Categoria: News

NOTA BENE: QUANTO QUI RIPORTATO NON E' PIU' COMPLETAMENTE ATTUALE PER EFFETTO DEL D.L.122 DEL 10 SETTEMBRE 2021. VI INVITIAMO A LEGGERE L'ARTICOLO PIU' RECENTE

Riteniamo che il Ministero possa emanare una circolare esplicativa sull'argomento. In attesa abbiamo predisposto modulistica e procedure sulla base delle norme e circolari in essere. 

 Il riferimento normativo in merito alla gestione dei green pass è il D. L. 6/8/2021, n. 111 “Misure urgenti per l’esercizio in sicurezza delle attività scolastiche, universitarie, sociali e in materia di trasporti” che ha introdotto nel D. Lgs 52/2021 il seguente ART. 9-ter (Impiego delle certificazioni verdi COVID-19 in ambito scolastico e universitario):
1. Dal 1° settembre 2021 e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza, al fine di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza nell’erogazione in presenza del servizio essenziale di istruzione, tutto il personale scolastico del sistema nazionale di istruzione e universitario, nonché gli studenti universitari, devono possedere e sono tenuti a esibire la certificazione verde COVID-19 di cui all’articolo 9, comma 2.
2. Il mancato rispetto delle disposizioni di cui al comma 1 da parte del personale scolastico e di quello universitario è considerato assenza ingiustificata e a decorrere dal quinto giorno di assenza il rapporto di lavoro è sospeso e non sono dovuti la retribuzione né altro compenso o emolumento, comunque denominato.
3. Le disposizioni di cui al comma 1 non si applicano ai soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della salute.
4. I dirigenti scolastici e i responsabili dei servizi educativi dell’infanzia nonché delle scuole paritarie e delle università sono tenuti a verificare il rispetto delle prescrizioni di cui al comma 1. Le verifiche delle certificazioni verdi COVID-19 sono effettuate con le modalità indicate dal decreto del Presidente del Consiglio dei ministri adottato ai sensi dell'articolo 9, comma 10. Con circolare del Ministro dell’istruzione possono essere stabilite ulteriori modalità di verifica. Con riferimento al rispetto delle prescrizioni di cui al comma 1 da parte degli studenti universitari, le verifiche di cui al presente comma sono svolte a campione con le modalità individuate dalle università.
5. La violazione delle disposizioni di cui ai commi 1 e 4 è sanzionata ai sensi dell'articolo 4 del decreto-legge 25 marzo 2020, n. 19, convertito, con modificazioni, dalla legge 22 maggio 2020, n. 35. Resta fermo quanto previsto dall'articolo 2, comma 2-bis, del decreto-legge 16 maggio 2020, n. 33, convertito, con modificazioni, dalla legge 14 luglio 2020, n. 74.”.
Ulteriori indicazioni e chiarimenti sono presenti nella nota del Ministero dell’Istruzione del 13 agosto 2021, n.1237 con oggetto D. L. n. 111/2021. In essa è espresso il parere secondo il quale non è necessario acquisire copia della certificazione, ritenendosi sufficiente la registrazione dell’avvenuto controllo con atto interno recante l’elenco del personale che ha esibito la certificazione verde e di quello eventualmente esentato.

Comunicazione del DPO per la gestione del Green Pass
documento non più attuale

Informativa green pass
documento non più attuale

L-VERGP Incarico verifica green pass
documento non più attuale

LN-GESTGP incarico gestione green pass
documento non più attuale

R-VERGP Registro verifiche green pass
documento non più attuale

RT-GP Integrazione Registro trattamenti green pass
documento non più attuale

Categoria: News

La O.M. 53/2021, in merito alla pubblicità degli esiti degli scrutini di ammissione agli esami di Stato conclusivi del secondo ciclo di istruzione, dà indicazioni nettamente diverse rispetto alla nota del M.I. 9168 del 9/6/2020 dello scorso anno. La stessa O.M. 52/2021 consente, la pubblicazione dell’esito dell’esame di Stato conclusivo del primo ciclo di istruzione, con l’indicazione del punteggio finale conseguito, distintamente per ogni classe, nell’area documentale riservata del registro elettronico.

Lo staff di GDPR Istruzione è fortemente convinto che la valutazione sia parte integrante del processo formativo e di crescita individuale. La valutazione è anche il momento conclusivo della intensa e fondamentale attività di formazione, momento in cui, trasparentemente, informando degli esiti delle valutazioni, si forniscono elementi che possono essere anche utili per la rendicontazione sociale.

La diffusione, invece, è quel momento particolare in cui, l’attenzione per la privacy deve essere massima, tanto più se si rischia di ledere la sensibilità di un minore.

Eterno “conflitto” Trasparenza-Privacy?

Non si ha diffusione se le informazioni sono veicolate in un ambito circoscritto come può essere la classe. La classe è anche l’ambito principale in cui la valutazione è parte integrante della formazione, ed è un elemento per il confronto e la crescita.

Non si ha diffusione se vengono esposti tabelloni all’interno di un edificio, presidiato da personale autorizzato, e si limita il “rischio di diffusione”, dovuto essenzialmente a foto scattate e pubblicate con vari strumenti informatici, attraverso opportune informative, che richiamano le responsabilità, civili e penali, di chi viola la privacy.

Questo anno si affida ai singoli Titolari del Trattamento, in particolare ai Dirigenti Scolastici del I Ciclo, in mancanza di specifiche indicazioni del MI, la scelta di pubblicare nel registro elettronico di classe l’esito degli scrutini o, al contrario, dare una semplice indicazione di ammissione; le ultime Ordinanze ci trovano, tuttavia, d’accordo su molti aspetti, per cui estenderemmo le indicazioni sulla pubblicazione dell’esito dell’esame di Stato conclusivo del primo ciclo di istruzione, anche alle modalità di pubblicazione degli scrutini di ammissione agli esami stessi.

Un’ultima riflessione riguarda la difficoltà di una attuazione puntuale delle norme vigenti sulla privacy, data la trasversalità e la correlazione con altre norme. Ogni momento sembra ricordarcelo e questo è uno dei tanti. Considerate le evoluzioni e le differenti interpretazioni, suggeriamo di inserire sempre, nel vostro piano formativo, corsi di aggiornamento sulla privacy che coinvolgano il personale scolastico al fine di un miglioramento continuo del sistema e una valorizzazione delle risorse umane.

 Staff GDPR Istruzione

Categoria: News

A seguito della comunicazione di Axios Italia Service del 19/04/2021 in cui vi è evidenza del perdurare della indisponibilità dei dati seppur in modo parziale e limitato, riteniamo necessario procedere a:

1) effettuare comunicazione ad Axios Italia Service, amezzo PEC, in cui richiediamo ulteriori notizie rispetto a quelle già fornite;

2) annotare sul Registro di Data Breach ulteriore riga come da allegato;

3) effettuare la notifica al Garante Per la Protezione dei Dati Personali completando il modello che abbiamo già presisposto e che trovate in allegato. La comunicazione dovrà essere inviata a mezzo PEC all'indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Oggetto: "Notifica Data Breach -  Caso AXIOS"
Corpo: "Spett.le Garante per la Protezione dei Dati, in allegato inviamo la notifica dela Data Breach relativo all'incidente informatico accaduto al nostro responsabile esterno per il trattamento dati di Registro Elettronico e gestione documentale
Il Dirigente Scolastico ..."

Allegati:

Bozza della comunicazione da inviare ad Axios Italia Service

Bozza nuova riga da annotare su registro Data Breach

Guida alla compilazione del modello di Notifica al Garante

Bozza di Notifica al Garante della Protezione dei Dati Personali

 

 

Categoria: News

Privacy GDPR: Il Data Breach nella scuola italiana

Privacy: Il Data Breach nella scuola italianaCon l’introduzione del GDPR, il regolamento europeo sul trattamento dei dati personali, la tutela della privacy dei dati informatici è diventato un tema importante nell'ambito della pubblica amministrazione con particolare focus nell'ambito della scuola italiana. Con esso, un nuovo termine è entrato a far parte del vocabolario: Data Breach. Con Data Breach si intende una qualsiasi violazione ai dati personali, che comporta l’accesso, la perdita, la modifica o la divulgazione non autorizzata di dati personali o il furto di questi. In sostanza, è una violazione alla riservatezza, all’integrità e anche alla disponibilità di tali dati. In questo webinar affronteremo l'argomento data breach focalizzandoci nell'ambito della scuola italiana e dei recenti avventi ad alcune aziende. Data Breach nella scuola. Esempi pratici, cosa si deve fare, come evitarlo.

Relatori:

  • Attilio Milli - GDPRistruzione - Microtech srl
  • Valentino Valente - GDPRistruzione - Digital Documents Solution srl
  • Vera Nicotra - Dropbox
 

Categoria: News
In data 05/04/2021 Axios Italia Service ha comunicato a mezzo PEC che la piattaforma Axios Scuola Digitale (Registro Elettronico e Segreteria Digitale) è stata oggetto di attacco di RANSOMWARE.
Nella stessa PEC riporta: “ai sensi dell’art.33 par.2 del Regolamento UE 2016/679, la presente è per comunicarLe che il Servizio di Sicurezza di ARUBA ENTERPRISE, verso le ore 02.00 del giorno 03/04/2021, ci informava che l’infrastruttura di AXIOS Italia Service Srl SU, attraverso la quale vengono erogati i servizi web di AXIOS SCUOLA DIGITALE, era stata oggetto di un attacco Ransomware di ultimissima generazione che ha reso indisponibili tutti servizi da questa erogati.
In base alle analisi attualmente a nostra disposizione, non risultano esfiltrazioni (estrazioni) di dati personali. Tuttavia, l’attacco ha comportato la crittografia dei dati presenti con la conseguente loro momentanea indisponibilità.
Grazie alla presenza della infrastruttura di Disaster Recovery ed al tempestivo intervento dei nostri esperti siamo riusciti a mitigare l’impatto della violazione e possiamo comunicarLe che i dati non sono stati compromessi.
Stiamo lavorando alacremente con l’obiettivo di rendere disponibili tutti i servizi entro pochi giorni e sarà nostra cura aggiornarLa al loro ripristino.”…
 
Considerati i tempi lunghi di ripristino delle funzionalità del sistema comunicate in data 7/04/2021, dovuti anche ai controlli ulteriori necessari a garantire la sicurezza ed affidabilità dello stesso, si ravvisa la necessità della semplice annotazione sul Registro di Data Breach della VIOLAZIONE DEI DATI PERSONALI per “l’impossibilità di accedere ai dati per attacchi esterni, virus, malware”.
In base ai dati forniti dal Responsabile Esterno del Trattamento AXIOS non si ravvisano motivazioni per le quali è necessario, ai sensi dell’art. 33 comma 1 del GDPR 2019/679, effettuare notifica al Garante della Protezione dei
Dati Personali, in quanto non risultano presenti rischi per i diritti e le libertà delle persone fisiche. Pertanto si ritiene non necessaria nemmeno la notifica agli interessati (alunni, genitori, personale, ecc.).
In allegato inviamo la registrazione dell’evento lesivo della privacy su un modello di Registro Data Breach da completare nelle parti in giallo, protocollare in uscita, conservare agli atti, ed inviare in copia al DPO.
 
Cordiali saluti lo staff di Gdpristruzione.it
 

Registro Data Breach compilato

excel ico 
ABBIAMO ORGANIZZATO UNA VIDEO CONFERENZA PER OFFRIRE MAGGIORI DETTAGLI A TUTTI I DS DELLE SCUOLE COINVOLTE 
Axios - Data Breach e indicazioni operative
gio 8 apr 2021 12:30 - 13:30 (CEST)
 
Video registrazione dell'evento
video 21
 
---
Nel caso in cui la violazione dei dati subita non presenti rischi per i diritti e le libertà delle persone fisiche è infatti necessario (abbiamo utlizzato lo strumento di valutazione messo a disposizione dal Garante della Protezione dei Dati personali di cui riportiamo l'esito):

DEVI DOCUMENTARE LA VIOLAZIONE

Il titolare del trattamento deve documentare tutte le violazioni dei dati personali che si verificano, indipendentemente dal fatto che una violazione debba o meno essere notificata al Garante.

«Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di verificare il rispetto del presente articolo» (cfr. art. 33Apertura sito esterno in una nuova scheda per l'articolo 33 del Regolamento (UE) 2016/679, par. 5, del Regolamento (UE) 2016/679 e art. 26 del D.Lgs 51/2018).

L’obbligo del titolare di documentare tutte le violazioni è collegato al principio di responsabilizzazione (cfr. art. 5Apertura sito esterno in una nuova scheda per l'articolo 5 del Regolamento (UE) 2016/679, par. 2, del Regolamento (UE) 2016/679 e art. 3, comma 4, del D.Lgs 51/2018) e agli obblighi del titolare del trattamento responsabilizzazione (cfr. art. 24Apertura sito esterno in una nuova scheda per l'articolo 24 del Regolamento (UE) 2016/679 del Regolamento (UE) 2016/679 e art. 15 del D.Lgs 51/2018).

Il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni occorse – notificate o meno – e il Garante può chiedere di consultare tale registro.

Oltre ad informazioni quali cause, fatti, dati personali, effetti e conseguenze della violazione, le Linee guidaApertura sito esterno in una nuova scheda per le Linee guida Notifica violazioni raccomandano di documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione, come, ad esempio, il perché una determinata violazione non è stata notificata al Garante. 

 

Per maggiori informazioni fare riferimento al proprio DPO 

Microtech: Attilio Milli o Valentino Valente

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Attilio Milli: 335 565 4057

Valentino Valente: 338 4552068

 

MS Computer:

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Sandro Maini: 335 527 7002

 

Ing. Giovanni Fiorillo

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Giovanni Fiorillo: 347 176 1615

 

SOS Recupero Dati

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Vincenzo Monteforte: 333 7778619