E' arrivata una PEC con richiesta di Accesso Civico Generalizzata alla documentazione riguardante le piattaforme di Registro Elettronico, DaD, DDI, Videoconferenza e messaggistica.

Questa richiesta ha scatenato un’ampia discussione in cui sembra tutto incerto: bisogna rispondere oppure no? Si deve chiedere parere al DPO? Stiamo in ambito privacy o trasparenza? Devo fornire ciò che mi hanno chiesto? Ho tutto ciò che mi hanno chiesto?

Cerchiamo di fare ordine separando gli ambiti.

La richiesta è in ambito della trasparenza della pubblica amministrazione! Nella richiesta ci sono dei punti in cui il DPO è di supporto.

In considerazione delle comunicazioni pervenute a diverse Istituzioni scolastiche di recente in merito alla segnalazione di illecito utilizzo di Google Fonts nei siti web si rappresentano le seguenti precisazioni.

Google Fonts è una raccolta di caratteri che abbelliscono il sito, ottimizzano le sue prestazioni e sono offerti in licenza free.

Per poterli inserire nel sito ci sono due metodi: 1) si sceglie il font da https://fonts.google.com/ si effettua il download del file .ttf e quindi si inserirce nel server web del sito e si “incorpora” nelle pagine attraverso un comando inserito nell’”head” (testata della pagina html del sito il comando è <link .. href="#">); 2 si sceglie il fonts ma si preleva il fonts direttamente dal sito di google che offre gratuitamente anche questo servizio.

In risposta alle numerose segnalazioni pervenute nelle ultime ore da parte di Istituzioni scolastiche, comuni, e altre amministrazioni pubbliche, che stanno ricevendo una e-mail di diffida da parte di alcuni “ethical hacker" ad oggetto “Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale” vi comunichiamo quanto segue.

Per verificare se è presente nel sito il codice di tracciamento Google Analytics è sufficiente usufruire di molti servizi gratuiti disponibili online (ad es: https://www.cookiebot.com/it/)

Per quelle Amministrazioni pubbliche che hanno già inserito nel proprio sito sistemi per il tracciamento delle visite (o intendono farlo), come richiesto dall’art 7 del CAD, possono utilizzare il sistema messo a disposizione gratuitamente dall’AGID che è conforme al GDPR 679/2016 e consente personalizzazioni.

Come fare?

Il referente di una PA presente su IPA avvii la procedura di registrazione del sito istituzionale, accedendo al portale  https://webanalytics.italia.it/ tramite una identità SPID.

Terminata la semplice registrazione si riceverà una mail con il codice di tracciamento da inserire nel proprio sito web. L’inserimento del codice di tracciamento sul sito può essere affidata a chi attualmente lo gestisce.

Per maggiori informazioni consultate sulle procedure da seguire consultate la pagina:  https://webanalytics.italia.it/how-to-join#video dove è presente anche un video che illustra i vari passaggi.

Ma cos'è il tracciamento Google Analytics?

Google Analytics è uno dei tanti strumenti che Google fornisce per aiutare le persone a capire cosa fanno i visitatori sui siti web. Lo strumento consente di tracciare e analizzare i dati più importanti, sulla provenienza. Permanenza e cosa fanno i visitatori fornendo un quadro delle prestazioni del sito.

analytics

Raccolta dati

Il codice raccoglie una vasta gamma di dati, in particolare:

  • Quanti visitatori ottengono le tue pagine.
  • Da dove arrivano i visitatori delle tue pagine.
  • In che modo questi visitatori avanzano sul tuo sito.
  • Cosa fanno i visitatori sulle tue pagine.
  • In che modo i visitatori interagiscono con gli elementi delle tue pagine.
  • Quanto tempo i visitatori trascorrono sulle tue pagine.
  • In quale fase di una visita gli utenti lasciano il tuo sito.

Google Analytics utilizza un semplice codice JavaScript per raccogliere tutti questi dati. Il codice viene aggiunto a ogni pagina e inserisce un cookie nel browser di ciascun visitatore del sito. Il cookie invia quindi un hit al tuo Google Analytics che segnala ogni interazione che l'utente ha con il tuo sito.

 

Lo staff di gdpristruzione.it

 

Da analisi dei documenti emerge che è un trattamento dati rispondente alle finalità di pubblico interesse e di obbligo che deriva da  disposizioni ministeriali che rientrano nelle finalità tipiche di un Istituto Scolastico. 
Nel regolamento relativo al trattamento dei dati sensibili è previsto che possiate trasferire informazioni ex sensibili ora ex art 9 gdpr 2016/679 al Ministero, inoltre tali informazioni sono essenziali alla ASSEGNAZIONE DI PERSONALE DOCENTE DI SOSTEGNO E PER FAVORIRE IL COSTANTE MIGLIORAMENTO DELL’INCLUSIONE SCOLASTICA DEGLI ALUNNI DIVERSAMENTE ABILI e pertanto non necessita del consenso preventivo da parte dei genitori/tutori. Lo stesso Ministero cita: "Come noto, il decreto ministeriale 28 luglio 2016, n.162 ha previsto la creazione della partizione di Anagrafe Nazionale degli Studenti dedicata agli alunni con disabilità. Tale previsione risponde alle disposizioni in materia di privacy nel trattamento dei dati ai sensi della normativa vigente." Leggendo il manuale ho rilevato che il Ministero ha predisposto l'inserimento di informazioni sensibili, prevedendo figure preposte alla immissione dei dati ESPRESSAMENTE AUTORIZZATE, ha predisposto l'anomizzazione/pseudonimizzazione dei dati particolari e ha tenuto in debito conto delle informazioni visualizzabili e gestibili da parte dei possibili destinatari delle informazioni stesse.
 
Nelle informative predisposte relative a tutti i trattamenti operati che riguardano genitori e alunni, per esigenze di semplicità e scorrevolezza delle informazioni, non viene specificato puntualmente questo particolare trattamento che necessità di ulteriori e maggiori dettagli da sottoporre all'attenzione dell'interessato.
 
Inoltre, considerato che  dovete comunque chiedere ai genitori/tutori l'autorizzazione/consenso a trasferire i dati del fascicolo ad altro istituto, abbiamo predisposto lettera informativa/consenso e rendiamo disponibile informativa erogata dal MI ai sensi dell'art.14 (in quanto riceve i dati dagli istituti scolastici e non li acquisisce direttamente dall'interessato)
 
Staff GDPRistruzione.it
 

Informativa del MI

 

Riferimento normativo principale DL 05 del 4 febbraio 2022 - https://www.gazzettaufficiale.it/eli/id/2022/02/04/22G00014/sg

Il Decreto Legge 5 febbraio 2022 conferma l’applicazione del regime dell’auto sorveglianza ma modifica i criteri per l’applicazione della didattica a distanza, la sospensione delle attività o la continuazione della didattica in presenza.

L’art. 6 del DL 05/2022 ammette l’accertamento dello stato positivo o negativo rispetto al COVID tramite test antigenico autosomministrato. In questo caso, l’esito negativo del test è attestato tramite autocertificazione. E’ ribadita la possibilità di utilizzo dell’App Verifica C19.

Abrogando esplicitamente quanto previsto nel DL 01: “…L'articolo 4 del decreto-legge 7 gennaio 2022, n. 1, e il comma 1 dell'articolo 30 del decreto-legge 27 gennaio 2022, n. 4, sono abrogati a decorrere dalla data di entrata in vigore del presente decreto e le misure già disposte ai sensi del citato articolo 4 sono ridefinite in funzione di quanto disposto dal presente articolo” precedente è necessario sostituire la precedente informativa anche al fine di portare a conoscenza di tutti le nuove regole.

I modelli di nomina già forniti e il registro richiamano il DL 01/2022, quindi, sarebbe opportuno modificarli con la giusta intestazione.

Ricordiamo che l’autorizzazione concessa dalle norme di prendere visione dello stato vaccinale non comporta la possibilità di eseguire un vero e proprio trattamento dati con conservazione dei certificati e si raccomanda la trascrizione nel registro, tenuto con la massima riservatezza seguendo le regole già fornite, per l’accertabilità della verifica effettuata.

Men che meno è concesso eseguire indagini preventive con richieste di far pervenire lo stato vaccinale all’Istituto al fine di effettuare previsioni e programmazioni.

E’ ammessa la pubblicazione sul sito, con dati aggregati relativi alle classi e senza indicazione di nominativi neanche pseudonomizzati, per la sola finalità di informare sulla numerosità dei casi positivi e di conseguenza le azioni che l’Istituto deve mettere in atto per l’applicazione dell’art 6 del DL 05/2022 relative all’auto sorveglianza, DAD, lezioni in presenza, sospensione delle attività didattiche.

Abbiamo pertanto redatto la seguente documentazione:

- Informativa Decreto Legge 4 febbraio 2022 n. 5 revisione 2 - da personalizzare e pubblicare nel sito e su registro elettronico (download)

- Autorizzazione Incarico Controllo Alunni AUT-DL05 - da personalizzare e far sottoscrivere (download)

- Lista Controllo Accesso Alunni L-CONT-ALU versione 1.1 - da personalizzare e rendere disponibile (download)

- Registro Controllo Accesso Alunni R-CONT-ALU versione 1.1 - da personalizzare e rendere disponibile (download)