Gestione corretta dei GLO
Sempre più spesso riscontriamo criticità nella gestione dei GLO, causa, a volte, di redazione di Data Breach.
Convocazione e tenuta dei GLO 📧
Non è ammessa alcuna pubblicazione (circolari, convocazioni etc.) con dati da cui è possibile risalire ai nominativi degli interessati. 🚫 L’anonimizzazione con iniziali del nome e cognome non è assolutamente conforme alla normativa sulla privacy come evidenziato dal Garante.
E’ ammessa la convocazione delle riunioni tramite invio di mail da account istituzionale (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.) solo ai destinatari tenuti a far parte del team di lavoro inseriti in copia carbone nascosta CCN/BCC, in modo tale che ciascuno non rilevi gli altri destinatari a cui è stata inviata la mail. 📩
Qualora il soggetto incaricato della ASL pretenda l’indicazione del nominativo dell’alunno per cui è organizzato il GLO, questo dato è possibile comunicarlo all’indirizzo istituzionale della ASL preferibilmente in PEC.
Videoconferenza GLO 💻
Per prassi le ASL richiedono di partecipare in videoconferenza organizzata dall’Istituto scolastico spesso tramite account gratuiti di meet e teams.
Tramite mail dell’Istituto è ammissibile l’invio del link di partecipazione alla videoconferenza applicando le seguenti regole:
- Divieto assoluto di inserire nome e cognome alunno (è possibile utilizzare pseudonimo e non iniziali di nome e cognome);
- Divieto assoluto di registrazione;
- Ammissione alla Videoconferenza in modalità manuale dopo aver effettuato controllo del richiedente;
- Predisposizione di Videoconferenze individuali in modo da avere la partecipazione alle stesse solo per i docenti, personale ASL e famiglia dell’alunno;
- Evitare di utilizzare la stessa videoconferenza per più GLO consecutivi, ovvero assicurandosi che i partecipanti del GLO siano gli effettivi appartenenti al team.
Nella gestione dei GLO è fortemente raccomandato, seppur faticoso, l’uso di pseudonimi a migliore tutela della privacy dell’alunno.
Ricordiamo che sarebbe preferibile utilizzare sistemi di videoconferenza proprietari su server residenti in Europa che utilizzano la crittografia.
📢 Lista di cose da fare per GESTIRE LA PRIVACY A SCUOLA
GDPR Istruzione: la privacy senza preoccupazione!
Se la gestione dei documenti sulla privacy a scuola ti sembra un labirinto, non sei solo. Tra informative, consensi, nomine e aggiornamenti normativi, è facile sentirsi sommersi.
Per questo motivo, abbiamo creato una risorsa che mette finalmente ordine e chiarezza nelle tue procedure: un video tutorial e la guida pratica che lo accompagna!
✅ Privacy a Scuola: la lista delle cose da fare
Nel nostro ultimo video (trovi il link qui sotto), ti guidiamo passo dopo passo attraverso la normativa vigente e le procedure essenziali. Non è una lezione di diritto, ma una vera e propria lista di cose da fare per garantire che la tua scuola sia perfettamente conforme.
Cosa imparerai guardando il video e scaricando la guida:
1. Zero dubbi sulle informative
Scopri quali informative sono obbligatorie (alunni, personale, fornitori) e dove pubblicarle (sito web, registro elettronico). Ti spieghiamo anche quando non serve l'informativa specifica.
2. Quando serve davvero il consenso?
Fare chiarezza sul consenso ti farà risparmiare tempo e ti metterà al sicuro da rischi. Ti mostriamo quando l'autorizzazione è necessaria (ad esempio, per le foto) e quando invece è già coperta dagli obblighi di legge.
3. Chi fa cosa: trattamenti e responsabilità
Abbiamo mappato tutti i principali trattamenti dati della scuola (dalla selezione del personale alla didattica, T1-T9), indicando chiaramente chi ne è autorizzato (DS, DSGA, Assistenti Amministrativi, ecc.).
4. Autorizzazioni/Nomine e Responsabili Esterni
Ti guidiamo nella stesura e nella gestione delle lettere di autorizzazione per tutto il personale interno e ti spieghiamo come gestire la nomina dei Responsabili Esterni (come le ditte del registro elettronico o dell'assistenza informatica).
🎥 Guarda il video
Clicca qui sotto per accedere al tutorial completo e avere subito una visione chiara di tutte le procedure.
➡️ https://www.youtube.com/watch?v=S0SPdA1GWz4
📄 Vuoi la guida stampabile?
Per chi preferisce la consultazione su carta o non può usare il video, abbiamo preparato una guida pratica completa in formato PDF. La trovi QUI
Le informazioni sul rendimento scolastico e sulla pubblicazione dell’esito degli esami sono soggette ad un regime di conoscibilità stabilito dalla normativa di settore e dal Ministero. Ai sensi delle indicazioni del Ministero dell’Istruzione e del Garante per la protezione dei dati personali (doc. web n. 9367295), la pubblicazione degli esiti degli scrutini ed esami è soggetta a specifici limiti per la tutela dei dati personali degli studenti, in particolare se minorenni. A tal riguardo è interessante il vademecum del Garante di cui riportiamo le indicazioni dettate nelle pagine 27 e 28.
VOTI ED ESAMI VITA DELLO STUDENTE (vademecum garante)
Le informazioni sul rendimento scolastico e sulla pubblicazione dell’esito degli esami sono soggette ad un regime di conoscibilità stabilito dalla normativa di settore e dal Ministero.
Salvo lo specifico regime di pubblicità relativo agli esiti degli esami di Stato, non è ammessa la pubblicazione online degli esiti degli scrutini (vedi appendice, doc. web n. 9367295).
La pubblicazione dei voti online costituisce una forma di diffusione di dati particolarmente invasiva e non conforme all’attuale quadro normativo in materia di protezione dei dati.
Una volta pubblicati, infatti, i voti rischiano di rimanere in rete per un tempo indefinito e possono essere utilizzati da soggetti estranei alla comunità scolastica, determinando un’ingiustificata violazione del diritto alla riservatezza degli studenti che sono in gran parte minori, con possibili ripercussioni anche sullo sviluppo della loro personalità.
E' attiva la nuoa piattaforma di formazione Privacy per il personale scolastico.
La piattaforma è raggiungibile al link https://gdpristruzione.eu dove ogni utente della scuola potrà crearsi un account in autonomia.
Per poter accedere ai corsi sarà necessaria una KEY di iscrizione che viene fornita ad ogni scuola, chiave che permette di associare l'utente alla scuola.
Il corso ha durata di circa 3 ore comprensive di test finale.
Il test composto da 30 domande casuali su una rosa di circa 150 domande. Per superare è necessario rispondere correttamente al 70% (21 domande).
Superato il test si riceverà l'attestato sulla propia mail. L'attestato dovrà essere inviato a scuola in modo che possa essere inserito nel fascicolo personale e fascicolo "Formazione Privacy".
Per qualsiasi chiarimento e supporto la mail di riferimento è Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Staff GDPRistruzione.it
I social ci spingono ancora una volta a valutare le criticità privacy e a dare indicazioni alle scuole e al personale scolastico su come operare.
Meta, ovvero Facebook, Instagram e whatsapp, salvo esplicita opposizione da parte degli utenti dal prossimo mese utilizzerà i contenuti pubblicati sulle tre piattaforme per addestrare la sua intelligenza artificiale. Potrà utilizzare sia i contenuti esistenti e quelli che si andranno a pubblicare in futuro.
Quest’uso dei dati personali (foto, video, testi identificanti persone fisiche) instaura un nuovo trattamento non previsto dai precedenti accordi e quindi in palese violazione privacy.
Cosa bisogna fare?
Account social della scuola
- opposizione immediata al trattamento dati (obbligatorio)
- rimozione delle foto, video, audio e dati di alunni già pubblicate (consigliato)
Account social personali
- rimozione delle foto, video, audio e dati di alunni già pubblicate (obbligatorio)
- opposizione immediata al trattamento dati (scelta personale)
Account Whatsapp rimozione delle foto, video, audio e dati di alunni già pubblicate
- rimozione delle foto, video, audio e dati di alunni già pubblicate (obbligatorio)
- rimozione di qualsiasi dato scolastico che riporta nominativi di alunni (obbligatorio)
- opposizione immediata al trattamento dati personali (scelta personale)
Link per opposizione al trattamento dati
Opposizione al trattamento per gli utenti Facebook: https://www.facebook.com/help/contact/712876720715583
Opposizione al trattamento per gli utenti Instagram: https://help.instagram.com/contact/767264225370182
Opposizione al trattamento per gli interessati che non utilizzano i prodotti Meta (senza login): https://www.facebook.com/help/contact/510058597920541
Noi DPO abbiamo più volte richiesto molta attenzione quando si utilizzano per lavoro alcuni strumenti anche in considerazione di rilevanti sanzioni dell’Autorità che lasciano dubbi e incertezze sulle modalità di utilizzo dei dati personali da parte di Società che offrono servizi gratuiti.
A titolo di esempio riportiamo il link della sanzione di un milione di euro del Garante a Facebook ora Meta nel caso Cambridge Analytica:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9121352#:~:text=Il%20Garante%20per%20la%20protezione,aveva%20usati%20per%20tentare%20di
Il fatto:
Il Garante privacy avvisa con un comunicato disponibile a questo link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10125702 che META addestrerà l’Intelligenza artificiale con i dati storici degli utenti che non si opporranno.
Meta gestisce Facebook, Instagram e whatsapp e altro.
La scadenza è la fine del mese di maggio termine ultimo per esercitare il diritto di opposizione al trattamento dati.
L’opposizione, se esercitata entro fine maggio, permette di sottrarre all’addestramento dell’intelligenza artificiale di Meta tutte le informazioni personali, mentre se esercitata successivamente interesserà solo i contenuti pubblicati successivamente e non quelli già online.
Ricordiamo che il Garante sta lavorando con le altre Autorità europee per valutare la conformità del trattamento dei dati personali che Meta ha annunciato di voler porre in essere sulla base del legittimo interesse.
Le Autorità, inoltre, hanno chiesto a Meta informazioni sull’uso di immagini di utenti di età inferiore ai diciotto anni pubblicate da utenti adulti.
Staff GDPRistruzione.it
Microtech srl
Viale Dante 140b - CASSINO (FR)
Tel. 0776 26110 - Fax 077621046
email: microtech@webmicrotech.it
internet: www.webmicrotech.it
contatto: Attilio Milli - 3355654057
Digital Documents Solution srl
Via Enrico De Nicola 61 - CASSINO (FR)
Tel: 0776/311963
email: info@flussodigitale.it
internet: www.flussodigitale.it
contatto: Valentino Valente - 338 455 2068
MS Computer Soc. Coop.
Via Campo Isabella 6 – Strangolagalli (FR)
Tel. 0775978138
email: sandro.maini@ms-computers.it
internet: www.ms-computers.it
contatto: Sandro Maini - 3355277002
SOS Recupero Dati
Via Salice, 78 - 80013 - Casalnuovo (NA)
Tel. 081.01.02.117
email: info.recuperodati@sosrecuperodati.it
internet: www.sosrecuperodati.it