La O.M. 53/2021, in merito alla pubblicità degli esiti degli scrutini di ammissione agli esami di Stato conclusivi del secondo ciclo di istruzione, dà indicazioni nettamente diverse rispetto alla nota del M.I. 9168 del 9/6/2020 dello scorso anno. La stessa O.M. 52/2021 consente, la pubblicazione dell’esito dell’esame di Stato conclusivo del primo ciclo di istruzione, con l’indicazione del punteggio finale conseguito, distintamente per ogni classe, nell’area documentale riservata del registro elettronico.

Lo staff di GDPR Istruzione è fortemente convinto che la valutazione sia parte integrante del processo formativo e di crescita individuale. La valutazione è anche il momento conclusivo della intensa e fondamentale attività di formazione, momento in cui, trasparentemente, informando degli esiti delle valutazioni, si forniscono elementi che possono essere anche utili per la rendicontazione sociale.

La diffusione, invece, è quel momento particolare in cui, l’attenzione per la privacy deve essere massima, tanto più se si rischia di ledere la sensibilità di un minore.

Eterno “conflitto” Trasparenza-Privacy?

Non si ha diffusione se le informazioni sono veicolate in un ambito circoscritto come può essere la classe. La classe è anche l’ambito principale in cui la valutazione è parte integrante della formazione, ed è un elemento per il confronto e la crescita.

Non si ha diffusione se vengono esposti tabelloni all’interno di un edificio, presidiato da personale autorizzato, e si limita il “rischio di diffusione”, dovuto essenzialmente a foto scattate e pubblicate con vari strumenti informatici, attraverso opportune informative, che richiamano le responsabilità, civili e penali, di chi viola la privacy.

Questo anno si affida ai singoli Titolari del Trattamento, in particolare ai Dirigenti Scolastici del I Ciclo, in mancanza di specifiche indicazioni del MI, la scelta di pubblicare nel registro elettronico di classe l’esito degli scrutini o, al contrario, dare una semplice indicazione di ammissione; le ultime Ordinanze ci trovano, tuttavia, d’accordo su molti aspetti, per cui estenderemmo le indicazioni sulla pubblicazione dell’esito dell’esame di Stato conclusivo del primo ciclo di istruzione, anche alle modalità di pubblicazione degli scrutini di ammissione agli esami stessi.

Un’ultima riflessione riguarda la difficoltà di una attuazione puntuale delle norme vigenti sulla privacy, data la trasversalità e la correlazione con altre norme. Ogni momento sembra ricordarcelo e questo è uno dei tanti. Considerate le evoluzioni e le differenti interpretazioni, suggeriamo di inserire sempre, nel vostro piano formativo, corsi di aggiornamento sulla privacy che coinvolgano il personale scolastico al fine di un miglioramento continuo del sistema e una valorizzazione delle risorse umane.

 Staff GDPR Istruzione

Privacy GDPR: Il Data Breach nella scuola italiana

Privacy: Il Data Breach nella scuola italianaCon l’introduzione del GDPR, il regolamento europeo sul trattamento dei dati personali, la tutela della privacy dei dati informatici è diventato un tema importante nell'ambito della pubblica amministrazione con particolare focus nell'ambito della scuola italiana. Con esso, un nuovo termine è entrato a far parte del vocabolario: Data Breach. Con Data Breach si intende una qualsiasi violazione ai dati personali, che comporta l’accesso, la perdita, la modifica o la divulgazione non autorizzata di dati personali o il furto di questi. In sostanza, è una violazione alla riservatezza, all’integrità e anche alla disponibilità di tali dati. In questo webinar affronteremo l'argomento data breach focalizzandoci nell'ambito della scuola italiana e dei recenti avventi ad alcune aziende. Data Breach nella scuola. Esempi pratici, cosa si deve fare, come evitarlo.

Relatori:

  • Attilio Milli - GDPRistruzione - Microtech srl
  • Valentino Valente - GDPRistruzione - Digital Documents Solution srl
  • Vera Nicotra - Dropbox
 

In data 05/04/2021 Axios Italia Service ha comunicato a mezzo PEC che la piattaforma Axios Scuola Digitale (Registro Elettronico e Segreteria Digitale) è stata oggetto di attacco di RANSOMWARE.
Nella stessa PEC riporta: “ai sensi dell’art.33 par.2 del Regolamento UE 2016/679, la presente è per comunicarLe che il Servizio di Sicurezza di ARUBA ENTERPRISE, verso le ore 02.00 del giorno 03/04/2021, ci informava che l’infrastruttura di AXIOS Italia Service Srl SU, attraverso la quale vengono erogati i servizi web di AXIOS SCUOLA DIGITALE, era stata oggetto di un attacco Ransomware di ultimissima generazione che ha reso indisponibili tutti servizi da questa erogati.
In base alle analisi attualmente a nostra disposizione, non risultano esfiltrazioni (estrazioni) di dati personali. Tuttavia, l’attacco ha comportato la crittografia dei dati presenti con la conseguente loro momentanea indisponibilità.
Grazie alla presenza della infrastruttura di Disaster Recovery ed al tempestivo intervento dei nostri esperti siamo riusciti a mitigare l’impatto della violazione e possiamo comunicarLe che i dati non sono stati compromessi.
Stiamo lavorando alacremente con l’obiettivo di rendere disponibili tutti i servizi entro pochi giorni e sarà nostra cura aggiornarLa al loro ripristino.”…
 
Considerati i tempi lunghi di ripristino delle funzionalità del sistema comunicate in data 7/04/2021, dovuti anche ai controlli ulteriori necessari a garantire la sicurezza ed affidabilità dello stesso, si ravvisa la necessità della semplice annotazione sul Registro di Data Breach della VIOLAZIONE DEI DATI PERSONALI per “l’impossibilità di accedere ai dati per attacchi esterni, virus, malware”.
In base ai dati forniti dal Responsabile Esterno del Trattamento AXIOS non si ravvisano motivazioni per le quali è necessario, ai sensi dell’art. 33 comma 1 del GDPR 2019/679, effettuare notifica al Garante della Protezione dei
Dati Personali, in quanto non risultano presenti rischi per i diritti e le libertà delle persone fisiche. Pertanto si ritiene non necessaria nemmeno la notifica agli interessati (alunni, genitori, personale, ecc.).
In allegato inviamo la registrazione dell’evento lesivo della privacy su un modello di Registro Data Breach da completare nelle parti in giallo, protocollare in uscita, conservare agli atti, ed inviare in copia al DPO.
 
Cordiali saluti lo staff di Gdpristruzione.it
 

Registro Data Breach compilato

excel ico 
ABBIAMO ORGANIZZATO UNA VIDEO CONFERENZA PER OFFRIRE MAGGIORI DETTAGLI A TUTTI I DS DELLE SCUOLE COINVOLTE 
Axios - Data Breach e indicazioni operative
gio 8 apr 2021 12:30 - 13:30 (CEST)
 
Video registrazione dell'evento
video 21
 
---
Nel caso in cui la violazione dei dati subita non presenti rischi per i diritti e le libertà delle persone fisiche è infatti necessario (abbiamo utlizzato lo strumento di valutazione messo a disposizione dal Garante della Protezione dei Dati personali di cui riportiamo l'esito):

DEVI DOCUMENTARE LA VIOLAZIONE

Il titolare del trattamento deve documentare tutte le violazioni dei dati personali che si verificano, indipendentemente dal fatto che una violazione debba o meno essere notificata al Garante.

«Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di verificare il rispetto del presente articolo» (cfr. art. 33Apertura sito esterno in una nuova scheda per l'articolo 33 del Regolamento (UE) 2016/679, par. 5, del Regolamento (UE) 2016/679 e art. 26 del D.Lgs 51/2018).

L’obbligo del titolare di documentare tutte le violazioni è collegato al principio di responsabilizzazione (cfr. art. 5Apertura sito esterno in una nuova scheda per l'articolo 5 del Regolamento (UE) 2016/679, par. 2, del Regolamento (UE) 2016/679 e art. 3, comma 4, del D.Lgs 51/2018) e agli obblighi del titolare del trattamento responsabilizzazione (cfr. art. 24Apertura sito esterno in una nuova scheda per l'articolo 24 del Regolamento (UE) 2016/679 del Regolamento (UE) 2016/679 e art. 15 del D.Lgs 51/2018).

Il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni occorse – notificate o meno – e il Garante può chiedere di consultare tale registro.

Oltre ad informazioni quali cause, fatti, dati personali, effetti e conseguenze della violazione, le Linee guidaApertura sito esterno in una nuova scheda per le Linee guida Notifica violazioni raccomandano di documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione, come, ad esempio, il perché una determinata violazione non è stata notificata al Garante. 

 

Per maggiori informazioni fare riferimento al proprio DPO 

Microtech: Attilio Milli o Valentino Valente

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Attilio Milli: 335 565 4057

Valentino Valente: 338 4552068

 

MS Computer:

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Sandro Maini: 335 527 7002

 

Ing. Giovanni Fiorillo

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Giovanni Fiorillo: 347 176 1615

 

SOS Recupero Dati

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Vincenzo Monteforte: 333 7778619

 

 

 

 

 

 

 
 

A seguito della comunicazione di Axios Italia Service del 19/04/2021 in cui vi è evidenza del perdurare della indisponibilità dei dati seppur in modo parziale e limitato, riteniamo necessario procedere a:

1) effettuare comunicazione ad Axios Italia Service, amezzo PEC, in cui richiediamo ulteriori notizie rispetto a quelle già fornite;

2) annotare sul Registro di Data Breach ulteriore riga come da allegato;

3) effettuare la notifica al Garante Per la Protezione dei Dati Personali completando il modello che abbiamo già presisposto e che trovate in allegato. La comunicazione dovrà essere inviata a mezzo PEC all'indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Oggetto: "Notifica Data Breach -  Caso AXIOS"
Corpo: "Spett.le Garante per la Protezione dei Dati, in allegato inviamo la notifica dela Data Breach relativo all'incidente informatico accaduto al nostro responsabile esterno per il trattamento dati di Registro Elettronico e gestione documentale
Il Dirigente Scolastico ..."

Allegati:

Bozza della comunicazione da inviare ad Axios Italia Service

Bozza nuova riga da annotare su registro Data Breach

Guida alla compilazione del modello di Notifica al Garante

Bozza di Notifica al Garante della Protezione dei Dati Personali

 

 

Lo psicologo agisce, come il medico competente, in qualità di titolare del trattamento dati.

Come professionista è sottoposto al segreto professionale ma deve ricevere il consenso in quanto da privato tratta personali.
.
L'ordine degli psicologi ha predisposto e pubblicato moduli per la richiesta del consenso sia nel caso di minori che nel caso dei maggiorenni.
 
La scuola emana un bando di selezione ed affida l'incarico al professionista; nel contratto che ne consegue va indicato che lo psicologo agisce come titolare.
 
La scuola, fungendo da tramite per fissare appuntamenti, coordinare le attività, ed avere feedback dell'attività svolta, deve porre particolare attenzione a: