Come si gestisce l'accesso civico generalizzato

Come noto la richiesta di accesso civico generalizzato ha interessato tutte le scuole di ogni ordine e grado, comprese Università, di tutta Italia.

L’interesse generale ha determinato un proliferare di ipotesi di risposta al FOIA di opinioni contrastanti.

Ci si è molto concentrati sul tema dell’ammissibilità o inammissibilità della richiesta, tema che, ovviamente, non è di nostra specifica pertinenza in quanto riguarda la trasparenza.

Cosa bisogna fare in caso di accesso civico generalizzato?

Leggi tutto: Come poter gestire l’accesso civico generalizzato di Monitora-PA

Pubblichiamo esito finale di contenzioso, un caso concreto accaduto in istituto scolastico con DPO Attilio Milli. Un docente accusa l'istituto di violazione della privacy relativamente all'acquisizione dei MAC Address per la navigazione dalla rete WI-FI di istituto e relativamente alla pubblicazione dell'orario scolastico su sito web di una docente, oltre mancanza dell'informativa relativa ai MAC Address.
Seppur caso concreto lo pubblichiamo in quanto anche il Garante lo ha pubblicato su proprio sito, ma abbiamo ritenuto opportuno rimuovere i dati della scuola e del docente.

Un esito finale, dopo lunga istruttoria iniziata nel 2018, che ha visto la scuola uscire indenne dal contenzioso, grazie al fattivo intervento del DS ed anche grazie alle attività predisposte dal DPO e dallo staff GDPRistruzione, oltre alla relazione fondamentale dell'amministratore di sistema.

Accedi per leggere il seguito...

E' arrivata una PEC con richiesta di Accesso Civico Generalizzata alla documentazione riguardante le piattaforme di Registro Elettronico, DaD, DDI, Videoconferenza e messaggistica.

Questa richiesta ha scatenato un’ampia discussione in cui sembra tutto incerto: bisogna rispondere oppure no? Si deve chiedere parere al DPO? Stiamo in ambito privacy o trasparenza? Devo fornire ciò che mi hanno chiesto? Ho tutto ciò che mi hanno chiesto?

Cerchiamo di fare ordine separando gli ambiti.

La richiesta è in ambito della trasparenza della pubblica amministrazione! Nella richiesta ci sono dei punti in cui il DPO è di supporto.

Per i punti relativi alla privacy riceverete una risposta puntuale, per i punti relativi alla trasparenza riceverete il nostro parere non vincolante.

L’accesso civico generalizzato, in acronimo FOIA, è disciplinato dal D.lgs. 33/2013 (Accesso Civico), ed integrato dal D.lgs. 97/2016, e successive integrazioni, e consente ad ogni cittadino, anche senza nessun interesse diretto, di accedere agli atti delle pubbliche amministrazioni.

Crediamo che possano giungere indicazioni in merito da parte dell’RPCT (Direttore Generale USR) o dal Ministero proprio perché è materia di Trasparenza e riguarda moltissime scuole, se non tutte.

L’accesso civico, prevede che l’istanza sia protocollata e fascicolata in modo da generare il relativo registro in XML da pubblicare in amministrazione trasparente.

C’è un richiamo al PNRR, ma le richieste poi sono altre, quindi non trattiamo di PNRR.

Analizziamo le richieste:

Punto 1 - Copia dei contratti - TRASPARENZA

I contratti sono fornibili se non ci sono all’interno riferimenti secretati dalle aziende, altrimenti l’atto pubblico è la determina che è presente in Amministrazione Trasparente. Si potrebbe fornire anche il contratto di licenza d’uso del software/piattaforma in quanto è quello più rilevante ai fini della richiesta, sempre accompagnato dalla determina.

Punto 2 – Copia della DPIA a.s. 20/21 e 21/22 – PRIVACY

La DPIA, per indicazione del Garante, non è stato necessario predisporla.

Punto 3 – Copia delle misure tecniche – PRIVACY e SICUREZZA DIGITALE

Le misure tecniche sono il Regolamento DDI (già regolamento d’istituto) e le istruzioni operative per i docenti relative alla DaD e DDI che abbiamo predisposto in emergenza Covid, che sono state distribuite e che abbiamo in piattaforma GDPRistruzione.it

Punto 4 – Copia della DPIA a.s. corrente 22/23 – PRIVACY

La DPIA, per indicazione del Garante, non è necessario predisporla.

Punto 5 – Copia della TIA a.s. corrente 22/23 – PRIVACY

La TIA è in fase di formalizzazione, correlata alle misure tecniche già adottate e dipendenti dall’analisi dei rischi. Attualmente non sono state utilizzate le piattaforme DaD e DDI con gli alunni e sarà cura dell’istituto utilizzarle, se necessario, appena formalizzate tutte le valutazioni di impatto relative al trasferimento dei dati fuori UE (TIA)

Punto 6 – Copia della valutazione comparativa a.s. corrente 22/23 – TRASPARENZA

La valutazione comparativa tra gli strumenti per la DaD, DDI e comunicazioni è in fase di redazione. Non c’è stata cogenza in quanto le scuole non hanno acquistato in questo anno scolastico queste piattaforme.

Conclusione

Ovviamente sarà nostra cura, per le scuole che sceglieranno di rispondere all’accesso civico generalizzato, predisporre una risposta e la documentazione di nostra pertinenza. Sarà compito della scuola reperire i contratti e le determine, oltre il regolamento e le misure tecniche.

Abbiamo 30 gg per rispondere e non c’è alcun motivo per affrettarsi, sperando in un intervento del MI orientato ad impedire che un diritto normato del cittadino, che assume la forma di richiesta massiva per il Ministero, ma da valutare se da considerare massiva per la singola scuola considerata l’atipicità di PA, sia causa di disservizi in fase di avvio dell’anno scolastico in cui la scuola ha molto altro a cui pensare.

Staff GDPRistruzione.it

Negli ultimi giorni si è aperta una forte discussione, sia tra noi DPO, sia tra le varie organizzazioni di supporto alla scuola ed i vari formatori, sull’adeguatezza della nota di chiarimento riferita alle ultime ordinanze del MI sugli scrutini e sugli esami. Più che chiarire ha confuso! Noi abbiamo affrontato la problematica ed abbiamo pubblicato un articolo cercando di fornire chiare indicazioni alle istituzioni scolastiche. La nota di ulteriori chiarimenti del 9 giugno la troviamo in perfetta sintonia con la norma e con le indicazioni da noi fornite alle scuole da noi seguite per la privacy.
(di Valentino Valente e Attilio Milli)

Accedi per leggere il seguito...

In considerazione delle comunicazioni pervenute a diverse Istituzioni scolastiche di recente in merito alla segnalazione di illecito utilizzo di Google Fonts nei siti web si rappresentano le seguenti precisazioni.

Google Fonts è una raccolta di caratteri che abbelliscono il sito, ottimizzano le sue prestazioni e sono offerti in licenza free.

Per poterli inserire nel sito ci sono due metodi: 1) si sceglie il font da https://fonts.google.com/ si effettua il download del file .ttf e quindi si inserirce nel server web del sito e si “incorpora” nelle pagine attraverso un comando inserito nell’”head” (testata della pagina html del sito il comando è <link .. href="#">); 2 si sceglie il fonts ma si preleva il fonts direttamente dal sito di google che offre gratuitamente anche questo servizio.

Nella seconda opzione, quando il navigatore apre il sito web la pagina del sito richiede automaticamente i file di Google Fonts dai server di Google. Affinché Google possa trasferire il carattere, deve sapere prima dove inviarlo e ciò significa che raccoglie l'indirizzo IP del navigatore. La raccolta e la registrazione dell’indirizzo IP è una violazione della privacy.

La soluzione è semplice basta utilizzare il primo metodo e la richiesta del fonts avverrà sulla risorsa “caricata” direttamente sul server su cui è ospitato il sito web.

Il problema maggiore di adeguamento dei siti web al GDPR deriva dal fatto che moltissime risorse che rendono il sito web più funzionale, interattivo, dinamico, responsive (leggibile sui dispositivi mobili) vengono “caricate” utilizzando il secondo metodo perché presenta alcuni vantaggi che è inutile stare a specificare.

Ci si riferisce in particolare ai fogli di stile .css che ottimizzano l’impaginazione e la grafica, agli script javascript e jquery che consentono animazioni, controlli e altre funzionalità.

Questi ultimi sono potenzialmente più pericoli in quanto rappresentano codici di un linguaggio lato client (interpretato dal browser del navigatore) e si prestano a potenziali violazioni maggiori. Nel caso delle fonts e dei css il pericolo è rappresentato unicamente dal trasferimento dell’indirizzo IP del navigatore in quanto i file sono di per se innocui.

Si potrebbe argomentare sul fatto che l’indirizzo IP è pubblico e che, inevitabilmente, l’utente navigando lo trasferisce automaticamente (il funzionamento del browser stesso lo prevede), e pertanto esso sia difficilmente riconducibile alla persona fisica. Ciò è possibile al provider del servizio di connettività (colui che fornisce internet al dispositivo di accesso fisso o mobile). Dato che la soluzione al problema privacy è semplice applichiamola direttamente. I dirigenti devono semplicemente richiedere ai responsabili esterni a cui è stato affidata la realizzazione del sito di applicare il primo metodo per realizzare i siti web per l'utilizzo di risorse .css, .js, fonts e immagini.

Tutto ciò apre, però, ad uno spunto di riflessione, più i siti sono performanti, maggiore è l’utilizzo di risorse e funzioni esterne; ci si riferisce in particolare alle librerie di funzioni, e servizi offerti come “API” (abbreviazione di interfaccia di programmazione delle applicazioni application programming interface, ovvero un insieme di definizioni e protocolli per la creazione e l'integrazione di software applicativi) e molto altro ancora. Come è possibile rendere sicuro un mondo nato libero e “bello” e che si è diffuso al punto di modificare e permeare la nostra stessa esistenza?

La risposta è la corretta applicazione del GDPR 679/2016 che impone il trattamento dei dati minimi strettamente necessari nel rispetto del principio di massima riservatezza a cui sono tenuti tutti i titolari del trattamento. I titolari del trattamento dati che offrono i servizi dovrebbero adeguarsi e i titolari che richiedono i servizi dovrebbero controllare.

Il GDPR 679/2016 è davvero una gran bella cosa per tutti noi ma a volte "rispettarlo" è davvero difficile!.

Lo staff di gdpristruzione.it è a vostra completa disposizione per consigliare progettare e prospettare soluzioni efficaci a problemi complessi.

Con l'occasione ricordiamo a tutti i dirigenti l'obbligo di adeguarsi al trattamento dati relativo ai "tracciamenti" (google analytics) come descritto in un nostro precedente articolo, facendo verificare tali funzionalità ai responsabili esterni del sito web istituzionale.

La nota di chiarimento del Ministero dell’Istruzione prot n. 8464 del 28/05/2020 ha generato fermento sulla necessità ed opportunità di pubblicare gli esiti degli esami e degli anni intermedi su albo della scuola.
Premesso che la dizione di “albo della scuola” è molto generica in quanto può generare confusione tra “Pubblicità Legale” e le bacheche sparse negli istituti scolastici dove venivano affissi gli esiti dell’anno scolastico divisi per classe e per alunno, ci si aspettava che la nota fornisse un vero chiarimento, invece ha generato ancora più confusione.
Cerchiamo di venirne a capo!

Accedi per leggere il seguito...

Informativa del MI

Fase videoconferenza per la discussione dell’elaborato, ed in attività similari.

Si ricorda che la registrazione e diffusione di tali attività si configura come un trattamento dati avente la seguente finalità: “operazioni connesse alla valutazione finale e agli esami del primo e del secondo ciclo”, effettuabile solo da personale scolastico e nel pieno rispetto dei principi del GDPR 679/2016. Non è necessario il consenso preventivo.

La registrazione relativa è un atto che dovrà poi essere gestito nel rispetto della normativa sulla privacy da parte dell’Istituto scolastico dal personale incaricato in particolare per ciò che attiene alla durata della conservazione, riservatezza, comunicazione a terzi e diffusione.

Accedi per leggere il seguito...

In risposta alle numerose segnalazioni pervenute nelle ultime ore da parte di Istituzioni scolastiche, comuni, e altre amministrazioni pubbliche, che stanno ricevendo una e-mail di diffida da parte di alcuni “ethical hacker" ad oggetto “Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale” vi comunichiamo quanto segue.

Per verificare se è presente nel sito il codice di tracciamento Google Analytics è sufficiente usufruire di molti servizi gratuiti disponibili online (ad es: https://www.cookiebot.com/it/)

Per quelle Amministrazioni pubbliche che hanno già inserito nel proprio sito sistemi per il tracciamento delle visite (o intendono farlo), come richiesto dall’art 7 del CAD, possono utilizzare il sistema messo a disposizione gratuitamente dall’AGID che è conforme al GDPR 679/2016 e consente personalizzazioni.

Come fare?

Il referente di una PA presente su IPA avvii la procedura di registrazione del sito istituzionale, accedendo al portale  https://webanalytics.italia.it/ tramite una identità SPID.

Terminata la semplice registrazione si riceverà una mail con il codice di tracciamento da inserire nel proprio sito web. L’inserimento del codice di tracciamento sul sito può essere affidata a chi attualmente lo gestisce.

Per maggiori informazioni consultate sulle procedure da seguire consultate la pagina:  https://webanalytics.italia.it/how-to-join#video dove è presente anche un video che illustra i vari passaggi.

Ma cos'è il tracciamento Google Analytics?

Google Analytics è uno dei tanti strumenti che Google fornisce per aiutare le persone a capire cosa fanno i visitatori sui siti web. Lo strumento consente di tracciare e analizzare i dati più importanti, sulla provenienza. Permanenza e cosa fanno i visitatori fornendo un quadro delle prestazioni del sito.

Raccolta dati

Il codice raccoglie una vasta gamma di dati, in particolare:

• Quanti visitatori ottengono le tue pagine.
• Da dove arrivano i visitatori delle tue pagine.
• In che modo questi visitatori avanzano sul tuo sito.
• Cosa fanno i visitatori sulle tue pagine.
• In che modo i visitatori interagiscono con gli elementi delle tue pagine.
• Quanto tempo i visitatori trascorrono sulle tue pagine.
• In quale fase di una visita gli utenti lasciano il tuo sito.

Google Analytics utilizza un semplice codice JavaScript per raccogliere tutti questi dati. Il codice viene aggiunto a ogni pagina e inserisce un cookie nel browser di ciascun visitatore del sito. Il cookie invia quindi un hit al tuo Google Analytics che segnala ogni interazione che l'utente ha con il tuo sito.

Lo staff di gdpristruzione.it

In questo breve video vi illustriamo le strategie adottate per la gestione privacy GDPR della Didattica a Distanza e creare le giuste protezioni per l'istituzione.

Riferimento normativo principale DL 05 del 4 febbraio 2022 - https://www.gazzettaufficiale.it/eli/id/2022/02/04/22G00014/sg

Il Decreto Legge 5 febbraio 2022 conferma l’applicazione del regime dell’auto sorveglianza ma modifica i criteri per l’applicazione della didattica a distanza, la sospensione delle attività o la continuazione della didattica in presenza.

L’art. 6 del DL 05/2022 ammette l’accertamento dello stato positivo o negativo rispetto al COVID tramite test antigenico autosomministrato. In questo caso, l’esito negativo del test è attestato tramite autocertificazione. E’ ribadita la possibilità di utilizzo dell’App Verifica C19.

Abrogando esplicitamente quanto previsto nel DL 01: “…L'articolo 4 del decreto-legge 7 gennaio 2022, n. 1, e il comma 1 dell'articolo 30 del decreto-legge 27 gennaio 2022, n. 4, sono abrogati a decorrere dalla data di entrata in vigore del presente decreto e le misure già disposte ai sensi del citato articolo 4 sono ridefinite in funzione di quanto disposto dal presente articolo” precedente è necessario sostituire la precedente informativa anche al fine di portare a conoscenza di tutti le nuove regole.

I modelli di nomina già forniti e il registro richiamano il DL 01/2022, quindi, sarebbe opportuno modificarli con la giusta intestazione.

Ricordiamo che l’autorizzazione concessa dalle norme di prendere visione dello stato vaccinale non comporta la possibilità di eseguire un vero e proprio trattamento dati con conservazione dei certificati e si raccomanda la trascrizione nel registro, tenuto con la massima riservatezza seguendo le regole già fornite, per l’accertabilità della verifica effettuata.

Men che meno è concesso eseguire indagini preventive con richieste di far pervenire lo stato vaccinale all’Istituto al fine di effettuare previsioni e programmazioni.

E’ ammessa la pubblicazione sul sito, con dati aggregati relativi alle classi e senza indicazione di nominativi neanche pseudonomizzati, per la sola finalità di informare sulla numerosità dei casi positivi e di conseguenza le azioni che l’Istituto deve mettere in atto per l’applicazione dell’art 6 del DL 05/2022 relative all’auto sorveglianza, DAD, lezioni in presenza, sospensione delle attività didattiche.

Abbiamo pertanto redatto la seguente documentazione:

- Informativa Decreto Legge 4 febbraio 2022 n. 5 revisione 2 - da personalizzare e pubblicare nel sito e su registro elettronico (download)

- Autorizzazione Incarico Controllo Alunni AUT-DL05 - da personalizzare e far sottoscrivere (download)

- Lista Controllo Accesso Alunni L-CONT-ALU versione 1.1 - da personalizzare e rendere disponibile (download)

- Registro Controllo Accesso Alunni R-CONT-ALU versione 1.1 - da personalizzare e rendere disponibile (download)

Il Cornoravirus purtroppo non permette l'attività didattica in presenza, quindi è necessario che gli studenti possano continuare a frequentare le lezioni in remoto, attraverso la Didattica a Distanza (DaD).

E' stato necessario attivare piattaforme per le classi virtuali e la videoconferenza. Il Ministero dell'Istruzione ha suggerito la possibilità di utilizzo delle piattaforme gratuite offerte da Google e Microsoft, rispettivamente GSUITE e OFFICE365, ma anche dell'uso di ulteriori altrettanto valide, sempre certificate dall'AGID.

Abbiamo predisposto modelli di informative, autorizzazioni, istruzioni, prescrizioni, che rendiamo disponibili affrontando le piattaforme più diffuse nel mondo scolastico, ma restando disponibili ad ampliarerle in funzione delle vostre segnalazioni.

INF10–DaD–COVID-19

Accedi per leggere il seguito...

Considerata la circolare Aran n. 1/22 del 27/01/2022 che riassume le operazioni finalizzate al corretto svolgimento delle elezioni, riteniamo che il dirigente scolastico possa, se ritiene opportuno, fornire l’elenco del personale limitato esclusivamente a nome e cognome alle OO.SS. per le attività strettamente connesse alle elezioni, in particolare per la nomina delle commissioni elettorali. Dovrà essere evidenziato che l’uso delle informazioni fornite non potrà avere finalità di marketing e promozione, ma uso esclusivo delle stesse per le sole attività relative alle elezioni. Suggeriamo di includere la frase: “Gli elenchi del personale fornito vengono concessi per il solo ed esclusivo uso relativo ad attività strettamente collegate alle elezioni. Non vi è consentito utilizzare suddette informazioni per comunicazioni di marketing, promozione sindacale, ed altre attività non connesse alle elezioni.”

Relativamente alla richiesta di indirizzo di posta riteniamo che non sia necessario fornire alcun dato in quanto il dipendente è provvisto di posta elettronica istituzionale Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. . Altri indirizzi di posta personali, o di piattaforme scolastiche tipo GSuite, come pure i numeri di telefono/cellulare, non sono fornibili senza previa autorizzazione formale ed esplicita del dipendente.

Perché questo orientamento?

Come precisato dal Garante della Privacy con atto PROTOCOLLO.U.0049472.28.28/12/2020

Leggi tutto: Si possono fornire gli elenchi del personale alle organizzazioni sindacali?

Gentile Cliente, abbiamo il piacere di invitarla ad evento online:

Privacy GDPR Dirigenti Scolastici.

Evento 5-6 maggio 2020 dalle ore 15.00 alle 17.00 (MAX 240 per evento)

Destinatari: Dirigenti Scolastici

Registrazione obbligatoria in GDPRistruzione.it - Registrazione ai corsi

Relatori: Attilio Milli e Valentino Valente

La partecipazione all'evento è gratuita per i clienti GDPRistruzione.it .

La partecipazione viene considerata evento formativo con rilascio attestato.       REGISTRATI QUI

Con riferimento al Decreto Legislativo n. 1 del 7 gennaio 2022 in molti casi in cui all'interno di una classe/sezione c'è la presenza di uno o più alunni positivi al COVID-19 è necessario effettuare dei controlli sui requisiti che consentono la riammissione in classe degli alunni. Ad esempio aver completato il ciclo vaccinale, avere risultato negativo al tampone, ecc.

Il riferimento normativo principale è l'art. 4 del D.L. 1 / 2022 (vedi sito gazzetta ufficiale) e le conseguenti indicazioni del Ministero dell'Istruzione (vedi allegato).

Pertanto è necessario che la scuola predisponga:

- Lista dei Controlli da effettuare per l’accesso in Classe dell’alunno in caso di necessità previste dalle normative vigenti relative a emergenza COVID-19 (modello L-CONT-ALU)

- Registro Controllo per l’accesso in Classe dell’alunno in caso di necessità previste dalle normative vigenti relative a emergenza COVID-19 (modello R-CONT-ALU)

- La Nomina/Autorizzazione per la verifica della Regolarità ai sensi dell’Art. 4 del D.L. 01 del 7 gennaio 2022 (modello AUT-DL01)

- La diffusione dell'Informativa del Trattamento Dati ai sensi del D.L. 01 del 7 gennaio 2022 (modello INF_DL01)

N.B.: Considerata l'urgenza della predisposizione della documentazione i documenti sono in accesso libero su GDPRistruzione.it

Staff GDPRistruzione.it

La Direttiva  n° 1/2020 all'art. 4 richiama l'obbligo di comunicazione di informazioni utili al contenimento della diffusione del coronavirus per il personale della pubblica amministrazione per i dipendendi pubblici e per chi opera a diverso titolo presso la pubblica amministrazione.

Art. 4 Direttiva n°1/2020

Fermo restando quanto previsto in attuazione del decreto-legge n. 6 del 2020 e nei successivi provvedimenti attuativi, i dipendenti pubblici e coloro che, a diverso titolo, operano presso l’amministrazione, qualora provengano da una delle aree di cui all’articolo 1, comma 1, del  citato decreto-legge o che abbiano avuto contatto con persone provenienti dalle medesime aree sono tenuti a comunicare tale circostanza all’amministrazione ai sensi dell’articolo 20, del decreto legislativo 9 aprile 2008, n. 81, anche per la conseguente informativa all’Autorità sanitaria competente ai fini della salvaguardia della salute del luogo di lavoro.

Accedi per leggere il seguito...

Come anticipato nel precedente articolo la modifica delle funzionalità SIDI per verifica Covid-19 ci impone la redazione di nuova informativa ed eventuali autorizzazioni in caso di delegati. Vedi nota ministeriale

Quindi:

1) Tutto quanto abbiamo predisposto con nota APP Verifica-C19 - Nuova Informativa e nuova Autorizzazione ai Verificatori E' NECESSARIO FARLO ed è attuale, ovvero:

- Informativa INF_GP versione 2.0

- Autorizzazione/Nomina L-VerGP Revisione 2.0

- Registro delle Verifiche Accesso R-VerGP versione 2.0

2) Il Ministero ha predisposto informativa relativa alle verifiche effettuate con SIDI. Suddetta informativa bisogna personalizzarla e diffonderla a tutto il personale (sito web, registro elettronico, bacheche e similari)

- Allegato_n_2_Informativa sul trattamento dei dati personali per la verifica dell'obbligo vaccinale anti Covid-19 del personale docente e ATA

3) Nel caso il DS voglia delegare DSGA o AA o Docenti alla verifica SIDI è necessario predisporre i due documenti seguenti:

- Allegato n_1_Conferimento di delega di funzioni ai fini del controllo dello stato vaccinale Covid-19 del personale docente e ATA

- LN-GestGP - Incarico gestione green pass SIDI

Staff GDPRistruzione.it

Questa domanda ci viene posta molto spesso. Le RSU interne e le Rappresentanze Sindacali delegate sempre più spesso chiedono alle scuole lo schema analitico della ripartizione a consuntivo del Fondo di Istituto FIS e del Bonus, anche con l’indicazione dei nominativi percipienti.

Purtroppo nella normativa non è chiaro se questa richiesta è legittima, il Garante Privacy non si è ancora pronunciato sul caso specifico, ed esistono sentenze discordanti tra TAR e Consiglio di Stato, spesso sentenze applicabili solo a casi specifici.

Di certo non possiamo essere noi a fornirvi la soluzione, magari possiamo ragionare assieme sull’opportunità di fornire questi dati o meno, e poi decidere in autonomia e secondo coscienza.

Lo schema di ripartizione dettagliato, sia per il FIS, sia per il Bonus, è possibile fornirlo qualora i dati siano aggregati in quanto non c’è alcun dato personale da tutelare.

Ma se ci chiedono di più?

Accedi per leggere il seguito...

Con l'introduzione di nuove regole per il personale scolastico relative all'emergenza COVID-19 in cui è esteso l'obbligo vaccinale (vedi circolare MI), ovvero la guarigione da COVID-19, e con l'aggiornamento dell'APP Verifica-C19 necessaria al controllo in modalità "base" o "rafforzata" è necessario:

- Aggiornare l'informativa modello INF_GP alla versione 2.0 pubblicandola su sito web e rendendola disponibile in cartaceo negli spazi in cui viene effettuata la rilevazione del QR-Code con l'App Verifica-C19 (Si consiglia di inviare suddetta informativa a tutto il personale scolastico, anche a mezzo registro elettronico o altro mezzo similare);

- Autorizzare / Incaricare il personale scolastico (CS, Docenti, ATA) che effettuano la verifica con l'App Verifica-C19 mediante il nuovo modello L-VerGP Revisione 2.0 (anche per gli autorizzati con modello revisione 1.1).

- Aggiornare il Registro delle Verifiche Accesso R-VerGP alla versione 2.0

In allegato:

- Informativa INF_GP versione 2.0

- Autorizzazione/Nomina L-VerGP Revisione 2.0

- Registro delle Verifiche Accesso R-VerGP versione 2.0

Ci riserviamo di aggiornare ulteriormente la documentazione in conseguenza del presumibile aggiornarnamento della piattaforma SIDI relativamente alle verifiche Covid-19.

Staff GDPRistruzione.it

Molto spesso ci pongono questo quesito, ovvero se l’incarico di DPO (Responsabile della Protezione Dati) possa essere in conflitto di interesse con l’incarico di Amministratore di Sistema (ADS).

Il dubbio è lecito in quanto le norme pur prevedendo queste figure e attribuendo loro un grande valore  non ‘le definiscono’ chiaramente.

Accedi per leggere il seguito...

Gentile DS titolare del trattamento,

Si informa che a partire dal 06/12/2021 l'APP VerficaC19 è stata aggiornata prevedendo le seguenti tipologie di verifica:
"base" - per certificazione da vaccinazione, guarigione o test antigenico rapido o molecoalre;
"rafforzata" - per certificazione da vaccinazione o guarigione.

L'autorizzato alla rilevazione si deve assicurare di utilizzare sempre la tipologia di verifica appropriata in base alla normativa in cui effettua la scansione.
Consulta la tabella delle attività consentite.

In vista delle iscrizioni relative all’anno scolastico 2020/2021 vogliamo richiamare l’attenzione su alcuni aspetti rilevanti in termini di privacy.

In particolare si richiama l’attenzione:

1. sulla necessità di integrare l’informativa privacy del MIUR con quella propria in quanto nell’informativa del MIUR viene indicato l’Istituto Scolastico come titolare dell’intero trattamento e il MIUR solo della parte dei dati che confluiscono nell’Anagrafe Nazionale degli studenti.
2. ai dati non pertinenti, eccedenti richiesti in caso di personalizzazione del modulo per le scuole che intendono fornire ad alunni e studenti ulteriori servizi in base al proprio Piano triennale dell'offerta formativa e alle risorse disponibili. Le richieste di informazioni finalizzate all' accoglimento delle domande di iscrizione, o per l'attribuzione di precedenze o punteggi nelle graduatorie/liste di attesa, dovranno essere definite con delibera del Consiglio di istituto che evidenzi in maniera puntuale i motivi che rendono indispensabile la raccolta di informazioni ulteriori. La stessa circolare in merito alla informativa: “Le scuole forniscono l'informativa di cui all'articolo 13 del Regolamento (DE) 2016/679, con particolare riferimento ai diritti di cui agli articoli da 15 a 22 del Regolamento” secondo le seguenti modalità:

   Accedi per leggere il seguito...

Ritorniamo su questo argomento anche se affrontato più volte durante le azioni formative.

La regola è che quando si pubblica una graduatoria, la stessa deve riportare esclusivamente i seguenti elementi:

- Posizione in graduatoria;
- Punteggio;
- Cognome e nome;
- Data di nascita (solo ed esclusivamente per gli omonimi, preferibilmente lasciando se sufficiente solo l’anno di nascita senza la data nella sua interezza);

Tutti gli altri elementi che si trovano anche nei vari formati, ad esempio rilasciati da SIDI, non sono pubblicabili nella graduatoria perché con la pubblicazione in albo (Pubblicità Legale) ed in altre sezioni del sito web si opera una forma di diffusione del dato e pertanto è sempre necessario applicare il principio di minimizzazione, indispensabilità e stretta necessità.

Diverso è avere una graduatoria in formato cartaceo o digitale da mostrare all’avente titolo, soggetto di un diritto, anche senza necessità di accesso agli atti o accesso civico. Ovviamente in questo caso si dovrà aver cura di mostrare esclusivamente gli elementi che precedono il soggetto e non quelli successivi alla sua posizione in graduatoria.

Spesso si è indotti a pensare che la graduatoria esportabile da SIDI, in versione privacy, sia effettivamente conforme al GDPR. Non lo è per i motivi di cui sopra e perché redatta in un formato non accessibile (Excel). Excel non è un software gratuito e quindi pubblicando un file in Excel (formato .xls e .xlsx) non si rispettano le normative di accessibilità del dato. Il formato Excel è idoneo a predisporre, una volta ripulito dai dati eccedenti e non pertinenti alle finalità della pubblicazione, un documento in formato pdf/a pubblicabile e accessibile.

Vi esortiamo ad aggiornare i dati da voi pubblicati secondo queste indicazioni, onde evitare che possono insorgere contenziosi privacy.

Si riporta link alla FAQ pubblicata sul sito del garante con il titolo “Gli istituti scolastici possono pubblicare sui propri siti internet le graduatorie di docenti e personale ATA?”

Link: https://www.garanteprivacy.it/faq-ricerca?p_l_id=9328079&_g_gpdp5_customSearch_GGpdp5CustomSearchPortlet_mvcRenderCommandName=%2FrenderSearch&_g_gpdp5_customSearch_GGpdp5CustomSearchPortlet_searchString=Gli+istituti+scolastici+possono+pubblicare+sui+propri+siti+internet+le+graduatorie+di+docenti+e+personale+ATA%3F&p_p_id=g_gpdp5_customSearch_GGpdp5CustomSearchPortlet&p_p_lifecycle=0&p_p_mode=view&p_p_state=normal

Staff GDPRistruzione.it

Precisazioni del Garante tratte da foglietto illustrativo La Privacy nelle Scuole:

È possibile installare un sistema di videosorveglianza negli istituti scolastici quando risulti indispensabile per tutelare l’edificio e i beni scolastici, circoscrivendo le riprese alle sole aree interessate, come ad esempio quelle soggette a furti e atti vandalici.

Accedi per leggere il seguito...

Gli ultimi interventi normativi, le istruzioni operative del Ministero dell’Istruzione, l’imminente attivazione della funzionalità in SIDI della verifica del green pass per il personale scolastico, rende la necessità di aggiornare le informative privacy, le lettere di nomina/autorizzazione al personale che effettuerà la rilevazione e tratterà i dati della stessa, le istruzioni operative e i relativi registri documentali.
Ci permettiamo anche di fornire qualche chiarimento rispetto a quanto visto in varie scuole durante gli ultimi giri periodici in modo che possa essere chiaro a tutti come operare.

Chi è oggetto di rilevazione Green Pass?
- Tutte le persone che accedono nella scuola tranne gli alunni e i soggetti esentati.

Chi effettua la rilevazione?
- Il Dirigente scolastico avvalendosi di Assistenti Amministrativi, Collaboratori Scolastici ed eventuale altro personale, tutti formalmente incaricati/autorizzati.

Cosa si rileva?
- Con l’APP Verifica-C19 la validità del Green Pass

Cosa è cambiato rispetto a prima?
- Che il Green Pass deve essere verificato anche a persone non dipendenti della scuola (genitori, fornitori, tecnici, ecc);
- Che il Ministero ha predisposto una piattaforma in cui si potrà interrogare la validità del Green Pass quotidianamente facendo attenzione a non interrogare per le persone assenti (malattie, permessi, ferie, ecc.).

Cosa implica tutto ciò?

Che è necessario predisporre:

• nuova informativa privacy da pubblicare sul sito e rendere disponibile nel luogo in cui si effettua la rilevazione; (scarica l’informativa)
• nuova lettera di incarico/autorizzazione per si occupa di effettuale la rilevazione, in genere collaboratori scolastici; (scarica la nomina/autorizzazione)
• nuova lettera di incarico/autorizzazione per chi gestisce i dati della rilevazione, interroga la piattaforma SIDI per Green Pass, in genere assistenti amministrativi e DSGA; (scarica la nomina/autorizzazione)
• nuove istruzioni operative per chi effettua questi trattamenti dati; (è opportuno che il DS emani una circolare con le istruzioni cu come bisogna operare)
• nuovi modelli di registro per tenere tracciabilità della rilevazione; (scarica il registro)
• aggiornamento del registro dei trattamenti; (CI PENSIAMO NOI - esempio registro)

Relativamente al registro di rilevazione abbiamo preferito evitare il riferimento diretto a COVID ma ci sembra più opportuno riferirci a “L'accesso è consentito?” che abbia esito SI oppure NO. Ovviamente questo presuppone che ci sia una lista dei controlli da effettuare in cui COVID-19 sia presente, ma anche se ritenuto necessario la temperatura, le dichiarazioni, ecc..

Spesso ci troviamo di fronte a gestione errata delle informazioni rilevate in fase di accesso all’istituto. Facciamo chiarezza:

• Se per l’accesso alla scuola si chiede di compilare una dichiarazione è necessario che la stessa dichiarazione sia conservata in sicurezza e che nella stessa non vi siano informazioni eccedenti le finalità (es. numero di documento di identità, ecc.).
• Se per l’accesso alla scuola si chiede di compilare un registro lo stesso deve essere compilato a cura del collaboratore scolastico, e non a cura della persona che intende accede. Questo perché chi compila non deve poter vedere le informazioni/dati compilati dalle persone precedenti. Se il registro prevede una firma questa deve essere del compilatore, ovvero del collaboratore scolastico.
• Se per l’accesso a scuola si chiede la rilevazione della temperatura corporea è necessario aver predisposto l’informativa.

Tutte le persone che effettuano il trattamento dati devono essere formalmente incaricate/autorizzate ed opportunamente istruite.

Staff GDPRistruzione.it

L'utlizzo delle apparecciature di rilevazione delle presenze con utilizzo di telecamere (videosorveglianza) , rilevazione di dati biometrici (rilevamento del volto) non rispettano i principi di proporzionalità, stretta indispensabilità e minimizzazione.

Il Garante espone anche diverse problematiche di gestione, legate alla Valutazione di impatto, alla conservazione dei dati.

Accedi per leggere il seguito...

Come accennato nel precedente articolo eravamo in attesa di novità giunte in data odierna 31/08/2021.

Il Garante Privacy ai sensi dell’art. 58, par. 3, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri, da adottare di concerto con il Ministro della salute, il Ministro per l'innovazione tecnologica e la transizione digitale e il Ministro dell'economia e delle finanze, concernente “Misure recanti modifiche ed integrazioni alle disposizioni attuative dell'articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante «Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19» di cui al decreto del Presidente del Consiglio dei ministri del 17 giugno 2021”.

Il processo di verifica dovrà essere effettuato quotidianamente prima dell’accesso dei lavoratori in sede e dovrà riguardare solo il personale per cui è prevista l’effettiva presenza in servizio nel giorno della verifica, escludendo comunque chi è assente per specifici motivi: ad esempio, per ferie, permessi o malattia.

A seguito dell’attività di controllo del green pass, i soggetti tenuti alle verifiche potranno raccogliere solo i dati strettamente necessari all’applicazione delle misure previste in caso di mancato rispetto degli obblighi sul green pass (ad esempio assenza ingiustificata, sospensione del rapporto di lavoro e del pagamento dello stipendio).

Particolare attenzione è stata posta anche sulle misure di sicurezza da adottare. I soggetti tenuti ai controlli potranno accedere, in modo selettivo, ai soli dati del personale in servizio presso le istituzioni scolastiche di propria competenza. Per evitare eventuali abusi, le operazioni di verifica del possesso delle certificazioni Covid-19 da parte dei soggetti tenuti ai controlli saranno oggetto di registrazione in appositi log (conservati per dodici mesi), senza però conservare traccia dell’esito delle verifiche.

Le misure semplificate prevedono, in particolare:

• il coordinamento normativo con quanto previsto dal d.l. n. 111/2021 (comma 1);
• l’introduzione di uno specifico allegato tecnico al citato d.P.C.M. del 17 giugno 2021 concernente “Modalità di interazione tra il Sistema informativo dell’istruzione-Sidi e la Piattaforma nazionale-DGC per il controllo semplificato del possesso della certificazione verde Covid-19 da parte del personale scolastico” (commi 2 e 7); la realizzazione di un’apposita funzionalità della Piattaforma nazionale-DGC che, attraverso il Sistema informativo dell’istruzione-Sidi, consente agli Uffici scolastici regionali e alle scuole statali del sistema nazionale di istruzione la verifica quotidiana del possesso delle certificazioni verdi COVID-19 in corso di validità, stabilendo che la stessa sia effettuata prima dell’accesso del personale interessato nella sede ove presta servizio e precisando altresì che la predetta attività di verifica, con riguardo ai dirigenti scolastici, sia svolta dall’Ufficio scolastico regionale competente (commi 3, 4 e 5);
• l’individuazione del ruolo assunto dai diversi soggetti che, a vario titolo, trattano i dati del personale scolastico interessato nell’ambito delle attività di verifica previste dalla legge mediante la nuova funzionalità della Piattaforma nazionale-DGC (comma 6);

Non appena entrerà in vigore il nuovo sistema previsto nel citato decreto sarà possibile effetture la rilevazione dei green pass con le procedure semplificate. Al momento occorre attenersi alle indicazioni del precedente articolo e utilizzare l'App VerificaC19.

Forniremo ulteriori indicazioni al fine di agevolare l'applicazione concreta del DPCM di prossima emanazione.

Il testo integrale del Parere del Garante è disponibile a questo link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9694010

Il comunicato stampa del Garante, invece è disponibile a questo link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9693841

Staff di gdpristruzione.it

(tratto dall'opuscolo informativo del Garante: La Privacy nella scuola)

Trasparenza
Le scuole di ogni ordine e grado sono soggette a un regime di pubblicità e trasparenza.

Stretta indispensabilità e conservazione
È però necessario che gli istituti scolastici prestino particolare attenzione a non rendere accessibili informazioni che dovrebbero restare riservate o a mantenerle on line oltre il tempo consentito, mettendo in questo modo a rischio la privacy e la dignità delle persone a causa di un’errata interpretazione della normativa o per semplice distrazione.

Accedi per leggere il seguito...