La privacy... senza preoccupazioni
Documentazione fotografica delle attività svolte a scuola (articolo di gdpristruzione.it su Orizzonte scuola)
- Dettagli
Visto l'interesse riscontrato da diversi istituti scolastici, dirigenti, docenti e a volte ache genitori che ci chiedono la possibilità di documentare le attività svolte dagli alunni in classe e anche di renderle disponibili alle rispettive famiglie, abbiamo scritto un articolo esplicativo per ORIZZONTE SCUOLA.
L'articolo è consultabile a questo indirizzo:
Lo staff di gdpistruzione
Evento Trasparenza e Privacy - Obbligo di pubblicazione sul sito
- Dettagli
Formazione in presenza, gratuita, con attestato di partecipazione- Esonero dal servizio. Destinatari Dirigenti e DSGA.
Relatori DPO Attilio Milli e Valentino Valente
Per Iscriversi: https://forms.gle/JZYoXKh7u7cKqT6e9
Accesso Civico Generalizzato: come gestirlo!
- Dettagli
Ci siamo nuovamente, ancora una volta vediamo un uso borderline dell'accesso civico generalizzato. Questa voltà la finalità promozionale è abbastanza evidente.
Ricordiamo che l'accesso civico generalizzato è un diritto del cittadino, che lo stesso cittadino deve essere identificabile perché l'istanza sia accoglibile, e che per la ostensione dei dati e/o documenti bisogna verificare l'applicabilità delle limitazioni poste dalla norma.
Analizzando la richiesta notiamo che non ci sono problematiche di privacy, che non ci sono altri limiti oggettivi, ma che per fornire il dato richiesto la segreteria dovrebbe effettuare una rielaborazione dei dati contabili detenuti. La rielaborazione dei dati non deve essere un onere della amministrazione.
E' pur vero che tipicamente le scuole negli ultimi 3 anni non hanno acquisito alcuna servizio formativo avente oggetto assimilabile alla richiesta di AssoRUP.
Abbiamo, pertanto, predisposto due possibili risposte:
- una risposta basata sul Diniego a causa della necessità di rielaborare i dati detenuti dalla scuola;
- una risposta basata sull'accoglimento considerato che in genere non sono stati acquisiti servizi prospettati, ovvero, qualora fossero stati acquisiti la loro entità numerica è sicuramente esigua.
Resta alla sensibilità del Dirigente Scolastico scegliere una delle due possibili risposte.
Si possono fornire gli elenchi del personale alle organizzazioni sindacali?
- Dettagli
Considerata la circolare Aran n. 1/22 del 27/01/2022 che riassume le operazioni finalizzate al corretto svolgimento delle elezioni, riteniamo che il dirigente scolastico possa, se ritiene opportuno, fornire l’elenco del personale limitato esclusivamente a nome e cognome alle OO.SS. per le attività strettamente connesse alle elezioni, in particolare per la nomina delle commissioni elettorali. Dovrà essere evidenziato che l’uso delle informazioni fornite non potrà avere finalità di marketing e promozione, ma uso esclusivo delle stesse per le sole attività relative alle elezioni. Suggeriamo di includere la frase: “Gli elenchi del personale fornito vengono concessi per il solo ed esclusivo uso relativo ad attività strettamente collegate alle elezioni. Non vi è consentito utilizzare suddette informazioni per comunicazioni di marketing, promozione sindacale, ed altre attività non connesse alle elezioni.”
Relativamente alla richiesta di indirizzo di posta riteniamo che non sia necessario fornire alcun dato in quanto il dipendente è provvisto di posta elettronica istituzionale Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. . Altri indirizzi di posta personali, o di piattaforme scolastiche tipo GSuite, come pure i numeri di telefono/cellulare, non sono fornibili senza previa autorizzazione formale ed esplicita del dipendente.
Perché questo orientamento?
Come precisato dal Garante della Privacy con atto PROTOCOLLO.U.0049472.28.28/12/2020
Leggi tutto: Si possono fornire gli elenchi del personale alle organizzazioni sindacali?
Video dell'evento Privacy e DDI in emergenza Covid
- Dettagli
Registrazone evento formativo dal titolo "Privacy e Didattica Digitale Integrata in emergenza Covid" del 8 ottobre 2020
Per accedere alla registraione dell'evento è necessario inserire i propri dati nel modulo qui sotto.
Leggi tutto: Video dell'evento Privacy e DDI in emergenza Covid
Ora è di nuovo possibile trasferire i dati in USA
- Dettagli
In tanti si aspettava il nuovo accordo sulla trasferibilità dei dati tra Europa e Stati Uniti. La Decisione di Adeguatezza della Commissione Europea prende il nome di “EU-US Data Privacy Framework” ed è stato emanato il 10 luglio 2023.
Grazie a questa decisione sarà nuovamente possibile trasferire i dati, anche delle PA, negli Stati Uniti, ma dovrà attendersi che il Dipartimento del Commercio USA certifichi le aziende che vogliono operare con i dati dei cittadini europei. Presumiamo che ci vorrà un mese circa, ma sicuramente per il prossimo anno scolastico ritorneranno lecite le soluzioni già adottate da molte scuole ed ora sospese su nostro consiglio.
Ovviamente Schrems ha già annunciato un nuovo ricorso alla CGEU ma anche qui i tempi saranno lunghi e probabilmente assisteremo ad un ulteriore ping pong.
Qui trovate i primi documenti utili, ma a breve rilasceremo un articolo più puntuale e sicuramente programmeremo un webinar per parlare dei nuovi scenari.
Vi anticipo che lo scenario è positivo, ma dovremo regolamentare l’uso delle piattaforme e andrà attuata la pseudonimizzazione come misura addizionale di sicurezza sui dati.
I primi documenti per approfondire:
Protezione dei dati: la Commissione europea adotta una nuova decisione di adeguatezza per la circolazione sicura e affidabile dei flussi di dati UE-USA
Adequacy decision for the EU-US Data Privacy Framework (in inglese)
Controlli per Accesso degli Alunni in classe in caso di Alunno/i COVID-19
- Dettagli
Con riferimento al Decreto Legislativo n. 1 del 7 gennaio 2022 in molti casi in cui all'interno di una classe/sezione c'è la presenza di uno o più alunni positivi al COVID-19 è necessario effettuare dei controlli sui requisiti che consentono la riammissione in classe degli alunni. Ad esempio aver completato il ciclo vaccinale, avere risultato negativo al tampone, ecc.
Il riferimento normativo principale è l'art. 4 del D.L. 1 / 2022 (vedi sito gazzetta ufficiale) e le conseguenti indicazioni del Ministero dell'Istruzione (vedi allegato).
Pertanto è necessario che la scuola predisponga:
- Lista dei Controlli da effettuare per l’accesso in Classe dell’alunno in caso di necessità previste dalle normative vigenti relative a emergenza COVID-19 (modello L-CONT-ALU)
- Registro Controllo per l’accesso in Classe dell’alunno in caso di necessità previste dalle normative vigenti relative a emergenza COVID-19 (modello R-CONT-ALU)
- La Nomina/Autorizzazione per la verifica della Regolarità ai sensi dell’Art. 4 del D.L. 01 del 7 gennaio 2022 (modello AUT-DL01)
- La diffusione dell'Informativa del Trattamento Dati ai sensi del D.L. 01 del 7 gennaio 2022 (modello INF_DL01)
N.B.: Considerata l'urgenza della predisposizione della documentazione i documenti sono in accesso libero su GDPRistruzione.it
Staff GDPRistruzione.it
Indicazioni Settembre 2020 - Nuovo modello Audit 02
- Dettagli
Per il nuovo anno scolastico 20/21 è necessario revisionare una parte della modulistica privacy. Abbiamo predisposto un documento che vi fornisce le indicazioni delle azioni da compiere.
Lo stesso documento è redatto in forma di audit, quindi Audit 02. Si invita a restituirlo debitamente compilato entro il 30 settembre 2020.
Le domande sono strutturate per consentire al DPO di formulare una prima diagnosi sullo stato di applicazione della normativa anche in riferimento alla DDI.
Riportiamo in allegato le indicazioni del Ministero dell'Istruzione redatte con la collaborazione del Garante. Circolare MI 3 settembre.
Accesso Civico Generalizzato WebUP
- Dettagli
L’accesso civico generalizzato è un istituto poco conosciuto nelle PA e spesso è confuso con accesso civico o anche accesso agli atti. Facciamo chiarezza.
Accesso agli atti: quando si ha un interesse legittimo concreto ed attuale si può accedere agli atti che in qualche modo riguardano il richiedente.
Accesso civico: quando semplicemente si richiedono dati oggetto di pubblicazione obbligatoria in Amministrazione Trasparente e la PA ha disatteso la pubblicazione, o la pubblicazione non è completa, disciplinato dal DLgs. 33/2013.
Accesso civico generalizzato: Chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione. E’ il diritto del cittadino di poter accedere ai dati e agli atti della pubblica amministrazione, introdotto dal D.Lgs. 97/2016 in adozione del FOIA Freedom of Information Act ed in estensione di quanto previsto per l’accesso civico dal D.Lgs. 33/2013. Per dettagli ANAC vedere delibera 1309 del 2016.
Chi può richiederlo? |
il cittadino italiano, o residente in Italia. Anche un soggetto giuridico, ad esempio un sindacato o una associazione. |
Con quale motivazione? |
Non occorre alcuna motivazione. |
Bisogna pagare? |
No, tranne i costi documentati qualora le informazioni dovessero essere consegnate su supporto. |
Si deve usare un modulo? |
L’amministrazione può predisporre una modulistica, ma l’utente può non usarla inviando l’istanza per mail, PEC, posta, o consegna a URP. |
Cosa si può chiedere? |
Documenti o dati detenuti da pubbliche amministrazioni. |
Bisogna identificarsi? |
Si, con documento o altro mezzo. È necessario per poter rispondere. In caso di difetto si chiede all’istante l’integrazione. |
Si deve dettagliare la richiesta? |
L’oggetto della richiesta deve chiaro. Nel caso di richiesta non chiara l’amministrazione deve instaurare un dialogo collaborativo con l’istante in modo tale da individuare la corretta richiesta di dati/documenti. |
Cosa si deve fare? |
Protocollare la richiesta tempestivamente; Iniziare un procedimento amministrativo; Adottare un provvedimento - di accoglimento con ostensione degli atti/dati; - di diniego motivandolo; - di parziale accoglimento/diniego motivandolo; - registrare la richiesta e gli esiti in Amministrazione Trasparente; |
Quali sono i tempi? |
30 giorni per provvedimento e risposta, estensibili fino a ulteriori 10 giorni nel caso dovessero esserci dei controinteressati. |
Qualora i dati fossero detenuti da altra PA? |
L’amministrazione gestisce l’accesso civico generalizzato e lo inoltra ad altra PA notificandolo all’istante. |
Bisogna elaborare le informazioni? |
Assolutamente no. I dati, o gli atti, vengono forniti così come detenuti, tranne i casi di necessità di rimozione di dati personali o particolari (privacy) |
Nel caso di diniego o non risposta? |
Ci si può rivolgere al RPCT (Direttore USR) e se necessario al TAR |
Come si può notare l’accesso civico generalizzato è un potere molto forte consesso al cittadino!
Veniamo al caso specifico.
WebUp nella persona di rappresentante legale propone istanza di accesso civico generalizzato.
Si è correttamente identificato? No, non ha allegato un documento, la PEC utilizzata non è quella ufficiale dell’azienda comunicata alla Camera di Commercio.
È questa motivazione per il diniego? No. Si può richiedere di integrare la domanda in modo da permettere la corretta identificazione e far ripartire i 30 giorni per la risposta.
C’è la motivazione? Si, ma è ininfluente in questo tipo di accesso!
Esistono motivazioni di legge per cui è possibile il diniego? Non ravvediamo le riguardanti le esclusioni e i limiti all’accesso civico generalizzato disciplinati dall’art. 5-bis, c. 1-3, del d.lgs. n. 33/2013
Quanto richiesto è disponibile nella scuola? Si, ma parzialmente.
Analizziamo la richiesta:
Elenco dettagliato dei posti vacanti per personale ATA e docenti, comprensivo di: a. Punteggio di chiamata; b. Tipologia di contratto proposto. c. Durate e periodo del contratto. d. Posizione in graduatoria. |
Questo dato è detenuto dalla scuola, lo predispone l’USP e lo invia in mail alle scuole, sia per docenti che per ATA. Non vi sono dati personali. È concedibile. |
Statistiche sul numero di dipendenti, distinti per personale ATA e docenti, che raggiungeranno l'età pensionabile nel corso del prossimo triennio |
La scuola non è tenuta ad effettuare elaborazioni dei dati detenuti, ma solo a fornirli. |
Vicinanza o meno dell’istituto con mezzi di trasporto come Bus o Treni. |
Queste informazioni sono acquisibili attraverso amministrazione trasparente, organizzazione, quindi si può inviare il relativo link alla sezione se correttamente pubblicate. In alternativa l’informazione è fornibile in quanto informazione semplice. |
Se l’istituto effettua la settimana lunga (Lun – Sab) o la settimana corta (Lun – Ven) |
Come si risponde? Con provvedimento motivato e con i dati/documenti richiesti con invio a mezzo PEC.
La scuola è tenuta all’utilizzo di applicazione indicata dall’istante? No assolutamente, sarebbe già una rielaborazione.
Si può rispondere con diniego?
A nostro avviso no, però a supporto delle istituzioni scolastiche abbiamo comunque predisposto due risposte, una con accoglimento, una con diniego motivato, seppur convinti che il diniego non sia la migliore risposta.
È questo un compito del DPO? No, il DPO si occupa di privacy ed in questa richiesta non sono presenti dati personali. Comunque restiamo a supporto dei nostri clienti.
Staff GDPRistruzione – Attilio Milli – Valentino Valente
Allegati:
Risposta accoglimento (consigliata)
Risposta con richiesta integrazione
Risposta con diniego (sconsigliata)
SIDI Covid-19 - Nuova Informativa per Personale e nuova Autorizzazione ai Delegati
- Dettagli
Come anticipato nel precedente articolo la modifica delle funzionalità SIDI per verifica Covid-19 ci impone la redazione di nuova informativa ed eventuali autorizzazioni in caso di delegati. Vedi nota ministeriale
Quindi:
1) Tutto quanto abbiamo predisposto con nota APP Verifica-C19 - Nuova Informativa e nuova Autorizzazione ai Verificatori E' NECESSARIO FARLO ed è attuale, ovvero:
- Informativa INF_GP versione 2.0
- Autorizzazione/Nomina L-VerGP Revisione 2.0
- Registro delle Verifiche Accesso R-VerGP versione 2.0
2) Il Ministero ha predisposto informativa relativa alle verifiche effettuate con SIDI. Suddetta informativa bisogna personalizzarla e diffonderla a tutto il personale (sito web, registro elettronico, bacheche e similari)
3) Nel caso il DS voglia delegare DSGA o AA o Docenti alla verifica SIDI è necessario predisporre i due documenti seguenti:
- LN-GestGP - Incarico gestione green pass SIDI
Staff GDPRistruzione.it
io non condivido! Disclaimer pubblicazione esiti scrutini ed esami
- Dettagli
Diverse scuole ci chiedono cosa scrivere nel disclaimer che dovrà accompagnare la pubblicazione online su Registro Elettronico come indicato dalla nota di chiarimento del Ministero dell'Istruzione del 9 giugno 2020 n. 9168.
Abbiamo predisposto una locandina in formato DOC, il testo da poter inserire nel sito e nel Registro elettronico, le immagini utili per comunicare.
Il tutto è scaricabile, per i clienti GDPRistruzione.it, leggendo il resto dell'articolo.
Come compilare il questionario sul trasferimento dati extra UE - webinar
- Dettagli
31.05.2023 ore 15.00 - webinar su come compilare il questionario proposto per la rilevazione dello stato di sicurezza delle piattaforme.
Ecco i link
L'occasione ci sembra propizia per sperimentare il tutto con la piattaforma NextCloud attraverso l'applicazione TALK per la quale ecco il link
https://scuolaincloud.it/documenti/index.php/call/wconzyan
Essendo attività sperimentale nel contempo il webinar sarà anche su GoToMeeting al seguente link
https://meet.goto.com/966558037
Staff GDPRistruzione.it
APP Verifica-C19 - Nuova Informativa e nuova Autorizzazione ai Verificatori
- Dettagli
Con l'introduzione di nuove regole per il personale scolastico relative all'emergenza COVID-19 in cui è esteso l'obbligo vaccinale (vedi circolare MI), ovvero la guarigione da COVID-19, e con l'aggiornamento dell'APP Verifica-C19 necessaria al controllo in modalità "base" o "rafforzata" è necessario:
- Aggiornare l'informativa modello INF_GP alla versione 2.0 pubblicandola su sito web e rendendola disponibile in cartaceo negli spazi in cui viene effettuata la rilevazione del QR-Code con l'App Verifica-C19 (Si consiglia di inviare suddetta informativa a tutto il personale scolastico, anche a mezzo registro elettronico o altro mezzo similare);
- Autorizzare / Incaricare il personale scolastico (CS, Docenti, ATA) che effettuano la verifica con l'App Verifica-C19 mediante il nuovo modello L-VerGP Revisione 2.0 (anche per gli autorizzati con modello revisione 1.1).
- Aggiornare il Registro delle Verifiche Accesso R-VerGP alla versione 2.0
In allegato:
- Informativa INF_GP versione 2.0
- Autorizzazione/Nomina L-VerGP Revisione 2.0
- Registro delle Verifiche Accesso R-VerGP versione 2.0
Ci riserviamo di aggiornare ulteriormente la documentazione in conseguenza del presumibile aggiornarnamento della piattaforma SIDI relativamente alle verifiche Covid-19.
Staff GDPRistruzione.it
Garante Privacy: pubblicazione voti online è invasiva. Ammissione non sull'albo ma in piattaforme che evitino rischi
- Dettagli
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
(Ansa, 11 giugno 2020)
In relazione alla questione della pubblicazione degli scrutini on line, l'Autorità garante per la protezione dei dati personali sentita dall'ANSA, chiarisce che a ''differenza delle tradizionali forme di pubblicità degli scrutini - che oltre ad avere una base normativa consentono la tutela dei dati personali dei ragazzi - la pubblicazione online dei voti costituisce una forma di diffusione di dati particolarmente invasiva, e non coerente con la più recente normativa sulla privacy''. Per questo sostanzialmente il Garante è d'accordo, con la linea del Miur di indicare l'ammissione degli studenti soltanto sul registro elettronico.
Trasferimento dati in USA, che fare?
- Dettagli
Criticità trasferimento dati verso USA, ed altri paesi
La questione verte sull’invio sistematico di dati personali in paese extra-UE, in particolare USA, attraverso servizi e piattaforme delle GAFAM (Google, Amazon, Facebook, Apple, Microsoft), in particolare servizi di posta, repository documentale, piattaforme per videoconferenze e didattica a distanza offerti da Google e Microsoft.
Quali sono le problematiche nel contesto normativo?
Per valutare la trasferibilità dei dati personali verso paesi diversi dall’Unione Europea UE (in realtà Spazio Economico Europeo SEE) vi sono diverse possibilità negli articoli 45, 46, 47 e 49 del GDPR 679/2016:
- un accordo internazionale tra la UE ed il paese extra UE (art. 45);
- l’adesione da parte del ricevente dati a clausole contrattuali standard approvate dalla Commissione Europea (art. 46);
- patti vincolanti di impresa (art. 47);
- consenso al trasferimento (art. 49).
La sentenza Schrems II della Corte di Giustizia Europea di fatto abolisce l’accordo internazionale tra USA e UE per uniformare la sicurezza del trattamento dati cosi come previsto dal Regolamento Europeo sulla Protezione dei dati (art. 45 del GDPR 679/2016).
Il “Cloud Act” (norma statunitense) mette a rischio anche i dati presenti su server europei di proprietà di società statunitensi, anche se è prevista la possibilità di opporsi alla richiesta di dati motivando opportunamente le ragioni ed utilizzando i contratti sottoscritti.
Aggiornamento APP VerificaC19
- Dettagli
Gentile DS titolare del trattamento,
Si informa che a partire dal 06/12/2021 l'APP VerficaC19 è stata aggiornata prevedendo le seguenti tipologie di verifica:
"base" - per certificazione da vaccinazione, guarigione o test antigenico rapido o molecoalre;
"rafforzata" - per certificazione da vaccinazione o guarigione.
L'autorizzato alla rilevazione si deve assicurare di utilizzare sempre la tipologia di verifica appropriata in base alla normativa in cui effettua la scansione.
Consulta la tabella delle attività consentite.
Esito di contenzioso privacy tra docente ed istituto scolastico (Provvedimento Garante)
- Dettagli
Pubblichiamo esito finale di contenzioso, un caso concreto accaduto in istituto scolastico con DPO Attilio Milli. Un docente accusa l'istituto di violazione della privacy relativamente all'acquisizione dei MAC Address per la navigazione dalla rete WI-FI di istituto e relativamente alla pubblicazione dell'orario scolastico su sito web di una docente, oltre mancanza dell'informativa relativa ai MAC Address.
Seppur caso concreto lo pubblichiamo in quanto anche il Garante lo ha pubblicato su proprio sito, ma abbiamo ritenuto opportuno rimuovere i dati della scuola e del docente.
Un esito finale, dopo lunga istruttoria iniziata nel 2018, che ha visto la scuola uscire indenne dal contenzioso, grazie al fattivo intervento del DS ed anche grazie alle attività predisposte dal DPO e dallo staff GDPRistruzione, oltre alla relazione fondamentale dell'amministratore di sistema.
Webinar Conformità al GDPR delle Piattaforme DDI e trasferimento dati extra UE
- Dettagli
Eravamo in attesa della comunicazione MIM arrivata ieri per organizzare un incontro in videoconferenza in cui parlarvi nuovamente di Piattaforme DDI, di trasferimento dati extra UE (SEE), e di come comportarci, anche a seguito delle ulteriori richieste di MonitoraPA.
Notiamo con piacere che la nostra strategia di PSEUDONIMIZZAZIONE ora è suggerita anche dal MIM e da MonitoraPA. Vi ricordo che su www.gdpristruzione.it è già da tempo disponibile il video di come poterla attuare abbastanza agevolmente.
Qui trovate, in area riservata, la registrazione del webinar.
E’ riservato alle scuole in regola con il contratto privacy!
Pubblicazione delle graduatorie
- Dettagli
Ritorniamo su questo argomento anche se affrontato più volte durante le azioni formative.
La regola è che quando si pubblica una graduatoria, la stessa deve riportare esclusivamente i seguenti elementi:
- Posizione in graduatoria;
- Punteggio;
- Cognome e nome;
- Data di nascita (solo ed esclusivamente per gli omonimi, preferibilmente lasciando se sufficiente solo l’anno di nascita senza la data nella sua interezza);
Tutti gli altri elementi che si trovano anche nei vari formati, ad esempio rilasciati da SIDI, non sono pubblicabili nella graduatoria perché con la pubblicazione in albo (Pubblicità Legale) ed in altre sezioni del sito web si opera una forma di diffusione del dato e pertanto è sempre necessario applicare il principio di minimizzazione, indispensabilità e stretta necessità.
Diverso è avere una graduatoria in formato cartaceo o digitale da mostrare all’avente titolo, soggetto di un diritto, anche senza necessità di accesso agli atti o accesso civico. Ovviamente in questo caso si dovrà aver cura di mostrare esclusivamente gli elementi che precedono il soggetto e non quelli successivi alla sua posizione in graduatoria.
Spesso si è indotti a pensare che la graduatoria esportabile da SIDI, in versione privacy, sia effettivamente conforme al GDPR. Non lo è per i motivi di cui sopra e perché redatta in un formato non accessibile (Excel). Excel non è un software gratuito e quindi pubblicando un file in Excel (formato .xls e .xlsx) non si rispettano le normative di accessibilità del dato. Il formato Excel è idoneo a predisporre, una volta ripulito dai dati eccedenti e non pertinenti alle finalità della pubblicazione, un documento in formato pdf/a pubblicabile e accessibile.
Vi esortiamo ad aggiornare i dati da voi pubblicati secondo queste indicazioni, onde evitare che possono insorgere contenziosi privacy.
Si riporta link alla FAQ pubblicata sul sito del garante con il titolo “Gli istituti scolastici possono pubblicare sui propri siti internet le graduatorie di docenti e personale ATA?”
Staff GDPRistruzione.it
Pubblicazione nell’Albo on line degli scrutini con indicazione dei voti, ulteriori considerazioni dopo i chiarimenti del MI del 09/06/2020 e disappunto di chi la pensa diversamente.
- Dettagli
Negli ultimi giorni si è aperta una forte discussione, sia tra noi DPO, sia tra le varie organizzazioni di supporto alla scuola ed i vari formatori, sull’adeguatezza della nota di chiarimento riferita alle ultime ordinanze del MI sugli scrutini e sugli esami. Più che chiarire ha confuso! Noi abbiamo affrontato la problematica ed abbiamo pubblicato un articolo cercando di fornire chiare indicazioni alle istituzioni scolastiche. La nota di ulteriori chiarimenti del 9 giugno la troviamo in perfetta sintonia con la norma e con le indicazioni da noi fornite alle scuole da noi seguite per la privacy.
(di Valentino Valente e Attilio Milli)
Sportello di consulenza psicologica - Articolo già pubblicato il 29-12-2020 di nuovo attuale
- Dettagli
Lo psicologo agisce, come il medico competente, in qualità di titolare del trattamento dati.
Gestione del Green Pass in conformità al DECRETO-LEGGE 10 settembre 2021, n. 122 e precedenti norme ed indicazioni operative
- Dettagli
Gli ultimi interventi normativi, le istruzioni operative del Ministero dell’Istruzione, l’imminente attivazione della funzionalità in SIDI della verifica del green pass per il personale scolastico, rende la necessità di aggiornare le informative privacy, le lettere di nomina/autorizzazione al personale che effettuerà la rilevazione e tratterà i dati della stessa, le istruzioni operative e i relativi registri documentali.
Ci permettiamo anche di fornire qualche chiarimento rispetto a quanto visto in varie scuole durante gli ultimi giri periodici in modo che possa essere chiaro a tutti come operare.
Chi è oggetto di rilevazione Green Pass?
- Tutte le persone che accedono nella scuola tranne gli alunni e i soggetti esentati.
Chi effettua la rilevazione?
- Il Dirigente scolastico avvalendosi di Assistenti Amministrativi, Collaboratori Scolastici ed eventuale altro personale, tutti formalmente incaricati/autorizzati.
Cosa si rileva?
- Con l’APP Verifica-C19 la validità del Green Pass
Cosa è cambiato rispetto a prima?
- Che il Green Pass deve essere verificato anche a persone non dipendenti della scuola (genitori, fornitori, tecnici, ecc);
- Che il Ministero ha predisposto una piattaforma in cui si potrà interrogare la validità del Green Pass quotidianamente facendo attenzione a non interrogare per le persone assenti (malattie, permessi, ferie, ecc.).
Cosa implica tutto ciò?
Che è necessario predisporre:
- nuova informativa privacy da pubblicare sul sito e rendere disponibile nel luogo in cui si effettua la rilevazione; (scarica l’informativa)
- nuova lettera di incarico/autorizzazione per si occupa di effettuale la rilevazione, in genere collaboratori scolastici; (scarica la nomina/autorizzazione)
- nuova lettera di incarico/autorizzazione per chi gestisce i dati della rilevazione, interroga la piattaforma SIDI per Green Pass, in genere assistenti amministrativi e DSGA; (scarica la nomina/autorizzazione)
- nuove istruzioni operative per chi effettua questi trattamenti dati; (è opportuno che il DS emani una circolare con le istruzioni cu come bisogna operare)
- nuovi modelli di registro per tenere tracciabilità della rilevazione; (scarica il registro)
- aggiornamento del registro dei trattamenti; (CI PENSIAMO NOI - esempio registro)
Relativamente al registro di rilevazione abbiamo preferito evitare il riferimento diretto a COVID ma ci sembra più opportuno riferirci a “L'accesso è consentito?” che abbia esito SI oppure NO. Ovviamente questo presuppone che ci sia una lista dei controlli da effettuare in cui COVID-19 sia presente, ma anche se ritenuto necessario la temperatura, le dichiarazioni, ecc..
Spesso ci troviamo di fronte a gestione errata delle informazioni rilevate in fase di accesso all’istituto. Facciamo chiarezza:
- Se per l’accesso alla scuola si chiede di compilare una dichiarazione è necessario che la stessa dichiarazione sia conservata in sicurezza e che nella stessa non vi siano informazioni eccedenti le finalità (es. numero di documento di identità, ecc.).
- Se per l’accesso alla scuola si chiede di compilare un registro lo stesso deve essere compilato a cura del collaboratore scolastico, e non a cura della persona che intende accede. Questo perché chi compila non deve poter vedere le informazioni/dati compilati dalle persone precedenti. Se il registro prevede una firma questa deve essere del compilatore, ovvero del collaboratore scolastico.
- Se per l’accesso a scuola si chiede la rilevazione della temperatura corporea è necessario aver predisposto l’informativa.
Tutte le persone che effettuano il trattamento dati devono essere formalmente incaricate/autorizzate ed opportunamente istruite.
Staff GDPRistruzione.it
Chiarimenti: Pubblicazione esiti esami e voti intermedi.
- Dettagli
La nota di chiarimento del Ministero dell’Istruzione prot n. 8464 del 28/05/2020 ha generato fermento sulla necessità ed opportunità di pubblicare gli esiti degli esami e degli anni intermedi su albo della scuola.
Premesso che la dizione di “albo della scuola” è molto generica in quanto può generare confusione tra “Pubblicità Legale” e le bacheche sparse negli istituti scolastici dove venivano affissi gli esiti dell’anno scolastico divisi per classe e per alunno, ci si aspettava che la nota fornisse un vero chiarimento, invece ha generato ancora più confusione.
Cerchiamo di venirne a capo!
Incontro Privacy: Piattaforme DDI e compliance GDPR
- Dettagli
Sicuramente le ultime azioni di accesso civico avranno allertato anche voi relativamente alla compliance GDPR di molte piattaforme utilizzate nella scuola.
Vogliamo fare un punto sulla situazione e sulle prospettive individuando le possibili azioni da compiere.
Online venerdi 25 novembre dalle 14.30 alle 16.00 circa.
Troverete il link per il video dell'evento e di come fare la Pseudonimizzazione cliccando su LEGGI TUTTO e accedendo con le credenziali dell'area riservata GDPRistruzione.
Garante privacy: via libera alle nuove modalità di verifica del green pass nelle scuole
- Dettagli
Come accennato nel precedente articolo eravamo in attesa di novità giunte in data odierna 31/08/2021.
Il Garante Privacy ai sensi dell’art. 58, par. 3, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri, da adottare di concerto con il Ministro della salute, il Ministro per l'innovazione tecnologica e la transizione digitale e il Ministro dell'economia e delle finanze, concernente “Misure recanti modifiche ed integrazioni alle disposizioni attuative dell'articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante «Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19» di cui al decreto del Presidente del Consiglio dei ministri del 17 giugno 2021”.
Il processo di verifica dovrà essere effettuato quotidianamente prima dell’accesso dei lavoratori in sede e dovrà riguardare solo il personale per cui è prevista l’effettiva presenza in servizio nel giorno della verifica, escludendo comunque chi è assente per specifici motivi: ad esempio, per ferie, permessi o malattia.
A seguito dell’attività di controllo del green pass, i soggetti tenuti alle verifiche potranno raccogliere solo i dati strettamente necessari all’applicazione delle misure previste in caso di mancato rispetto degli obblighi sul green pass (ad esempio assenza ingiustificata, sospensione del rapporto di lavoro e del pagamento dello stipendio).
Particolare attenzione è stata posta anche sulle misure di sicurezza da adottare. I soggetti tenuti ai controlli potranno accedere, in modo selettivo, ai soli dati del personale in servizio presso le istituzioni scolastiche di propria competenza. Per evitare eventuali abusi, le operazioni di verifica del possesso delle certificazioni Covid-19 da parte dei soggetti tenuti ai controlli saranno oggetto di registrazione in appositi log (conservati per dodici mesi), senza però conservare traccia dell’esito delle verifiche.
Le misure semplificate prevedono, in particolare:
- il coordinamento normativo con quanto previsto dal d.l. n. 111/2021 (comma 1);
- l’introduzione di uno specifico allegato tecnico al citato d.P.C.M. del 17 giugno 2021 concernente “Modalità di interazione tra il Sistema informativo dell’istruzione-Sidi e la Piattaforma nazionale-DGC per il controllo semplificato del possesso della certificazione verde Covid-19 da parte del personale scolastico” (commi 2 e 7); la realizzazione di un’apposita funzionalità della Piattaforma nazionale-DGC che, attraverso il Sistema informativo dell’istruzione-Sidi, consente agli Uffici scolastici regionali e alle scuole statali del sistema nazionale di istruzione la verifica quotidiana del possesso delle certificazioni verdi COVID-19 in corso di validità, stabilendo che la stessa sia effettuata prima dell’accesso del personale interessato nella sede ove presta servizio e precisando altresì che la predetta attività di verifica, con riguardo ai dirigenti scolastici, sia svolta dall’Ufficio scolastico regionale competente (commi 3, 4 e 5);
- l’individuazione del ruolo assunto dai diversi soggetti che, a vario titolo, trattano i dati del personale scolastico interessato nell’ambito delle attività di verifica previste dalla legge mediante la nuova funzionalità della Piattaforma nazionale-DGC (comma 6);
Non appena entrerà in vigore il nuovo sistema previsto nel citato decreto sarà possibile effetture la rilevazione dei green pass con le procedure semplificate. Al momento occorre attenersi alle indicazioni del precedente articolo e utilizzare l'App VerificaC19.
Forniremo ulteriori indicazioni al fine di agevolare l'applicazione concreta del DPCM di prossima emanazione.
Il testo integrale del Parere del Garante è disponibile a questo link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9694010
Il comunicato stampa del Garante, invece è disponibile a questo link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9693841
Staff di gdpristruzione.it
Scrutini 2020: Discussione elaborato, Valutazioni e verbalizzazioni.
- Dettagli
Fase videoconferenza per la discussione dell’elaborato, ed in attività similari.
Si ricorda che la registrazione e diffusione di tali attività si configura come un trattamento dati avente la seguente finalità: “operazioni connesse alla valutazione finale e agli esami del primo e del secondo ciclo”, effettuabile solo da personale scolastico e nel pieno rispetto dei principi del GDPR 679/2016. Non è necessario il consenso preventivo.
La registrazione relativa è un atto che dovrà poi essere gestito nel rispetto della normativa sulla privacy da parte dell’Istituto scolastico dal personale incaricato in particolare per ciò che attiene alla durata della conservazione, riservatezza, comunicazione a terzi e diffusione.
Possibili risposte all’accesso civico generalizzato di Monitora-PA
- Dettagli
La richiesta di accesso civico generalizzato ha interessato tutte le scuole di ogni ordine e grado, comprese le università. Pertanto ci saremmo aspettati un intervento da parte del Ministero dell’Istruzione con fornitura di indicazioni chiare e senza dubbi interpretativi. Invece abbiamo visto che alcuni USR, e Avvocatura dello Stato territoriale, hanno fornito indicazioni contrastanti e anche diametralmente opposte, lasciando le scuole nel dubbio e nella necessità di interpretazione.
Premesso che ad un Accesso Civico Generalizzato si risponde, che per quanto ci compete (PRIVACY) abbiamo già fornito tutte le indicazioni, resta il dubbio interpretativo di TRASPARENZA, questione che poco compete ai DPO.
Nell’ottica di supporto completo ai nostri clienti abbiamo predisposto due risposte, una con accesso civico ACCOLTO ed una con accesso civico RESPINTO, lasciando la scelta ai dirigenti scolastici, anche per consentire di uniformarsi alle indicazioni dei rispettivi direttori USR che ricoprono il ruolo di Responsabili della Trasparenza.
Staff GDPRistruzione.it
Allegati utili
- Contratto di servizio Microsoft Office 365
- Contratto di servizio Google Workspace for Education
- Contratto di servizio Axios
- Contratto di servizio Argo (ibisogna PEC ad Argo e loro rispondono con contratto)
- Contratto di servizio Spaggiari (chiedere a Spaggiari)
- Contratto di servizio GoToMeeting (link a contratto)
- Contratto di servizio WeSchool (link a contratto)
- Regolamento Didattica Digitale Integrata e Didattica a Distanza (già agli atti scolastici)
- Istruzioni Didattica Digitale Integrata e Didattica a Distanza
- Misure tecniche DaD e DDI
Gestione Green Pass DL 111/2021
- Dettagli
NOTA BENE: QUANTO QUI RIPORTATO NON E' PIU' COMPLETAMENTE ATTUALE PER EFFETTO DEL D.L.122 DEL 10 SETTEMBRE 2021. VI INVITIAMO A LEGGERE L'ARTICOLO PIU' RECENTE
Riteniamo che il Ministero possa emanare una circolare esplicativa sull'argomento. In attesa abbiamo predisposto modulistica e procedure sulla base delle norme e circolari in essere.
Il riferimento normativo in merito alla gestione dei green pass è il D. L. 6/8/2021, n. 111 “Misure urgenti per l’esercizio in sicurezza delle attività scolastiche, universitarie, sociali e in materia di trasporti” che ha introdotto nel D. Lgs 52/2021 il seguente ART. 9-ter (Impiego delle certificazioni verdi COVID-19 in ambito scolastico e universitario):
1. Dal 1° settembre 2021 e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza, al fine di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza nell’erogazione in presenza del servizio essenziale di istruzione, tutto il personale scolastico del sistema nazionale di istruzione e universitario, nonché gli studenti universitari, devono possedere e sono tenuti a esibire la certificazione verde COVID-19 di cui all’articolo 9, comma 2.
2. Il mancato rispetto delle disposizioni di cui al comma 1 da parte del personale scolastico e di quello universitario è considerato assenza ingiustificata e a decorrere dal quinto giorno di assenza il rapporto di lavoro è sospeso e non sono dovuti la retribuzione né altro compenso o emolumento, comunque denominato.
3. Le disposizioni di cui al comma 1 non si applicano ai soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della salute.
4. I dirigenti scolastici e i responsabili dei servizi educativi dell’infanzia nonché delle scuole paritarie e delle università sono tenuti a verificare il rispetto delle prescrizioni di cui al comma 1. Le verifiche delle certificazioni verdi COVID-19 sono effettuate con le modalità indicate dal decreto del Presidente del Consiglio dei ministri adottato ai sensi dell'articolo 9, comma 10. Con circolare del Ministro dell’istruzione possono essere stabilite ulteriori modalità di verifica. Con riferimento al rispetto delle prescrizioni di cui al comma 1 da parte degli studenti universitari, le verifiche di cui al presente comma sono svolte a campione con le modalità individuate dalle università.
5. La violazione delle disposizioni di cui ai commi 1 e 4 è sanzionata ai sensi dell'articolo 4 del decreto-legge 25 marzo 2020, n. 19, convertito, con modificazioni, dalla legge 22 maggio 2020, n. 35. Resta fermo quanto previsto dall'articolo 2, comma 2-bis, del decreto-legge 16 maggio 2020, n. 33, convertito, con modificazioni, dalla legge 14 luglio 2020, n. 74.”.
Ulteriori indicazioni e chiarimenti sono presenti nella nota del Ministero dell’Istruzione del 13 agosto 2021, n.1237 con oggetto D. L. n. 111/2021. In essa è espresso il parere secondo il quale non è necessario acquisire copia della certificazione, ritenendosi sufficiente la registrazione dell’avvenuto controllo con atto interno recante l’elenco del personale che ha esibito la certificazione verde e di quello eventualmente esentato.
DaD e GDPR, scegliere il grado di protezione...
- Dettagli
In questo breve video vi illustriamo le strategie adottate per la gestione privacy GDPR della Didattica a Distanza e creare le giuste protezioni per l'istituzione.
Come poter gestire l’accesso civico generalizzato di Monitora-PA
- Dettagli
Come si gestisce l'accesso civico generalizzato
Come noto la richiesta di accesso civico generalizzato ha interessato tutte le scuole di ogni ordine e grado, comprese Università, di tutta Italia.
L’interesse generale ha determinato un proliferare di ipotesi di risposta al FOIA di opinioni contrastanti.
Ci si è molto concentrati sul tema dell’ammissibilità o inammissibilità della richiesta, tema che, ovviamente, non è di nostra specifica pertinenza in quanto riguarda la trasparenza.
Cosa bisogna fare in caso di accesso civico generalizzato?
Leggi tutto: Come poter gestire l’accesso civico generalizzato di Monitora-PA
Pubblicità esito esame O.M. 53/2021
- Dettagli
La O.M. 53/2021, in merito alla pubblicità degli esiti degli scrutini di ammissione agli esami di Stato conclusivi del secondo ciclo di istruzione, dà indicazioni nettamente diverse rispetto alla nota del M.I. 9168 del 9/6/2020 dello scorso anno. La stessa O.M. 52/2021 consente, la pubblicazione dell’esito dell’esame di Stato conclusivo del primo ciclo di istruzione, con l’indicazione del punteggio finale conseguito, distintamente per ogni classe, nell’area documentale riservata del registro elettronico.
Lo staff di GDPR Istruzione è fortemente convinto che la valutazione sia parte integrante del processo formativo e di crescita individuale. La valutazione è anche il momento conclusivo della intensa e fondamentale attività di formazione, momento in cui, trasparentemente, informando degli esiti delle valutazioni, si forniscono elementi che possono essere anche utili per la rendicontazione sociale.
La diffusione, invece, è quel momento particolare in cui, l’attenzione per la privacy deve essere massima, tanto più se si rischia di ledere la sensibilità di un minore.
Eterno “conflitto” Trasparenza-Privacy?
Non si ha diffusione se le informazioni sono veicolate in un ambito circoscritto come può essere la classe. La classe è anche l’ambito principale in cui la valutazione è parte integrante della formazione, ed è un elemento per il confronto e la crescita.
Non si ha diffusione se vengono esposti tabelloni all’interno di un edificio, presidiato da personale autorizzato, e si limita il “rischio di diffusione”, dovuto essenzialmente a foto scattate e pubblicate con vari strumenti informatici, attraverso opportune informative, che richiamano le responsabilità, civili e penali, di chi viola la privacy.
Questo anno si affida ai singoli Titolari del Trattamento, in particolare ai Dirigenti Scolastici del I Ciclo, in mancanza di specifiche indicazioni del MI, la scelta di pubblicare nel registro elettronico di classe l’esito degli scrutini o, al contrario, dare una semplice indicazione di ammissione; le ultime Ordinanze ci trovano, tuttavia, d’accordo su molti aspetti, per cui estenderemmo le indicazioni sulla pubblicazione dell’esito dell’esame di Stato conclusivo del primo ciclo di istruzione, anche alle modalità di pubblicazione degli scrutini di ammissione agli esami stessi.
Un’ultima riflessione riguarda la difficoltà di una attuazione puntuale delle norme vigenti sulla privacy, data la trasversalità e la correlazione con altre norme. Ogni momento sembra ricordarcelo e questo è uno dei tanti. Considerate le evoluzioni e le differenti interpretazioni, suggeriamo di inserire sempre, nel vostro piano formativo, corsi di aggiornamento sulla privacy che coinvolgano il personale scolastico al fine di un miglioramento continuo del sistema e una valorizzazione delle risorse umane.
Staff GDPR Istruzione
DaD - COVID19 - Istruzioni operative
- Dettagli
Il Cornoravirus purtroppo non permette l'attività didattica in presenza, quindi è necessario che gli studenti possano continuare a frequentare le lezioni in remoto, attraverso la Didattica a Distanza (DaD).
E' stato necessario attivare piattaforme per le classi virtuali e la videoconferenza. Il Ministero dell'Istruzione ha suggerito la possibilità di utilizzo delle piattaforme gratuite offerte da Google e Microsoft, rispettivamente GSUITE e OFFICE365, ma anche dell'uso di ulteriori altrettanto valide, sempre certificate dall'AGID.
Abbiamo predisposto modelli di informative, autorizzazioni, istruzioni, prescrizioni, che rendiamo disponibili affrontando le piattaforme più diffuse nel mondo scolastico, ma restando disponibili ad ampliarerle in funzione delle vostre segnalazioni.
Accesso Civico Generalizzato
- Dettagli
E' arrivata una PEC con richiesta di Accesso Civico Generalizzata alla documentazione riguardante le piattaforme di Registro Elettronico, DaD, DDI, Videoconferenza e messaggistica.
Questa richiesta ha scatenato un’ampia discussione in cui sembra tutto incerto: bisogna rispondere oppure no? Si deve chiedere parere al DPO? Stiamo in ambito privacy o trasparenza? Devo fornire ciò che mi hanno chiesto? Ho tutto ciò che mi hanno chiesto?
Cerchiamo di fare ordine separando gli ambiti.
La richiesta è in ambito della trasparenza della pubblica amministrazione! Nella richiesta ci sono dei punti in cui il DPO è di supporto.
Per i punti relativi alla privacy riceverete una risposta puntuale, per i punti relativi alla trasparenza riceverete il nostro parere non vincolante.
L’accesso civico generalizzato, in acronimo FOIA, è disciplinato dal D.lgs. 33/2013 (Accesso Civico), ed integrato dal D.lgs. 97/2016, e successive integrazioni, e consente ad ogni cittadino, anche senza nessun interesse diretto, di accedere agli atti delle pubbliche amministrazioni.
Crediamo che possano giungere indicazioni in merito da parte dell’RPCT (Direttore Generale USR) o dal Ministero proprio perché è materia di Trasparenza e riguarda moltissime scuole, se non tutte.
L’accesso civico, prevede che l’istanza sia protocollata e fascicolata in modo da generare il relativo registro in XML da pubblicare in amministrazione trasparente.
C’è un richiamo al PNRR, ma le richieste poi sono altre, quindi non trattiamo di PNRR.
Analizziamo le richieste:
Punto 1 - Copia dei contratti - TRASPARENZA
I contratti sono fornibili se non ci sono all’interno riferimenti secretati dalle aziende, altrimenti l’atto pubblico è la determina che è presente in Amministrazione Trasparente. Si potrebbe fornire anche il contratto di licenza d’uso del software/piattaforma in quanto è quello più rilevante ai fini della richiesta, sempre accompagnato dalla determina.
Punto 2 – Copia della DPIA a.s. 20/21 e 21/22 – PRIVACY
La DPIA, per indicazione del Garante, non è stato necessario predisporla.
Punto 3 – Copia delle misure tecniche – PRIVACY e SICUREZZA DIGITALE
Le misure tecniche sono il Regolamento DDI (già regolamento d’istituto) e le istruzioni operative per i docenti relative alla DaD e DDI che abbiamo predisposto in emergenza Covid, che sono state distribuite e che abbiamo in piattaforma GDPRistruzione.it
Punto 4 – Copia della DPIA a.s. corrente 22/23 – PRIVACY
La DPIA, per indicazione del Garante, non è necessario predisporla.
Punto 5 – Copia della TIA a.s. corrente 22/23 – PRIVACY
La TIA è in fase di formalizzazione, correlata alle misure tecniche già adottate e dipendenti dall’analisi dei rischi. Attualmente non sono state utilizzate le piattaforme DaD e DDI con gli alunni e sarà cura dell’istituto utilizzarle, se necessario, appena formalizzate tutte le valutazioni di impatto relative al trasferimento dei dati fuori UE (TIA)
Punto 6 – Copia della valutazione comparativa a.s. corrente 22/23 – TRASPARENZA
La valutazione comparativa tra gli strumenti per la DaD, DDI e comunicazioni è in fase di redazione. Non c’è stata cogenza in quanto le scuole non hanno acquistato in questo anno scolastico queste piattaforme.
Conclusione
Ovviamente sarà nostra cura, per le scuole che sceglieranno di rispondere all’accesso civico generalizzato, predisporre una risposta e la documentazione di nostra pertinenza. Sarà compito della scuola reperire i contratti e le determine, oltre il regolamento e le misure tecniche.
Abbiamo 30 gg per rispondere e non c’è alcun motivo per affrettarsi, sperando in un intervento del MI orientato ad impedire che un diritto normato del cittadino, che assume la forma di richiesta massiva per il Ministero, ma da valutare se da considerare massiva per la singola scuola considerata l’atipicità di PA, sia causa di disservizi in fase di avvio dell’anno scolastico in cui la scuola ha molto altro a cui pensare.
Staff GDPRistruzione.it
Evento Data Breach e Sicurezza
- Dettagli
Privacy GDPR: Il Data Breach nella scuola italiana
Con l’introduzione del GDPR, il regolamento europeo sul trattamento dei dati personali, la tutela della privacy dei dati informatici è diventato un tema importante nell'ambito della pubblica amministrazione con particolare focus nell'ambito della scuola italiana. Con esso, un nuovo termine è entrato a far parte del vocabolario: Data Breach. Con Data Breach si intende una qualsiasi violazione ai dati personali, che comporta l’accesso, la perdita, la modifica o la divulgazione non autorizzata di dati personali o il furto di questi. In sostanza, è una violazione alla riservatezza, all’integrità e anche alla disponibilità di tali dati. In questo webinar affronteremo l'argomento data breach focalizzandoci nell'ambito della scuola italiana e dei recenti avventi ad alcune aziende. Data Breach nella scuola. Esempi pratici, cosa si deve fare, come evitarlo.
Relatori:
- Attilio Milli - GDPRistruzione - Microtech srl
- Valentino Valente - GDPRistruzione - Digital Documents Solution srl
- Vera Nicotra - Dropbox
Si possono consegnare i dati del FIS e del Bonus con indicazione dei nominativi?
- Dettagli
Questa domanda ci viene posta molto spesso. Le RSU interne e le Rappresentanze Sindacali delegate sempre più spesso chiedono alle scuole lo schema analitico della ripartizione a consuntivo del Fondo di Istituto FIS e del Bonus, anche con l’indicazione dei nominativi percipienti.
Purtroppo nella normativa non è chiaro se questa richiesta è legittima, il Garante Privacy non si è ancora pronunciato sul caso specifico, ed esistono sentenze discordanti tra TAR e Consiglio di Stato, spesso sentenze applicabili solo a casi specifici.
Di certo non possiamo essere noi a fornirvi la soluzione, magari possiamo ragionare assieme sull’opportunità di fornire questi dati o meno, e poi decidere in autonomia e secondo coscienza.
Lo schema di ripartizione dettagliato, sia per il FIS, sia per il Bonus, è possibile fornirlo qualora i dati siano aggregati in quanto non c’è alcun dato personale da tutelare.
Ma se ci chiedono di più?
Google fonts: problema privacy e soluzione
- Dettagli
In considerazione delle comunicazioni pervenute a diverse Istituzioni scolastiche di recente in merito alla segnalazione di illecito utilizzo di Google Fonts nei siti web si rappresentano le seguenti precisazioni.
Google Fonts è una raccolta di caratteri che abbelliscono il sito, ottimizzano le sue prestazioni e sono offerti in licenza free.
Per poterli inserire nel sito ci sono due metodi: 1) si sceglie il font da https://fonts.google.com/ si effettua il download del file .ttf e quindi si inserirce nel server web del sito e si “incorpora” nelle pagine attraverso un comando inserito nell’”head” (testata della pagina html del sito il comando è <link .. href="#">); 2 si sceglie il fonts ma si preleva il fonts direttamente dal sito di google che offre gratuitamente anche questo servizio.
Nella seconda opzione, quando il navigatore apre il sito web la pagina del sito richiede automaticamente i file di Google Fonts dai server di Google. Affinché Google possa trasferire il carattere, deve sapere prima dove inviarlo e ciò significa che raccoglie l'indirizzo IP del navigatore. La raccolta e la registrazione dell’indirizzo IP è una violazione della privacy.
La soluzione è semplice basta utilizzare il primo metodo e la richiesta del fonts avverrà sulla risorsa “caricata” direttamente sul server su cui è ospitato il sito web.
Il problema maggiore di adeguamento dei siti web al GDPR deriva dal fatto che moltissime risorse che rendono il sito web più funzionale, interattivo, dinamico, responsive (leggibile sui dispositivi mobili) vengono “caricate” utilizzando il secondo metodo perché presenta alcuni vantaggi che è inutile stare a specificare.
Ci si riferisce in particolare ai fogli di stile .css che ottimizzano l’impaginazione e la grafica, agli script javascript e jquery che consentono animazioni, controlli e altre funzionalità.
Questi ultimi sono potenzialmente più pericoli in quanto rappresentano codici di un linguaggio lato client (interpretato dal browser del navigatore) e si prestano a potenziali violazioni maggiori. Nel caso delle fonts e dei css il pericolo è rappresentato unicamente dal trasferimento dell’indirizzo IP del navigatore in quanto i file sono di per se innocui.
Si potrebbe argomentare sul fatto che l’indirizzo IP è pubblico e che, inevitabilmente, l’utente navigando lo trasferisce automaticamente (il funzionamento del browser stesso lo prevede), e pertanto esso sia difficilmente riconducibile alla persona fisica. Ciò è possibile al provider del servizio di connettività (colui che fornisce internet al dispositivo di accesso fisso o mobile). Dato che la soluzione al problema privacy è semplice applichiamola direttamente. I dirigenti devono semplicemente richiedere ai responsabili esterni a cui è stato affidata la realizzazione del sito di applicare il primo metodo per realizzare i siti web per l'utilizzo di risorse .css, .js, fonts e immagini.
Tutto ciò apre, però, ad uno spunto di riflessione, più i siti sono performanti, maggiore è l’utilizzo di risorse e funzioni esterne; ci si riferisce in particolare alle librerie di funzioni, e servizi offerti come “API” (abbreviazione di interfaccia di programmazione delle applicazioni application programming interface, ovvero un insieme di definizioni e protocolli per la creazione e l'integrazione di software applicativi) e molto altro ancora. Come è possibile rendere sicuro un mondo nato libero e “bello” e che si è diffuso al punto di modificare e permeare la nostra stessa esistenza?
La risposta è la corretta applicazione del GDPR 679/2016 che impone il trattamento dei dati minimi strettamente necessari nel rispetto del principio di massima riservatezza a cui sono tenuti tutti i titolari del trattamento. I titolari del trattamento dati che offrono i servizi dovrebbero adeguarsi e i titolari che richiedono i servizi dovrebbero controllare.
Il GDPR 679/2016 è davvero una gran bella cosa per tutti noi ma a volte "rispettarlo" è davvero difficile!.
Lo staff di gdpristruzione.it è a vostra completa disposizione per consigliare progettare e prospettare soluzioni efficaci a problemi complessi.
Con l'occasione ricordiamo a tutti i dirigenti l'obbligo di adeguarsi al trattamento dati relativo ai "tracciamenti" (google analytics) come descritto in un nostro precedente articolo, facendo verificare tali funzionalità ai responsabili esterni del sito web istituzionale.
PER I CLIENTI AXIOS - Comunicazione ad Axios e Notifica al Garante
- Dettagli
A seguito della comunicazione di Axios Italia Service del 19/04/2021 in cui vi è evidenza del perdurare della indisponibilità dei dati seppur in modo parziale e limitato, riteniamo necessario procedere a:
1) effettuare comunicazione ad Axios Italia Service, amezzo PEC, in cui richiediamo ulteriori notizie rispetto a quelle già fornite;
2) annotare sul Registro di Data Breach ulteriore riga come da allegato;
3) effettuare la notifica al Garante Per la Protezione dei Dati Personali completando il modello che abbiamo già presisposto e che trovate in allegato. La comunicazione dovrà essere inviata a mezzo PEC all'indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Oggetto: "Notifica Data Breach - Caso AXIOS"
Corpo: "Spett.le Garante per la Protezione dei Dati, in allegato inviamo la notifica dela Data Breach relativo all'incidente informatico accaduto al nostro responsabile esterno per il trattamento dati di Registro Elettronico e gestione documentale
Il Dirigente Scolastico ..."
Allegati:
Bozza della comunicazione da inviare ad Axios Italia Service
Bozza nuova riga da annotare su registro Data Breach
Guida alla compilazione del modello di Notifica al Garante
Bozza di Notifica al Garante della Protezione dei Dati Personali
Video sorveglianza
- Dettagli
Precisazioni del Garante tratte da foglietto illustrativo La Privacy nelle Scuole:
È possibile installare un sistema di videosorveglianza negli istituti scolastici quando risulti indispensabile per tutelare l’edificio e i beni scolastici, circoscrivendo le riprese alle sole aree interessate, come ad esempio quelle soggette a furti e atti vandalici.
ANS - Alunni H - consenso traferimento fascicoli
- Dettagli
ATTACCO HACKER PIATTAFORMA AXIOS SCUOLA DIGITALE
- Dettagli
Registro Data Breach compilato
gio 8 apr 2021 12:30 - 13:30 (CEST)
DEVI DOCUMENTARE LA VIOLAZIONE
Il titolare del trattamento deve documentare tutte le violazioni dei dati personali che si verificano, indipendentemente dal fatto che una violazione debba o meno essere notificata al Garante.
«Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di verificare il rispetto del presente articolo» (cfr. art. 33Apertura sito esterno in una nuova scheda per l'articolo 33 del Regolamento (UE) 2016/679, par. 5, del Regolamento (UE) 2016/679 e art. 26 del D.Lgs 51/2018).
L’obbligo del titolare di documentare tutte le violazioni è collegato al principio di responsabilizzazione (cfr. art. 5Apertura sito esterno in una nuova scheda per l'articolo 5 del Regolamento (UE) 2016/679, par. 2, del Regolamento (UE) 2016/679 e art. 3, comma 4, del D.Lgs 51/2018) e agli obblighi del titolare del trattamento responsabilizzazione (cfr. art. 24Apertura sito esterno in una nuova scheda per l'articolo 24 del Regolamento (UE) 2016/679 del Regolamento (UE) 2016/679 e art. 15 del D.Lgs 51/2018).
Il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni occorse – notificate o meno – e il Garante può chiedere di consultare tale registro.
Oltre ad informazioni quali cause, fatti, dati personali, effetti e conseguenze della violazione, le Linee guidaApertura sito esterno in una nuova scheda per le Linee guida Notifica violazioni raccomandano di documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione, come, ad esempio, il perché una determinata violazione non è stata notificata al Garante.
Per maggiori informazioni fare riferimento al proprio DPO
Microtech: Attilio Milli o Valentino Valente
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Attilio Milli: 335 565 4057
Valentino Valente: 338 4552068
MS Computer:
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Sandro Maini: 335 527 7002
Ing. Giovanni Fiorillo
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Giovanni Fiorillo: 347 176 1615
SOS Recupero Dati
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Vincenzo Monteforte: 333 7778619
Parere del Garante sullo schema di Decreto relativo ai sistemi di rilevazione presenze
- Dettagli
L'utlizzo delle apparecciature di rilevazione delle presenze con utilizzo di telecamere (videosorveglianza) , rilevazione di dati biometrici (rilevamento del volto) non rispettano i principi di proporzionalità, stretta indispensabilità e minimizzazione.
Il Garante espone anche diverse problematiche di gestione, legate alla Valutazione di impatto, alla conservazione dei dati.
Utilizzo google analytics
- Dettagli
In risposta alle numerose segnalazioni pervenute nelle ultime ore da parte di Istituzioni scolastiche, comuni, e altre amministrazioni pubbliche, che stanno ricevendo una e-mail di diffida da parte di alcuni “ethical hacker" ad oggetto “Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale” vi comunichiamo quanto segue.
Per verificare se è presente nel sito il codice di tracciamento Google Analytics è sufficiente usufruire di molti servizi gratuiti disponibili online (ad es: https://www.cookiebot.com/it/)
Per quelle Amministrazioni pubbliche che hanno già inserito nel proprio sito sistemi per il tracciamento delle visite (o intendono farlo), come richiesto dall’art 7 del CAD, possono utilizzare il sistema messo a disposizione gratuitamente dall’AGID che è conforme al GDPR 679/2016 e consente personalizzazioni.
Come fare?
Il referente di una PA presente su IPA avvii la procedura di registrazione del sito istituzionale, accedendo al portale https://webanalytics.italia.it/ tramite una identità SPID.
Terminata la semplice registrazione si riceverà una mail con il codice di tracciamento da inserire nel proprio sito web. L’inserimento del codice di tracciamento sul sito può essere affidata a chi attualmente lo gestisce.
Per maggiori informazioni consultate sulle procedure da seguire consultate la pagina: https://webanalytics.italia.it/how-to-join#video dove è presente anche un video che illustra i vari passaggi.
Ma cos'è il tracciamento Google Analytics?
Google Analytics è uno dei tanti strumenti che Google fornisce per aiutare le persone a capire cosa fanno i visitatori sui siti web. Lo strumento consente di tracciare e analizzare i dati più importanti, sulla provenienza. Permanenza e cosa fanno i visitatori fornendo un quadro delle prestazioni del sito.
Raccolta dati
Il codice raccoglie una vasta gamma di dati, in particolare:
- Quanti visitatori ottengono le tue pagine.
- Da dove arrivano i visitatori delle tue pagine.
- In che modo questi visitatori avanzano sul tuo sito.
- Cosa fanno i visitatori sulle tue pagine.
- In che modo i visitatori interagiscono con gli elementi delle tue pagine.
- Quanto tempo i visitatori trascorrono sulle tue pagine.
- In quale fase di una visita gli utenti lasciano il tuo sito.
Google Analytics utilizza un semplice codice JavaScript per raccogliere tutti questi dati. Il codice viene aggiunto a ogni pagina e inserisce un cookie nel browser di ciascun visitatore del sito. Il cookie invia quindi un hit al tuo Google Analytics che segnala ogni interazione che l'utente ha con il tuo sito.
Lo staff di gdpristruzione.it
Sportello di consulenza psicologica
- Dettagli
Lo psicologo agisce, come il medico competente, in qualità di titolare del trattamento dati.
Modulo Audit 01
- Dettagli
Su VS richiesta pubblichiamo il modulo che viene utilizzato dai DPO al primo AUDIT.
Le domande sono strutturate per consentire al DPO di formulare una prima diagnosi sullo stato di applicazione della normativa.
Le domande riquardano in effetti: nomine, informative, redazione dei registri, data breach, DPIA modalità di pubblicazione dei contenuti etc.
Nuove regole per verifica stato Covid alunni - Decreto Legge 05/2022
- Dettagli
Riferimento normativo principale DL 05 del 4 febbraio 2022 - https://www.gazzettaufficiale.it/eli/id/2022/02/04/22G00014/sg
Il Decreto Legge 5 febbraio 2022 conferma l’applicazione del regime dell’auto sorveglianza ma modifica i criteri per l’applicazione della didattica a distanza, la sospensione delle attività o la continuazione della didattica in presenza.
L’art. 6 del DL 05/2022 ammette l’accertamento dello stato positivo o negativo rispetto al COVID tramite test antigenico autosomministrato. In questo caso, l’esito negativo del test è attestato tramite autocertificazione. E’ ribadita la possibilità di utilizzo dell’App Verifica C19.
Abrogando esplicitamente quanto previsto nel DL 01: “…L'articolo 4 del decreto-legge 7 gennaio 2022, n. 1, e il comma 1 dell'articolo 30 del decreto-legge 27 gennaio 2022, n. 4, sono abrogati a decorrere dalla data di entrata in vigore del presente decreto e le misure già disposte ai sensi del citato articolo 4 sono ridefinite in funzione di quanto disposto dal presente articolo” precedente è necessario sostituire la precedente informativa anche al fine di portare a conoscenza di tutti le nuove regole.
I modelli di nomina già forniti e il registro richiamano il DL 01/2022, quindi, sarebbe opportuno modificarli con la giusta intestazione.
Ricordiamo che l’autorizzazione concessa dalle norme di prendere visione dello stato vaccinale non comporta la possibilità di eseguire un vero e proprio trattamento dati con conservazione dei certificati e si raccomanda la trascrizione nel registro, tenuto con la massima riservatezza seguendo le regole già fornite, per l’accertabilità della verifica effettuata.
Men che meno è concesso eseguire indagini preventive con richieste di far pervenire lo stato vaccinale all’Istituto al fine di effettuare previsioni e programmazioni.
E’ ammessa la pubblicazione sul sito, con dati aggregati relativi alle classi e senza indicazione di nominativi neanche pseudonomizzati, per la sola finalità di informare sulla numerosità dei casi positivi e di conseguenza le azioni che l’Istituto deve mettere in atto per l’applicazione dell’art 6 del DL 05/2022 relative all’auto sorveglianza, DAD, lezioni in presenza, sospensione delle attività didattiche.
Abbiamo pertanto redatto la seguente documentazione:
- Informativa Decreto Legge 4 febbraio 2022 n. 5 revisione 2 - da personalizzare e pubblicare nel sito e su registro elettronico (download)
- Autorizzazione Incarico Controllo Alunni AUT-DL05 - da personalizzare e far sottoscrivere (download)
- Lista Controllo Accesso Alunni L-CONT-ALU versione 1.1 - da personalizzare e rendere disponibile (download)
- Registro Controllo Accesso Alunni R-CONT-ALU versione 1.1 - da personalizzare e rendere disponibile (download)
Elezioni degli organi collegiali on-line
- Dettagli
Numerose sono le richieste di parere, formulate dalle istituzioni scolastiche, riguardo la possibilità di svolgere le elezioni degli organi collegiali online. Abbiamo cercato di analizzare gli strumenti a disposizione, le problematiche, i rischi correlati, la fattibilità. Anche se il nostro ruolo da DPO è poco coinvolto in questa attività perché l’impatto privacy è minimale, ci è sembrato opportuno rendere noto il nostro parere in proposito, avendo già analizzato bene le problematiche soprattutto dal punto di vista della sicurezza.
Microtech srl
Viale Dante 140b - CASSINO (FR)
Tel. 0776 26110 - Fax 077621046
email: microtech@webmicrotech.it
internet: www.webmicrotech.it
contatto: Attilio Milli - 3355654057
Digital Documents Solution srl
Via Enrico De Nicola 61 - CASSINO (FR)
Tel: 0776/311963
email: info@flussodigitale.it
internet: www.flussodigitale.it
contatto: Valentino Valente - 338 455 2068
MS Computer Soc. Coop.
Via Campo Isabella 6 – Strangolagalli (FR)
Tel. 0775978138
email: sandro.maini@ms-computers.it
internet: www.ms-computers.it
contatto: Sandro Maini - 3355277002
SOS Recupero Dati
Via Salice, 78 - 80013 - Casalnuovo (NA)
Tel. 081.01.02.117
email: info.recuperodati@sosrecuperodati.it
internet: www.sosrecuperodati.it