NORME PRIVACY Direttiva 9546CE Rappresenta in quegli anni

NORME PRIVACY Direttiva 95/46/CE Rappresenta, in quegli anni, il principale strumento giuridico dell'Unione europea in materia di protezione dei dati. È stata adottata il 24 ottobre 1995, con lo specifico fine di armonizzare il livello di tutela dei diritti delle persone riguardo al trattamento di dati personali. Legge 675/1996 La Direttiva 95/46/CE, in Italia viene attuata con la Legge n. 675 del 31 dicembre 1996. D. Lgs 30 giugno 2003, n. 196 Il D. Lgs 196/2003, detto anche Codice Privacy, abroga la Legge 675/1996. Prevede il diritto a non vedere trattati i propri dati senza consenso, ma anche l’adozione di cautele tecniche ed organizzative che tutti devono rispettare per procedere in maniera corretta al trattamento dei dati altrui. GDPR (UE 679/2016) L'aumento esponenziale dei servizi online e i conseguenti rischi per i diritti dei cittadini, da coniugare con i crescenti problemi di sicurezza, e quindi le necessità di accedere per fini di polizia e prevenzione alle telecomunicazioni hanno portato al ripensamento dell’intero impianto normativo. Viene varato il Regolamento generale europeo sulla protezione dei dati personali delle persone fisiche. Il Regolamento Generale Europeo, denominato GDPR, è entrato in vigore il 24 maggio 2016. Con esso viene riformata la legislazione europea in materia di protezione dei dati. L’attuazione del GDPR è stata prevista a distanza di due anni, quindi a partire dal 25 maggio 2018. D. lgs. n. 101 del 10 agosto 2018 Ha modificato il D. lgs. 196/2003.

GDPR a SCUOLA Gli istituti scolastici trattano dati personali su larga scala riferiti a soggetti in condizioni di particolare vulnerabilità, i minorenni. Il rischio di un tale trattamento è dunque particolarmente elevato, quindi è necessario garantire un livello elevato di protezione dei dati, adottando misure adeguate e creando delle policy che tutelino i dati trattati, soprattutto i cosiddetti dati particolari (sensibili).

TERMINOLOGIA DATO PERSONALE «dato personale» : qualsiasi informazione riguardante una persona fisica identificata o identificabile ( «interessato» ); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; TRATTAMENTO «trattamento» : qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

TITOLARE DEL TRATTAMENTO Il Titolare del trattamento (data controller) è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati. Al titolare è applicabile il principio della “ACCOUTABILITY” , un principio che lo rende responsabile del trattamento e lo chiama a dar conto di aver trattato i dati nel rispetto delle norme del GDPR in caso di data breach (violazione dei dati). RESPONSABILE DEL TRATTAMENTO Il responsabile del trattamento (nel nuovo regolamento europeo data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR). DESIGNATO Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. DPO/RPD (Data protection officer – Responsabile della protezione dei dati) Il data Protection Officer è una figura introdotta dal Regolamento generale sulla protezione dei dati, Il DPO è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica o privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

ACCOUNTABILITY In relazione al GDPR l’accountability assegna al titolare la responsabilità di fare una valutazione del rischio che il trattamento dei dati personali comporta, adottare le misure adeguate a fronteggiare eventuali violazioni e dimostrare/dar conto di essere conformi al GDPR in caso di data breach. PRIVACY BY DEFAULT Protezione dei dati per impostazione predefinita. Significa che tutte le valutazioni che il titolare del trattamento deve effettuare in tema di protezione dei dati personali devono essere compiute prima di procedere al trattamento dei dati vero e proprio. Seguendo il criterio della privacy by default, infatti, il titolare deve svolgere un'analisi preventiva della situazione complessiva e adottare un approccio pratico che si dovrà, a sua volta, concretizzare in una serie di attività specifiche e dimostrabili. Le soluzioni a cui il titolare del trattamento potrà affidarsi potranno consistere, ad esempio, nella riduzione al minimo del trattamento dei dati personali, nella pseudonimizzazione dei dati personali, nella massima trasparenza sulle finalità e sulle modalità del trattamento di dati personali, nel consentire all'interessato di controllarne il trattamento rendendo facilmente ed effettivamente esercitabili i diritti previsti dal Regolamento. PRIVACY BY DESIGN Garantire la protezione dei dati personali fin dalla progettazione. Se nel progettare una procedura di trattamento dei dati si tiene conto da subito della protezione del dato, allora si può evitare un intervento riparatorio in un secondo momento, in pratica occorre fin dalla progettazione di un trattamento valutare il rischio del trattamento e le misure di protezione adeguate da adottare.

MINIMIZZAZIONE dei DATI Il titolare del trattamento deve utilizzare i dati raccolti solo nei limiti del raggiungimento dello scopo per i quali sono stati richiesti, quindi non richiedere dati che non rientrano nelle finalità del trattamento(es. in una domanda di iscrizione è inutile chiedere il mestiere dei genitori). PSEUDONIMIZZAZIONE La pseudonimizzazione comporta il trattamento dei dati personali in modo tale che gli stessi dati non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile DATA BREACH Violazione dei dati, causata da un accesso non autorizzato, una perdita accidentale, dalla divulgazione a terzi non lecita , la perdita di un dispositivo contenente i dati (in particolare dati sensibili), l’inaccessibilità o la distruzione causata da virus, malware ecc.

Principi applicabili al trattamento di dati personali I dati personali devono essere: a) b) c) d) e) f) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ( «liceità, correttezza e trasparenza» ); raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali ( «limitazione della finalità» ); adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati ( «minimizzazione dei dati» ); esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati ( «esattezza» ); conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato ( «limitazione della conservazione» ); trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Obblighi della scuola Fornire a studenti, famiglie, docenti e personale della scuola le informative che spieghino in maniera semplice e chiara come vengono trattati i loro dati personali, quali sono le finalità del trattamento, quali dati raccolgono, come li utilizzano. Le istituzioni scolastiche pubbliche possono trattare solamente i dati personali necessari al perseguimento di specifiche finalità istituzionali oppure quelli espressamente previsti dalla normativa di settore. Per tali trattamenti, non sono tenute a chiedere il consenso degli studenti. Alcune categorie di dati personali degli studenti e delle famiglie – come quelli sensibili (particolari) e giudiziari – devono essere trattate con estrema cautela, nel rispetto di specifiche norme di legge, verificando prima non solo la pertinenza e completezza dei dati, ma anche la loro indispensabilità rispetto alle “finalità di rilevante interesse pubblico” che si intendono perseguire.

Obblighi della scuola GARANTIRE IL DIRITTO DI ACCESSO AI DATI PERSONALI Anche in ambito scolastico, ogni persona ha diritto di conoscere se sono conservate informazioni che la riguardano, di apprenderne il contenuto, di farle rettificare se erronee, incomplete o non aggiornate. Per esercitare questi diritti è possibile rivolgersi direttamente al “titolare del trattamento” (in genere l’istituto scolastico di riferimento) anche tramite suoi designati o responsabili del trattamento dei dati. Se non si ottiene risposta, o se il riscontro non risulta adeguato, è possibile rivolgersi al Garante o alla magistratura ordinaria. Diverso è il caso dell’accesso agli atti amministrativi che, infatti, non è regolato dal Codice della privacy, né vigilato dal Garante per la protezione dei dati personali.

Obblighi della scuola ISCRIZIONE Tutti gli istituti di ogni ordine e grado devono prestare particolare attenzione alle informazioni che richiedono per consentire l’iscrizione scolastica. I moduli base, ad esempio, possono essere adattati per fornire agli alunni ulteriori servizi secondo il proprio piano triennale dell’offerta formativa (PTOF), ma non possono includere la richiesta di informazioni personali eccedenti e non rilevanti (ad esempio lo stato di salute dei nonni o la professione dei genitori) per il perseguimento di tale finalità. Particolare attenzione deve essere prestata inoltre all’eventuale raccolta di dati sensibili (particolari). Il trattamento di questi dati, oltre a dover essere espressamente previsto dalla normativa, richiede infatti speciali cautele e può essere effettuato solo se tali dati sono indispensabili per l’attività istituzionale svolta.

Obblighi della scuola TEMI IN CLASSE L’insegnante può assegnare ai propri alunni lo svolgimento di temi in classe riguardanti il loro mondo personale o familiare. Nel momento in cui gli elaborati vengono letti in classe - specialmente se riguardano argomenti delicati - è affidata alla sensibilità di ciascun insegnante la capacità di trovare il giusto equilibrio tra le esigenze didattiche e la tutela dei dati personali. Restano comunque validi gli obblighi di riservatezza già previsti per il corpo docente riguardo al segreto d’ufficio e professionale, nonché quelli relativi alla conservazione dei dati personali eventualmente contenuti nei temi degli alunni. VOTI ED ESAMI Gli esiti degli scrutini o degli esami di Stato sono pubblici. Le informazioni sul rendimento scolastico sono soggette ad un regime di conoscibilità stabilito dal Ministero dell’Istruzione dell’Università e della Ricerca. È necessario però che, nel pubblicare i voti degli scrutini e degli esami nei tabelloni, l’istituto scolastico eviti di fornire, anche indirettamente, informazioni sulle condizioni di salute degli studenti, o altri dati personali non pertinenti, non deve emergere dai tabelloni che l’alunno ha sostenuto prove differenziate perché DSA o per altri motivi, ma deve essere indicato solamente nell’attestazione da rilasciare allo studente.

Obblighi della scuola COMUNICAZIONI SCOLASTICHE Il diritto–dovere di informare le famiglie sull’attività e sugli avvenimenti della vita scolastica deve essere sempre bilanciato con l’esigenza di tutelare la personalità dei minori. È quindi necessario evitare di inserire, nelle circolari e nelle comunicazioni scolastiche non rivolte a specifici destinatari, dati personali che rendano identificabili, ad esempio, gli alunni coinvolti in casi di bullismo o in altre vicende particolarmente delicate. DISABILITÀ E DISTURBI SPECIFICI DELL’APPRENDIMENTO Le istituzioni scolastiche devono prestare particolare attenzione a non diffondere, anche per mero errore materiale, dati idonei a rivelare lo stato di salute degli studenti, così da non incorrere in sanzioni amministrative o penali. Non è consentito, ad esempio, pubblicare on line una circolare contenente i nomi degli studenti portatori di handicap. Occorre fare attenzione anche a chi ha accesso ai nominativi degli allievi con disturbi specifici dell’apprendimento (DSA), limitandone la conoscenza ai soli soggetti legittimati previsti dalla normativa, ad esempio i professori che devono predisporre il piano didattico personalizzato.

Obblighi della scuola SMARTPHONE E TABLET L’utilizzo di telefoni cellulari, di apparecchi per la registrazione di suoni e immagini è in genere consentito, ma esclusivamente per fini personali, e sempre nel rispetto dei diritti e delle libertà fondamentali delle persone coinvolte (siano essi studenti o professori) in particolare della loro immagine e dignità. Le istituzioni scolastiche hanno, comunque, la possibilità di regolare o di inibire l’utilizzo di registratori, smartphone, tablet e altri dispositivi elettronici all’interno delle aule o nelle scuole stesse. Gli studenti e gli altri membri della comunità scolastica, in ogni caso, non possono diffondere o comunicare sistematicamente i dati di altre persone (ad esempio pubblicandoli su Internet) senza averle prima informate adeguatamente e averne ottenuto l’esplicito consenso. Si deve quindi prestare particolare attenzione prima di caricare immagini e video su blog o social network, oppure di diffonderle attraverso mms o sistemi di messaggistica istantanea. Succede spesso, tra l’altro, che una fotografia inviata a un amico o a un familiare venga poi inoltrata ad altri destinatari, generando involontariamente una comunicazione a catena dei dati personali raccolti. Tale pratica può dar luogo a gravi violazioni del diritto alla riservatezza delle persone riprese, e fare incorrere in sanzioni disciplinari, pecuniarie e in eventuali reati. IMMAGINI DI RECITE E GITE SCOLASTICHE Non violano la privacy le riprese video e le fotografie raccolte dai genitori durante le recite, le gite e i saggi scolastici. Le immagini, in questi casi, sono raccolte per fini personali e destinate a un ambito familiare o amicale e non alla diffusione. Va però prestata particolare attenzione alla eventuale pubblicazione delle medesime immagini su Internet, e sui social network in particolare.

Obblighi della scuola REGISTRAZIONE DELLA LEZIONE E STRUMENTI COMPENSATIVI È possibile registrare la lezione esclusivamente per scopi personali, ad esempio per motivi di studio individuale. Per ogni altro utilizzo o eventuale diffusione, anche su Internet, è necessario prima informare adeguatamente le persone coinvolte nella registrazione (professori, studenti…) e ottenere il loro esplicito consenso. Nell’ambito dell’autonomia scolastica, gli istituti possono decidere di regolamentare diversamente o anche di inibire l’utilizzo di apparecchi in grado di registrare. In ogni caso deve essere sempre garantito il diritto degli studenti con diagnosi DSA (disturbi specifici dell’apprendimento) o altre specifiche patologie di utilizzare tutti gli strumenti compensativi (come il registratore) di volta in volta previsti nei piani didattici personalizzati che li riguardano. QUESTIONARI PER ATTIVITÀ DI RICERCA La raccolta di informazioni personali, spesso anche sensibili, per attività di ricerca effettuate da soggetti legittimati attraverso questionari è consentita soltanto se i ragazzi, o i genitori nel caso di minori, sono stati preventivamente informati sulle modalità di trattamento e conservazione dei dati raccolti e sulle misure di sicurezza adottate. Studenti e genitori devono comunque essere lasciati liberi di non aderire all’iniziativa

Registri di cui la scuola deve dotarsi: • • il registro delle attività di trattamento il registro per la gestione delle violazioni il registro della formazione il registro della strumentazione.

D. P. I. A Data Protection Impact Assessment Valutazione impatto nel trattamento dei dati La valutazione d’impatto (Data Protection Impact Assessment, abbreviata anche in “DPIA”) è uno dei nuovi adempimenti previsti dal GDPR, che, all’art. 35, prevede il suo svolgimento da parte del Titolare quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In questo documento il Titolare valuta il rischio del trattamento, le conseguenze di eventuali violazioni e gli strumenti e modalità di fronteggiare le violazioni dei dati (data breach).

ALERT!!!! • utilizzo indebito degli account personali, per comunicazioni o attività scolastiche • utilizzo del proprio smartphone personale, da parte del personale docente, anche per comunicazioni inerenti aspetti scolastici, magari sollecitati da uno o più genitori, come nell’ipotesi di richiesta di invio di informazioni personali dei loro figli. È sufficiente immaginare la foto o il video di un ragazzo/a effettuato dal personale docente, magari per documentare una situazione. Ciò può comportare una conservazione non autorizzata di quei dati nel proprio telefono e nei telefoni di tutti i partecipanti in caso di invio in una conversazione di gruppo, oltre che un trasferimento all’estero in caso si utilizzino le diverse applicazioni di messaggistica. • inserire sull’homepage del sito istituzionale l’elenco degli alunni divisi per classi. Tale pubblicazione, se avviene senza il consenso dei genitori, può integrare una divulgazione non autorizzata, oltre che comportare un’esposizione dei nomi degli alunni all’indicizzazione sui motori di ricerca. Ciò significa che in caso qualcuno volesse, per un qualsiasi motivo illecito, cercare quel minore, che magari ha un nome poco comune, lo potrebbe trovare semplicemente scrivendo il suo nome e cognome su internet. Uno dei concetti che il Regolamento europeo sulla protezione dei dati vuole sviluppare e tutelare è che la problematica dei dati personali non concerne necessariamente solo il dato personale in quanto tale, ma molto più spesso riguarda il contesto in cui un dato si inserisce. Contesto che, a volte, è sconosciuto a chi effettua una qualsiasi operazione di trattamento. Tale divulgazione, che fino a oggi è stata pratica quanto mai diffusa, anche se da tempo rimproverata dall’Autorità Garante, dopo il 25 maggio 2018 assume i crismi di un potenziale data breach.

ALERT!!!! Lavorare con macchine e sistemi obsoleti è un grosso rischio. va chiarito però che non tutti gli strumenti necessitano di essere acquistati ex novo, in quanto spesso molte postazioni computer sono utilizzate per laboratori o altre attività, per cui non necessitano di particolari implementazioni, non trattenendo dati personali. Ma è necessario, invece, investire sugli strumenti utilizzati per quelle attività che comportano un trattamento di dati personali. Le macchine, quindi, utilizzate dal Dirigente scolastico, dal Direttore dei servizi generali e amministrativi e più in generale quelli utilizzati dagli uffici della segreteria, dovrebbero dotarsi di maggiori sistemi di sicurezza. Esempi, talvolta, banali di accorgimenti da implementare sono l’adozione di sistemi operativi in grado di essere aggiornati, avere antivirus e firewall funzionali, prevedere e predisporre una procedura di autenticazione personale che preveda l’utilizzo di password aventi caratteristiche adeguate o la possibilità di conservare le copie dei documenti relativi alle attività svolte su un server separato, dotato di un sistema di backup e, possibilmente, con gruppo di continuità. Vi è da specificare che la corretta gestione dei profili autorizzativi degli utenti o anche una policy che preveda che le password non siano lasciate nella disponibilità di chiunque abbia accesso alle postazioni informatiche, sono accorgimenti che possono scongiurare anche ipotesi di reato, come per esempio l’accesso abusivo a sistema informatico, punito ai sensi dell’art. 615 -ter cod. pen. Anche le password devono essere sottoposte ad una valutazione di adeguatezza e pertanto non devono essere identiche per tutti i servizi e devono essere di una certa complessità, seppur evitando un eccesso in tal senso, in quanto un’eccessiva complessità provoca una complessa gestione.

Misure da adottare per garantire la sicurezza e la riservatezza dei dati la pseudonimizzazione, la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico e una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Va comunque specificato che tali misure non devono essere solo adottate, ma è necessario che siano costantemente testate per verificare la loro capacità di far fronte alle mutevoli condizioni tecnologiche e organizzative.

DATA BREACH Violazione dei dati A seguito di una violazione di dati personali (data breach) è prevista una procedura specifica e molto delicata. in caso di violazione dei dati, si è obbligati a notificare all’Autorità Garante e, soprattutto, un obbligo, a certe condizioni, di comunicazione delle violazioni agli interessati. La notifica dovrà essere fatta senza ingiustificato ritardo, ovvero entro 72 ore dal momento in cui si è venuti a conoscenza dell’avvenuta violazione. In caso di ritardo nella notifica, occorrerà specificare i motivi del ritardo. A livello contenutistico la notifica dovrà prevedere: la descrizione della natura della violazione e, se possibile, le categorie e il numero approssimativo di interessati coinvolti; la comunicazione del nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; la descrizione delle probabili conseguenze della violazione; la descrizione delle misure adottate per rimediare alla violazione e, laddove possibile, per attenuarne i possibili effetti negativi. In caso tutte queste informazioni non si possano fornire contestualmente, si potranno anche fornire in fasi successive, adducendo i motivi del ritardo. Ciò permette di poter assolvere all’obbligo di notifica nelle 72 ore, specificando meglio le modalità di intervento in un successivo momento. Tutte le violazioni di dati personali subite devono essere documentate dal Titolare, o dal responsabile, in un apposito registro comprensivo delle circostanze, delle conseguenze e dei provvedimenti adottati per porvi rimedio. Questo documento può essere oggetto di verifica da parte dell’Autorità Garante, in quanto elemento ulteriore di accountability.

Link utili: • https: //www. iisvicodevivo. edu. it/gdpr/index. php • https: //www. garanteprivacy. it/home/faq/scuola-e-privacy