www.martini.edu.it 1. Copia del contratto o altro atto giuridico in forza del quale l'istituto scolastico in indirizzo ha utilizzato ed utilizzerà i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, relativamente agli anni scolastici 2020- 2021, 2021- 2022, 2022- 2023 Si allegano i termini e condizioni del Servizio di Google Workspace for Education, dove si ha evidenza che per gli utenti di Google Workspace delle scuole primarie e secondarie, Google non utilizza informazioni personali (o informazioni associate a un Account Google) per mostrare annunci mirati. Si allega inoltre il Data Processing Addendum del fornitore. Si aggiunge che tale piattaforma è stata fornita gratuitamente dal fornitore e opzionata sulla base delle indicazioni rese dal Ministero dell’Istruzione. L’istituto si avvale degli applicativi gestionali del Gruppo Spaggiari S.p.a Come da allegati n.1 n.2 n.3 2. Copia della valutazione di impatto della protezione dei dati effettuata dall'Istituto scolastico in indirizzo nell'ambito dell'utilizzo di un servizio online di videoconferenza o di una piattaforma che consente il monitoraggio sistematico degli utenti, negli anni scolastici 2020- 2021, 2021- 2022 In relazione a tale documento si rileva come non vi fossero i presupposti nell'Istituto d'Istruzione Superiore A. Martini Schio in merito al sorgere dell'obbligo di valutazione di impatto, come da Provvedimento 26 marzo 2020 dell’Autorità Garante per la Protezione dei Dati Personali, secondo cui “non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)” 3. Copia degli atti riportanti le misure tecniche previste ed adottate nell'istituto scolastico in indirizzo per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, negli anni scolastici 2020- 2021, 2021- 2022, 2022- 2023 I servizi attivati sono forniti da Gruppo Spaggiari per la gestione del registro elettronico, e da Google per la parte relativa alla didattica a distanza e alla mail di istituto. Si precisa che la parte principale relativa alle misure di sicurezza non è a carico dell'Istituto ma del fornitore. In entrambi i casi i fornitori selezionati hanno dimostrato il possesso e mantenimento I certificati del Gruppo Spaggiari e di Google sono allegati alla presente risposta. | materiali sulla sicurezza informatica di Google sono pubblicati dalla stessa, si allegano alla presente. Tra le misure di sicurezza adottate, Google cripta i dati at-rest e in transito per impostazione predefinita, proteggendoli con più livelli di sicurezza che includono tecnologie di crittografia come i protocolli HTTPS e Transport Layer Security. La crittografia dei dati contribuisce a proteggere le email, le chat, le riunioni video e gli altri dati. E-mail: VIISO0O900N@ISTRUZIONE.IT PEC VIISO0900N @PEC.ISTRUZIONE.IT www.martini.edu.it Inoltre, le misure di sicurezza sono contrattualizzate nel Data Processing Addendum di Google (“DPA” anch’esso allegato), all'articolo 7. Per quanto riguarda i servizi forniti dal fornitore Spaggiari, le misure di sicurezza applicate dallo stesso sono disponibili all’indirizzo: http://www.spaggiari.eu/sicurezza/sicurezza.htmil. Esse sono state esaminate dall'Istituto e pertanto si allegano alla presente. Tra le misure, Spaggiari indica una politica di backup, replica e ridondanza del dato, conservazione dei log per 6 mesi, cifratura delle comunicazioni e del backup dei dati, una dettagliata procedura di sicurezza. In aggiunta alle misure di sicurezza applicate dai fornitori, la scuola applica le seguenti: GSuite: impostati criteri di password sicura (8 caratteri, maiuscole minuscole, 1 numero, 1 carattere speciale), cambio al primo accesso, scadenza della password 12 mesi. Assegnazione del ruolo di 2 superamministratori con compito di assegnazione/eliminazione degli account e monitoraggio degli avvisi di sicurezza. Regolamento di istituto specifica obblighi in tema di correttezza dei contenuti, delle comunicazioni e in generale di utilizzo da parte degli studenti. Forniti i contatti di helpdesk e del tecnico per segnalazione problematiche (in informativa privacy). Istruzioni scritte sul corretto utilizzo. Forzata password diversa rispetto alla precedente. Suddivisione in gruppi di utenti funzionali alla ripartizione delle informazioni (docenti, studenti, classi). Spaggiari: impostati criteri di password sicura (9 caratteri, maiuscole minuscole, 1 numero, 1 carattere speciale), cambio al primo accesso, scadenza della password 6 mesi. Viene forzata password diversa rispetto a precedente. L'accesso su segreteria digitale è solo per chi accede al protocollo, log in e log out sono tracciati. Si allega la pagina relativa del registro dei trattamenti. 4. Copia della valutazione di impatto della protezione dei dati ai sensi dell'articolo 35 del GDPR, effettuata nell'ambito dell'utilizzo delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottate nell'anno scolastico 2022- 2023 dall'Istituto in indirizzo Analoghe considerazioni rispetto al punto 2 valgono riguardo al punto 4 della richiesta. Non si concorda difatti con il Richiedente sul fatto che il provvedimento citato abbia perso efficacia, in analogia con quanto affermato nel Parere dell'Avvocatura Generale dello Stato del 16 ottobre 2022 (Tipo CS 39482/22 — Sez. VII Avv. M. T. Lubrano Lobianco). Ad ogni modo l’Istituto è impegnato costantemente a garantire la protezione dei dati dei propri studenti e genitori e superata la fase emergenziale non solo pandemica ma anche legata alle contingenze dell’amministrazione dell’Istituto svolgerà la valutazione di impatto entro marzo 2023 a seguito del percorso formativo sulla protezione dei dati che sta interessando il personale amministrativo. 5. Copia della valutazione di impatto del trasferimento dei dati all'estero, afferente all'eventuale trattamento dei dati in paesi terzi necessario per la fruizione ed il funzionamento dei servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022-2023 E-mail: VIISO0O900N@ISTRUZIONE.IT PEC VIISO0900N @PEC.ISTRUZIONE.IT www.martini.edu.it Per quanto riguarda il servizio reso da Spaggiari, non vi è conservazione all’esterno dell’Unione Europea. Di ciò vi evidenza anche nel whitepaper di Spaggiari allegato alla presente. Per il servizio di Google For Education sono in uso le clausole tipo di protezione dei dati adottate dalla Commissione. Tali clausole sono state modificate dalla Commissione stessa il 4 giugno 2021. L’Istituto ha quindi esaminato il documento preparato dal fornitore “Google Cloud’s Approach to European Standard Contractual Clauses”, che dettaglia le modalità specifiche con cui il fornitore garantisce il rispetto delle clausole, e il locumento “Government Requests for Cloud Customer Data”. Tali documenti vengono allegati alla presente risposta. L'Istituto ha condotto inoltre il riesame del Data Processing Addendum del fornitore che regola i trasferimenti, in conformità con le clausole tipo di protezione previste dalla Commissione. Anche tale documento viene allegato alla presente. Oggetto poi di analisi sono stati i termini e condizioni di Google For Education, allegati alla presente risposta. Tutti gli elementi tipici di una valutazione di impatto del trasferimento dei dati sono stati dunque acquisiti e riesaminati dall’Istituto in fase di prima analisi della conformità del servizio e successivamente: al fine di formalizzare l’iter logico seguito l’Istituto ha formulato una valutazione d’impatto del trasferimento che si allega. 6. Copia della valutazione comparativa ai sensi dell'articolo 68 del decreto legislativo 82/2005 realizzato per provvedere all'acquisizione delle piattaforme di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico 2022-2023 Il nostro Istituto usufruisce del servizio (GSuite) offerto gratuitamente dal fornitore (Google) personalizzando il prodotto sulla base delle indicazioni rese dal Ministero dell'Istruzione) e Spaggiari S.p.A. IL DIRIGENTE SCOLASTICO [omissis] (firma apposta digitalmente ai sensi del D.Lgs.82/2015)