Visto l'interesse riscontrato da diversi istituti scolastici, dirigenti, docenti e a volte ache genitori che ci chiedono la possibilità di documentare le attività svolte dagli alunni in classe e anche di renderle disponibili alle rispettive famiglie, abbiamo scritto un articolo esplicativo per ORIZZONTE SCUOLA.
L'articolo è consultabile a questo indirizzo:
Lo staff di gdpistruzione
Il sostegno psicologico è utile al raggiungimento degli obiettivi formativi partendo dalla promozione del benessere nel contesto scolastico ed è una grande opportunità per affrontare e risolvere problematiche collegate alla crescita, legate spesso all'insuccesso, all'ansia da prestazione, alla dispersione scolastica o al bullismo, problematiche tipiche del periodo adolescenziale.
Casi rilevati di erogazione del servizio di assistenza psicologica negli istituti scolastici e azioni privacy.
1) Sportello psicologico
Il titolare del trattamento dati è lo psicologo. Materialmente l’Istituto scolastico mette a disposizione del professionista una aula riservata in cui viene svolto il trattamento dati. Il professionista iscritto all’ordine è tenuto al segreto professionale e viene individuato dall’Istituto attraverso una idonea procedura di selezione.
- La richiesta di assistenza psicologica viene effettuata direttamente dall’interessato o nel caso dei minori dai genitori/tutori. La richiesta può essere inoltrata direttamente ai recapiti dell’interessato o in busta chiusa in una casella messa a disposizione dalla scuola
In tal caso l’Istituto non effettua trattamento dati. Se la modalità di richiesta di assistenza psicologica dovesse essere diversa si potrebbe configurare il caso che la scuola raccolta le richieste degli interessati effettuando un trattamento dati per conto del Titolare (lo psicologo professionista) e dovrebbe essere nominato dallo stesso Responsabile esterno al trattamento dati ai sensi dell’art. 28 del GDPR 679/2016.
L’Istituto informa tutti della possibilità di accedere gratuitamente al servizio.
Lo psicologo deve ricevere il consenso al trattamento dati dal suo assistito avvalendosi della modulistica fornita dall’ordine di appartenenza.
2) Lezioni in aula
L’Istituto dopo aver reclutato il professionista esterno, con le dovute procedure di selezione e controlli, gli affida il compito di tenere lezioni in aula. L’Istituto deve autorizzare al trattamento dati il professionista esterno alla stregua di un docente interno.
E’ buona prassi informare i genitori/tutori dell’iniziativa.
3) Osservazioni in aula di soggetti bisognosi.
In questo caso occorre richiedere informativa/consenso a tutti i genitori/tutori degli alunni.3 Utlizzare il protocollo disponibile nell'area riservata ai documenti.
Eventuali altre casistiche difformi dal presente schema vanno analizzate caso per caso.
Confronta flusso riassuntivo
Ritorniamo su questo argomento anche se affrontato più volte durante le azioni formative.
La regola è che quando si pubblica una graduatoria, la stessa deve riportare esclusivamente i seguenti elementi:
- Posizione in graduatoria;
- Punteggio;
- Cognome e nome;
- Data di nascita (solo ed esclusivamente per gli omonimi, preferibilmente lasciando se sufficiente solo l’anno di nascita senza la data nella sua interezza);
Tutti gli altri elementi che si trovano anche nei vari formati, ad esempio rilasciati da SIDI, non sono pubblicabili nella graduatoria perché con la pubblicazione in albo (Pubblicità Legale) ed in altre sezioni del sito web si opera una forma di diffusione del dato e pertanto è sempre necessario applicare il principio di minimizzazione, indispensabilità e stretta necessità.
Diverso è avere una graduatoria in formato cartaceo o digitale da mostrare all’avente titolo, soggetto di un diritto, anche senza necessità di accesso agli atti o accesso civico. Ovviamente in questo caso si dovrà aver cura di mostrare esclusivamente gli elementi che precedono il soggetto e non quelli successivi alla sua posizione in graduatoria.
Spesso si è indotti a pensare che la graduatoria esportabile da SIDI, in versione privacy, sia effettivamente conforme al GDPR. Non lo è per i motivi di cui sopra e perché redatta in un formato non accessibile (Excel). Excel non è un software gratuito e quindi pubblicando un file in Excel (formato .xls e .xlsx) non si rispettano le normative di accessibilità del dato. Il formato Excel è idoneo a predisporre, una volta ripulito dai dati eccedenti e non pertinenti alle finalità della pubblicazione, un documento in formato pdf/a pubblicabile e accessibile.
Vi esortiamo ad aggiornare i dati da voi pubblicati secondo queste indicazioni, onde evitare che possono insorgere contenziosi privacy.
Si riporta link alla FAQ pubblicata sul sito del garante con il titolo “Gli istituti scolastici possono pubblicare sui propri siti internet le graduatorie di docenti e personale ATA?”
Staff GDPRistruzione.it
Formazione in presenza, gratuita, con attestato di partecipazione- Esonero dal servizio. Destinatari Dirigenti e DSGA.
Relatori DPO Attilio Milli e Valentino Valente
Per Iscriversi: https://forms.gle/JZYoXKh7u7cKqT6e9
Gli ultimi interventi normativi, le istruzioni operative del Ministero dell’Istruzione, l’imminente attivazione della funzionalità in SIDI della verifica del green pass per il personale scolastico, rende la necessità di aggiornare le informative privacy, le lettere di nomina/autorizzazione al personale che effettuerà la rilevazione e tratterà i dati della stessa, le istruzioni operative e i relativi registri documentali.
Ci permettiamo anche di fornire qualche chiarimento rispetto a quanto visto in varie scuole durante gli ultimi giri periodici in modo che possa essere chiaro a tutti come operare.
Chi è oggetto di rilevazione Green Pass?
- Tutte le persone che accedono nella scuola tranne gli alunni e i soggetti esentati.
Chi effettua la rilevazione?
- Il Dirigente scolastico avvalendosi di Assistenti Amministrativi, Collaboratori Scolastici ed eventuale altro personale, tutti formalmente incaricati/autorizzati.
Cosa si rileva?
- Con l’APP Verifica-C19 la validità del Green Pass
Cosa è cambiato rispetto a prima?
- Che il Green Pass deve essere verificato anche a persone non dipendenti della scuola (genitori, fornitori, tecnici, ecc);
- Che il Ministero ha predisposto una piattaforma in cui si potrà interrogare la validità del Green Pass quotidianamente facendo attenzione a non interrogare per le persone assenti (malattie, permessi, ferie, ecc.).
Cosa implica tutto ciò?
Che è necessario predisporre:
- nuova informativa privacy da pubblicare sul sito e rendere disponibile nel luogo in cui si effettua la rilevazione; (scarica l’informativa)
- nuova lettera di incarico/autorizzazione per si occupa di effettuale la rilevazione, in genere collaboratori scolastici; (scarica la nomina/autorizzazione)
- nuova lettera di incarico/autorizzazione per chi gestisce i dati della rilevazione, interroga la piattaforma SIDI per Green Pass, in genere assistenti amministrativi e DSGA; (scarica la nomina/autorizzazione)
- nuove istruzioni operative per chi effettua questi trattamenti dati; (è opportuno che il DS emani una circolare con le istruzioni cu come bisogna operare)
- nuovi modelli di registro per tenere tracciabilità della rilevazione; (scarica il registro)
- aggiornamento del registro dei trattamenti; (CI PENSIAMO NOI - esempio registro)
Relativamente al registro di rilevazione abbiamo preferito evitare il riferimento diretto a COVID ma ci sembra più opportuno riferirci a “L'accesso è consentito?” che abbia esito SI oppure NO. Ovviamente questo presuppone che ci sia una lista dei controlli da effettuare in cui COVID-19 sia presente, ma anche se ritenuto necessario la temperatura, le dichiarazioni, ecc..
Spesso ci troviamo di fronte a gestione errata delle informazioni rilevate in fase di accesso all’istituto. Facciamo chiarezza:
- Se per l’accesso alla scuola si chiede di compilare una dichiarazione è necessario che la stessa dichiarazione sia conservata in sicurezza e che nella stessa non vi siano informazioni eccedenti le finalità (es. numero di documento di identità, ecc.).
- Se per l’accesso alla scuola si chiede di compilare un registro lo stesso deve essere compilato a cura del collaboratore scolastico, e non a cura della persona che intende accede. Questo perché chi compila non deve poter vedere le informazioni/dati compilati dalle persone precedenti. Se il registro prevede una firma questa deve essere del compilatore, ovvero del collaboratore scolastico.
- Se per l’accesso a scuola si chiede la rilevazione della temperatura corporea è necessario aver predisposto l’informativa.
Tutte le persone che effettuano il trattamento dati devono essere formalmente incaricate/autorizzate ed opportunamente istruite.
Staff GDPRistruzione.it
Riportiamo per comodità quanto affermato dal Garante delle Privacy nelle faq disponibili a questo link: https://www.garanteprivacy.it/home/faq/scuola-e-privacy
Al punto 13 il Garante precisa che si possono pubblicare sul sito della scuola le graduatorie dei docenti e del personale ATA perché consente a chi ambisce a incarichi e supplenze di conoscere la propria posizione e il proprio punteggio. Tali liste devono però contenere solo il nome, il cognome, il punteggio e la posizione in graduatoria. È invece eccedente la pubblicazione dei numeri di telefono e degli indirizzi privati dei candidati.
Operativamente:
- Le graduatorie si pubblicano in Pubblicità Legale (albo online).
- Nelle graduatorie si riportano: posizione, cognome, nome, punteggio totale. Nessun altro dato è ammesso.
- se vi sono persone escluse dalla graduatoria si lasciano il relativo numero di righe vuote a inizio graduatoria in cui si indica posizione e punteggio, ma nessun altro dato. (possibile tecnica)
- E’ ammessa la diffusione dell’informazione di pubblicazione in altre sezioni del sito della scuola con il link all’albo.
- E’ inopportuno l’invio delle graduatorie al personale a mezzo mail.
- Le graduatorie restano visionabili dagli aventi diritto in versione più ampia (con dati ulteriori) nella segreteria scolastica, sotto controllo dell’AA, con divieto di fotografia.
Staff GDPRistruzione.it
Come accennato nel precedente articolo eravamo in attesa di novità giunte in data odierna 31/08/2021.
Il Garante Privacy ai sensi dell’art. 58, par. 3, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri, da adottare di concerto con il Ministro della salute, il Ministro per l'innovazione tecnologica e la transizione digitale e il Ministro dell'economia e delle finanze, concernente “Misure recanti modifiche ed integrazioni alle disposizioni attuative dell'articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante «Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19» di cui al decreto del Presidente del Consiglio dei ministri del 17 giugno 2021”.
Il processo di verifica dovrà essere effettuato quotidianamente prima dell’accesso dei lavoratori in sede e dovrà riguardare solo il personale per cui è prevista l’effettiva presenza in servizio nel giorno della verifica, escludendo comunque chi è assente per specifici motivi: ad esempio, per ferie, permessi o malattia.
A seguito dell’attività di controllo del green pass, i soggetti tenuti alle verifiche potranno raccogliere solo i dati strettamente necessari all’applicazione delle misure previste in caso di mancato rispetto degli obblighi sul green pass (ad esempio assenza ingiustificata, sospensione del rapporto di lavoro e del pagamento dello stipendio).
Particolare attenzione è stata posta anche sulle misure di sicurezza da adottare. I soggetti tenuti ai controlli potranno accedere, in modo selettivo, ai soli dati del personale in servizio presso le istituzioni scolastiche di propria competenza. Per evitare eventuali abusi, le operazioni di verifica del possesso delle certificazioni Covid-19 da parte dei soggetti tenuti ai controlli saranno oggetto di registrazione in appositi log (conservati per dodici mesi), senza però conservare traccia dell’esito delle verifiche.
Le misure semplificate prevedono, in particolare:
- il coordinamento normativo con quanto previsto dal d.l. n. 111/2021 (comma 1);
- l’introduzione di uno specifico allegato tecnico al citato d.P.C.M. del 17 giugno 2021 concernente “Modalità di interazione tra il Sistema informativo dell’istruzione-Sidi e la Piattaforma nazionale-DGC per il controllo semplificato del possesso della certificazione verde Covid-19 da parte del personale scolastico” (commi 2 e 7); la realizzazione di un’apposita funzionalità della Piattaforma nazionale-DGC che, attraverso il Sistema informativo dell’istruzione-Sidi, consente agli Uffici scolastici regionali e alle scuole statali del sistema nazionale di istruzione la verifica quotidiana del possesso delle certificazioni verdi COVID-19 in corso di validità, stabilendo che la stessa sia effettuata prima dell’accesso del personale interessato nella sede ove presta servizio e precisando altresì che la predetta attività di verifica, con riguardo ai dirigenti scolastici, sia svolta dall’Ufficio scolastico regionale competente (commi 3, 4 e 5);
- l’individuazione del ruolo assunto dai diversi soggetti che, a vario titolo, trattano i dati del personale scolastico interessato nell’ambito delle attività di verifica previste dalla legge mediante la nuova funzionalità della Piattaforma nazionale-DGC (comma 6);
Non appena entrerà in vigore il nuovo sistema previsto nel citato decreto sarà possibile effetture la rilevazione dei green pass con le procedure semplificate. Al momento occorre attenersi alle indicazioni del precedente articolo e utilizzare l'App VerificaC19.
Forniremo ulteriori indicazioni al fine di agevolare l'applicazione concreta del DPCM di prossima emanazione.
Il testo integrale del Parere del Garante è disponibile a questo link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9694010
Il comunicato stampa del Garante, invece è disponibile a questo link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9693841
Staff di gdpristruzione.it
Ci siamo nuovamente, ancora una volta vediamo un uso borderline dell'accesso civico generalizzato. Questa voltà la finalità promozionale è abbastanza evidente.
Ricordiamo che l'accesso civico generalizzato è un diritto del cittadino, che lo stesso cittadino deve essere identificabile perché l'istanza sia accoglibile, e che per la ostensione dei dati e/o documenti bisogna verificare l'applicabilità delle limitazioni poste dalla norma.
Analizzando la richiesta notiamo che non ci sono problematiche di privacy, che non ci sono altri limiti oggettivi, ma che per fornire il dato richiesto la segreteria dovrebbe effettuare una rielaborazione dei dati contabili detenuti. La rielaborazione dei dati non deve essere un onere della amministrazione.
E' pur vero che tipicamente le scuole negli ultimi 3 anni non hanno acquisito alcuna servizio formativo avente oggetto assimilabile alla richiesta di AssoRUP.
Abbiamo, pertanto, predisposto due possibili risposte:
- una risposta basata sul Diniego a causa della necessità di rielaborare i dati detenuti dalla scuola;
- una risposta basata sull'accoglimento considerato che in genere non sono stati acquisiti servizi prospettati, ovvero, qualora fossero stati acquisiti la loro entità numerica è sicuramente esigua.
Resta alla sensibilità del Dirigente Scolastico scegliere una delle due possibili risposte.
NOTA BENE: QUANTO QUI RIPORTATO NON E' PIU' COMPLETAMENTE ATTUALE PER EFFETTO DEL D.L.122 DEL 10 SETTEMBRE 2021. VI INVITIAMO A LEGGERE L'ARTICOLO PIU' RECENTE
Riteniamo che il Ministero possa emanare una circolare esplicativa sull'argomento. In attesa abbiamo predisposto modulistica e procedure sulla base delle norme e circolari in essere.
Il riferimento normativo in merito alla gestione dei green pass è il D. L. 6/8/2021, n. 111 “Misure urgenti per l’esercizio in sicurezza delle attività scolastiche, universitarie, sociali e in materia di trasporti” che ha introdotto nel D. Lgs 52/2021 il seguente ART. 9-ter (Impiego delle certificazioni verdi COVID-19 in ambito scolastico e universitario):
1. Dal 1° settembre 2021 e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza, al fine di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza nell’erogazione in presenza del servizio essenziale di istruzione, tutto il personale scolastico del sistema nazionale di istruzione e universitario, nonché gli studenti universitari, devono possedere e sono tenuti a esibire la certificazione verde COVID-19 di cui all’articolo 9, comma 2.
2. Il mancato rispetto delle disposizioni di cui al comma 1 da parte del personale scolastico e di quello universitario è considerato assenza ingiustificata e a decorrere dal quinto giorno di assenza il rapporto di lavoro è sospeso e non sono dovuti la retribuzione né altro compenso o emolumento, comunque denominato.
3. Le disposizioni di cui al comma 1 non si applicano ai soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della salute.
4. I dirigenti scolastici e i responsabili dei servizi educativi dell’infanzia nonché delle scuole paritarie e delle università sono tenuti a verificare il rispetto delle prescrizioni di cui al comma 1. Le verifiche delle certificazioni verdi COVID-19 sono effettuate con le modalità indicate dal decreto del Presidente del Consiglio dei ministri adottato ai sensi dell'articolo 9, comma 10. Con circolare del Ministro dell’istruzione possono essere stabilite ulteriori modalità di verifica. Con riferimento al rispetto delle prescrizioni di cui al comma 1 da parte degli studenti universitari, le verifiche di cui al presente comma sono svolte a campione con le modalità individuate dalle università.
5. La violazione delle disposizioni di cui ai commi 1 e 4 è sanzionata ai sensi dell'articolo 4 del decreto-legge 25 marzo 2020, n. 19, convertito, con modificazioni, dalla legge 22 maggio 2020, n. 35. Resta fermo quanto previsto dall'articolo 2, comma 2-bis, del decreto-legge 16 maggio 2020, n. 33, convertito, con modificazioni, dalla legge 14 luglio 2020, n. 74.”.
Ulteriori indicazioni e chiarimenti sono presenti nella nota del Ministero dell’Istruzione del 13 agosto 2021, n.1237 con oggetto D. L. n. 111/2021. In essa è espresso il parere secondo il quale non è necessario acquisire copia della certificazione, ritenendosi sufficiente la registrazione dell’avvenuto controllo con atto interno recante l’elenco del personale che ha esibito la certificazione verde e di quello eventualmente esentato.
In tanti si aspettava il nuovo accordo sulla trasferibilità dei dati tra Europa e Stati Uniti. La Decisione di Adeguatezza della Commissione Europea prende il nome di “EU-US Data Privacy Framework” ed è stato emanato il 10 luglio 2023.
Grazie a questa decisione sarà nuovamente possibile trasferire i dati, anche delle PA, negli Stati Uniti, ma dovrà attendersi che il Dipartimento del Commercio USA certifichi le aziende che vogliono operare con i dati dei cittadini europei. Presumiamo che ci vorrà un mese circa, ma sicuramente per il prossimo anno scolastico ritorneranno lecite le soluzioni già adottate da molte scuole ed ora sospese su nostro consiglio.
Ovviamente Schrems ha già annunciato un nuovo ricorso alla CGEU ma anche qui i tempi saranno lunghi e probabilmente assisteremo ad un ulteriore ping pong.
Qui trovate i primi documenti utili, ma a breve rilasceremo un articolo più puntuale e sicuramente programmeremo un webinar per parlare dei nuovi scenari.
Vi anticipo che lo scenario è positivo, ma dovremo regolamentare l’uso delle piattaforme e andrà attuata la pseudonimizzazione come misura addizionale di sicurezza sui dati.
I primi documenti per approfondire:
Protezione dei dati: la Commissione europea adotta una nuova decisione di adeguatezza per la circolazione sicura e affidabile dei flussi di dati UE-USA
Adequacy decision for the EU-US Data Privacy Framework (in inglese)
La O.M. 53/2021, in merito alla pubblicità degli esiti degli scrutini di ammissione agli esami di Stato conclusivi del secondo ciclo di istruzione, dà indicazioni nettamente diverse rispetto alla nota del M.I. 9168 del 9/6/2020 dello scorso anno. La stessa O.M. 52/2021 consente, la pubblicazione dell’esito dell’esame di Stato conclusivo del primo ciclo di istruzione, con l’indicazione del punteggio finale conseguito, distintamente per ogni classe, nell’area documentale riservata del registro elettronico.
Lo staff di GDPR Istruzione è fortemente convinto che la valutazione sia parte integrante del processo formativo e di crescita individuale. La valutazione è anche il momento conclusivo della intensa e fondamentale attività di formazione, momento in cui, trasparentemente, informando degli esiti delle valutazioni, si forniscono elementi che possono essere anche utili per la rendicontazione sociale.
La diffusione, invece, è quel momento particolare in cui, l’attenzione per la privacy deve essere massima, tanto più se si rischia di ledere la sensibilità di un minore.
Eterno “conflitto” Trasparenza-Privacy?
Non si ha diffusione se le informazioni sono veicolate in un ambito circoscritto come può essere la classe. La classe è anche l’ambito principale in cui la valutazione è parte integrante della formazione, ed è un elemento per il confronto e la crescita.
Non si ha diffusione se vengono esposti tabelloni all’interno di un edificio, presidiato da personale autorizzato, e si limita il “rischio di diffusione”, dovuto essenzialmente a foto scattate e pubblicate con vari strumenti informatici, attraverso opportune informative, che richiamano le responsabilità, civili e penali, di chi viola la privacy.
Questo anno si affida ai singoli Titolari del Trattamento, in particolare ai Dirigenti Scolastici del I Ciclo, in mancanza di specifiche indicazioni del MI, la scelta di pubblicare nel registro elettronico di classe l’esito degli scrutini o, al contrario, dare una semplice indicazione di ammissione; le ultime Ordinanze ci trovano, tuttavia, d’accordo su molti aspetti, per cui estenderemmo le indicazioni sulla pubblicazione dell’esito dell’esame di Stato conclusivo del primo ciclo di istruzione, anche alle modalità di pubblicazione degli scrutini di ammissione agli esami stessi.
Un’ultima riflessione riguarda la difficoltà di una attuazione puntuale delle norme vigenti sulla privacy, data la trasversalità e la correlazione con altre norme. Ogni momento sembra ricordarcelo e questo è uno dei tanti. Considerate le evoluzioni e le differenti interpretazioni, suggeriamo di inserire sempre, nel vostro piano formativo, corsi di aggiornamento sulla privacy che coinvolgano il personale scolastico al fine di un miglioramento continuo del sistema e una valorizzazione delle risorse umane.
Staff GDPR Istruzione
L’accesso civico generalizzato è un istituto poco conosciuto nelle PA e spesso è confuso con accesso civico o anche accesso agli atti. Facciamo chiarezza.
Accesso agli atti: quando si ha un interesse legittimo concreto ed attuale si può accedere agli atti che in qualche modo riguardano il richiedente.
Accesso civico: quando semplicemente si richiedono dati oggetto di pubblicazione obbligatoria in Amministrazione Trasparente e la PA ha disatteso la pubblicazione, o la pubblicazione non è completa, disciplinato dal DLgs. 33/2013.
Accesso civico generalizzato: Chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione. E’ il diritto del cittadino di poter accedere ai dati e agli atti della pubblica amministrazione, introdotto dal D.Lgs. 97/2016 in adozione del FOIA Freedom of Information Act ed in estensione di quanto previsto per l’accesso civico dal D.Lgs. 33/2013. Per dettagli ANAC vedere delibera 1309 del 2016.
Chi può richiederlo? |
il cittadino italiano, o residente in Italia. Anche un soggetto giuridico, ad esempio un sindacato o una associazione. |
Con quale motivazione? |
Non occorre alcuna motivazione. |
Bisogna pagare? |
No, tranne i costi documentati qualora le informazioni dovessero essere consegnate su supporto. |
Si deve usare un modulo? |
L’amministrazione può predisporre una modulistica, ma l’utente può non usarla inviando l’istanza per mail, PEC, posta, o consegna a URP. |
Cosa si può chiedere? |
Documenti o dati detenuti da pubbliche amministrazioni. |
Bisogna identificarsi? |
Si, con documento o altro mezzo. È necessario per poter rispondere. In caso di difetto si chiede all’istante l’integrazione. |
Si deve dettagliare la richiesta? |
L’oggetto della richiesta deve chiaro. Nel caso di richiesta non chiara l’amministrazione deve instaurare un dialogo collaborativo con l’istante in modo tale da individuare la corretta richiesta di dati/documenti. |
Cosa si deve fare? |
Protocollare la richiesta tempestivamente; Iniziare un procedimento amministrativo; Adottare un provvedimento - di accoglimento con ostensione degli atti/dati; - di diniego motivandolo; - di parziale accoglimento/diniego motivandolo; - registrare la richiesta e gli esiti in Amministrazione Trasparente; |
Quali sono i tempi? |
30 giorni per provvedimento e risposta, estensibili fino a ulteriori 10 giorni nel caso dovessero esserci dei controinteressati. |
Qualora i dati fossero detenuti da altra PA? |
L’amministrazione gestisce l’accesso civico generalizzato e lo inoltra ad altra PA notificandolo all’istante. |
Bisogna elaborare le informazioni? |
Assolutamente no. I dati, o gli atti, vengono forniti così come detenuti, tranne i casi di necessità di rimozione di dati personali o particolari (privacy) |
Nel caso di diniego o non risposta? |
Ci si può rivolgere al RPCT (Direttore USR) e se necessario al TAR |
Come si può notare l’accesso civico generalizzato è un potere molto forte consesso al cittadino!
Veniamo al caso specifico.
WebUp nella persona di rappresentante legale propone istanza di accesso civico generalizzato.
Si è correttamente identificato? No, non ha allegato un documento, la PEC utilizzata non è quella ufficiale dell’azienda comunicata alla Camera di Commercio.
È questa motivazione per il diniego? No. Si può richiedere di integrare la domanda in modo da permettere la corretta identificazione e far ripartire i 30 giorni per la risposta.
C’è la motivazione? Si, ma è ininfluente in questo tipo di accesso!
Esistono motivazioni di legge per cui è possibile il diniego? Non ravvediamo le riguardanti le esclusioni e i limiti all’accesso civico generalizzato disciplinati dall’art. 5-bis, c. 1-3, del d.lgs. n. 33/2013
Quanto richiesto è disponibile nella scuola? Si, ma parzialmente.
Analizziamo la richiesta:
Elenco dettagliato dei posti vacanti per personale ATA e docenti, comprensivo di: a. Punteggio di chiamata; b. Tipologia di contratto proposto. c. Durate e periodo del contratto. d. Posizione in graduatoria. |
Questo dato è detenuto dalla scuola, lo predispone l’USP e lo invia in mail alle scuole, sia per docenti che per ATA. Non vi sono dati personali. È concedibile. |
Statistiche sul numero di dipendenti, distinti per personale ATA e docenti, che raggiungeranno l'età pensionabile nel corso del prossimo triennio |
La scuola non è tenuta ad effettuare elaborazioni dei dati detenuti, ma solo a fornirli. |
Vicinanza o meno dell’istituto con mezzi di trasporto come Bus o Treni. |
Queste informazioni sono acquisibili attraverso amministrazione trasparente, organizzazione, quindi si può inviare il relativo link alla sezione se correttamente pubblicate. In alternativa l’informazione è fornibile in quanto informazione semplice. |
Se l’istituto effettua la settimana lunga (Lun – Sab) o la settimana corta (Lun – Ven) |
Come si risponde? Con provvedimento motivato e con i dati/documenti richiesti con invio a mezzo PEC.
La scuola è tenuta all’utilizzo di applicazione indicata dall’istante? No assolutamente, sarebbe già una rielaborazione.
Si può rispondere con diniego?
A nostro avviso no, però a supporto delle istituzioni scolastiche abbiamo comunque predisposto due risposte, una con accoglimento, una con diniego motivato, seppur convinti che il diniego non sia la migliore risposta.
È questo un compito del DPO? No, il DPO si occupa di privacy ed in questa richiesta non sono presenti dati personali. Comunque restiamo a supporto dei nostri clienti.
Staff GDPRistruzione – Attilio Milli – Valentino Valente
Allegati:
Risposta accoglimento (consigliata)
Risposta con richiesta integrazione
Risposta con diniego (sconsigliata)
Privacy GDPR: Il Data Breach nella scuola italiana
Con l’introduzione del GDPR, il regolamento europeo sul trattamento dei dati personali, la tutela della privacy dei dati informatici è diventato un tema importante nell'ambito della pubblica amministrazione con particolare focus nell'ambito della scuola italiana. Con esso, un nuovo termine è entrato a far parte del vocabolario: Data Breach. Con Data Breach si intende una qualsiasi violazione ai dati personali, che comporta l’accesso, la perdita, la modifica o la divulgazione non autorizzata di dati personali o il furto di questi. In sostanza, è una violazione alla riservatezza, all’integrità e anche alla disponibilità di tali dati. In questo webinar affronteremo l'argomento data breach focalizzandoci nell'ambito della scuola italiana e dei recenti avventi ad alcune aziende. Data Breach nella scuola. Esempi pratici, cosa si deve fare, come evitarlo.
Relatori:
- Attilio Milli - GDPRistruzione - Microtech srl
- Valentino Valente - GDPRistruzione - Digital Documents Solution srl
- Vera Nicotra - Dropbox
31.05.2023 ore 15.00 - webinar su come compilare il questionario proposto per la rilevazione dello stato di sicurezza delle piattaforme.
Ecco i link
L'occasione ci sembra propizia per sperimentare il tutto con la piattaforma NextCloud attraverso l'applicazione TALK per la quale ecco il link
https://scuolaincloud.it/documenti/index.php/call/wconzyan
Essendo attività sperimentale nel contempo il webinar sarà anche su GoToMeeting al seguente link
https://meet.goto.com/966558037
Staff GDPRistruzione.it
A seguito della comunicazione di Axios Italia Service del 19/04/2021 in cui vi è evidenza del perdurare della indisponibilità dei dati seppur in modo parziale e limitato, riteniamo necessario procedere a:
1) effettuare comunicazione ad Axios Italia Service, amezzo PEC, in cui richiediamo ulteriori notizie rispetto a quelle già fornite;
2) annotare sul Registro di Data Breach ulteriore riga come da allegato;
3) effettuare la notifica al Garante Per la Protezione dei Dati Personali completando il modello che abbiamo già presisposto e che trovate in allegato. La comunicazione dovrà essere inviata a mezzo PEC all'indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Oggetto: "Notifica Data Breach - Caso AXIOS"
Corpo: "Spett.le Garante per la Protezione dei Dati, in allegato inviamo la notifica dela Data Breach relativo all'incidente informatico accaduto al nostro responsabile esterno per il trattamento dati di Registro Elettronico e gestione documentale
Il Dirigente Scolastico ..."
Allegati:
Bozza della comunicazione da inviare ad Axios Italia Service
Bozza nuova riga da annotare su registro Data Breach
Guida alla compilazione del modello di Notifica al Garante
Bozza di Notifica al Garante della Protezione dei Dati Personali
Criticità trasferimento dati verso USA, ed altri paesi
La questione verte sull’invio sistematico di dati personali in paese extra-UE, in particolare USA, attraverso servizi e piattaforme delle GAFAM (Google, Amazon, Facebook, Apple, Microsoft), in particolare servizi di posta, repository documentale, piattaforme per videoconferenze e didattica a distanza offerti da Google e Microsoft.
Quali sono le problematiche nel contesto normativo?
Per valutare la trasferibilità dei dati personali verso paesi diversi dall’Unione Europea UE (in realtà Spazio Economico Europeo SEE) vi sono diverse possibilità negli articoli 45, 46, 47 e 49 del GDPR 679/2016:
- un accordo internazionale tra la UE ed il paese extra UE (art. 45);
- l’adesione da parte del ricevente dati a clausole contrattuali standard approvate dalla Commissione Europea (art. 46);
- patti vincolanti di impresa (art. 47);
- consenso al trasferimento (art. 49).
La sentenza Schrems II della Corte di Giustizia Europea di fatto abolisce l’accordo internazionale tra USA e UE per uniformare la sicurezza del trattamento dati cosi come previsto dal Regolamento Europeo sulla Protezione dei dati (art. 45 del GDPR 679/2016).
Il “Cloud Act” (norma statunitense) mette a rischio anche i dati presenti su server europei di proprietà di società statunitensi, anche se è prevista la possibilità di opporsi alla richiesta di dati motivando opportunamente le ragioni ed utilizzando i contratti sottoscritti.
Registro Data Breach compilato
gio 8 apr 2021 12:30 - 13:30 (CEST)
DEVI DOCUMENTARE LA VIOLAZIONE
Il titolare del trattamento deve documentare tutte le violazioni dei dati personali che si verificano, indipendentemente dal fatto che una violazione debba o meno essere notificata al Garante.
«Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di verificare il rispetto del presente articolo» (cfr. art. 33Apertura sito esterno in una nuova scheda per l'articolo 33 del Regolamento (UE) 2016/679, par. 5, del Regolamento (UE) 2016/679 e art. 26 del D.Lgs 51/2018).
L’obbligo del titolare di documentare tutte le violazioni è collegato al principio di responsabilizzazione (cfr. art. 5Apertura sito esterno in una nuova scheda per l'articolo 5 del Regolamento (UE) 2016/679, par. 2, del Regolamento (UE) 2016/679 e art. 3, comma 4, del D.Lgs 51/2018) e agli obblighi del titolare del trattamento responsabilizzazione (cfr. art. 24Apertura sito esterno in una nuova scheda per l'articolo 24 del Regolamento (UE) 2016/679 del Regolamento (UE) 2016/679 e art. 15 del D.Lgs 51/2018).
Il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni occorse – notificate o meno – e il Garante può chiedere di consultare tale registro.
Oltre ad informazioni quali cause, fatti, dati personali, effetti e conseguenze della violazione, le Linee guidaApertura sito esterno in una nuova scheda per le Linee guida Notifica violazioni raccomandano di documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione, come, ad esempio, il perché una determinata violazione non è stata notificata al Garante.
Per maggiori informazioni fare riferimento al proprio DPO
Microtech: Attilio Milli o Valentino Valente
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Attilio Milli: 335 565 4057
Valentino Valente: 338 4552068
MS Computer:
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Sandro Maini: 335 527 7002
Ing. Giovanni Fiorillo
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Giovanni Fiorillo: 347 176 1615
SOS Recupero Dati
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Vincenzo Monteforte: 333 7778619
Eravamo in attesa della comunicazione MIM arrivata ieri per organizzare un incontro in videoconferenza in cui parlarvi nuovamente di Piattaforme DDI, di trasferimento dati extra UE (SEE), e di come comportarci, anche a seguito delle ulteriori richieste di MonitoraPA.
Notiamo con piacere che la nostra strategia di PSEUDONIMIZZAZIONE ora è suggerita anche dal MIM e da MonitoraPA. Vi ricordo che su www.gdpristruzione.it è già da tempo disponibile il video di come poterla attuare abbastanza agevolmente.
Qui trovate, in area riservata, la registrazione del webinar.
E’ riservato alle scuole in regola con il contratto privacy!
Lo psicologo agisce, come il medico competente, in qualità di titolare del trattamento dati.
Di recente molti istituti hanno ricevuto l'ennesima segnalazione da parte del gruppo monitora PA.
Purtroppo la realizzazione di siti web implica l'uso di script, fonts, fogli di stile, librerie ed altre risorse che in molti casi sono rese disponibili gratuitamente online.
Per comodità, praticità ed anche utilità (molte risorse disponibili si aggiornano continuamente e sono rese disponibili allo stesso "link") gli sviluppatori sono abituati ad "incorporare" nel sito molte funzionalità utilizzando risorse tramite CDN (Content Delivery Network, un network di reti che ci possono aiutare ad alleggerire il carico di utenza e dunque il caricamento di alcuni contenuti in determinate pagine del nostro sito web) o trramite appositi tag inseriti nell'HEAD delle pagine web che puntano a risorse esterne molto spesso site in server statunitensi.
In altri casi volontariamente (ed inconsapevolmente ) si incorporano risorse esterne nel sito come i video di youtube.
Interrogando un server esterno la nostra pagina web apre un canale di comunicazione e "trasporta" con se, nella comunicazione, anche dati personali.
Se è possibile evitare il trattamento dati, per il rispetto del principio di minimizzazione, è sempre bene farlo tanto più se la comunicazione dei dati avviene in paesi extra UE.
La soluzione è semplice per chi realizza siti professionalmente basta, infatti, "scaricare" la risorsa esterna, caricarla sul server che ospita il nostro sito e quindi utilizzarla nelle nostre pagine web puntando a risorse interne e non esterne.
Nel template messo a disposizione dal Team Digitale : il sito web delle scuole italiane a cui molti istituti stanno aderendo grazie al PRNN questi e altri accorgimenti sono stati considerati ed implementati. Occorre prestare molta attenzione nell'inserimento dei contenuti per mantenere un buon livello di privacy e trasparenza.
Lo staff tecnico di GDPRistruzione.it ha messo a punto una versione ulteriormente migliorata con una sezione privacy che include modulistica disponibile per test e valutazioni a questo link:
Esempi pratici:
Segnalazione di incorporamento file jquery (script che permette molte funzioni non malevolo di per sè)
https://ajax.googleapis.com/ajax/libs/jquery/1.8.x/jquery.min.js
basta scaricare il file risorsa: jquery.min.js e caricarlo sul server proprio quindi inserire nell'Head della pagina web questo codice:
<script type="text/javascript" src="path/jquery.min.js"></script>.
Allo stesso modo per i file .css, altri file .js, fonts, librerie ed i servizi CDN.
Cosa fare:
Fare queste operazioni in proprio utilizzando gli animatori digitali potrebbe NON essere possibile in quanto è richiesto la conoscenza del linguaggio di programmazione. In alcuni casi è anche abbastanza complesso risolvere il problema che molto spesso è generato da plugin o altre risorse installate nel sito che nella stragrande maggioranza dei casi è un CMS open source Joomla o Wordpress. Tuttavia è sufficiente inoltrare la segnalazione ricevuta al vostro gestore del sito web che apporterà le modifiche necessarie. E' possibile inoltrare la stessa richiesta ance se non si è ancora ricevuta nessuna segnalazione.
Nel caso di incorporamento dei video da parte di Youtube come mi debbo comportare?
Youtube mette a disposizione del codice di incorporamento dei video in maniera molto agevole. Con la funzione solitamente utilizzata il codice genera dei cookie ed invia informazioni a Youtube per consentire il monitoraggio anche della pubblicità. E' possibile però utilizzare un accorgimento che impedisce l'installazione di questi cookie invasivi messa a disposizione da youtube stesso.
Basta utilizzare un accorgimento "manuale" cliccare sul flag "abilita modalità di privacy avanzata". Questo semplice accorgimento farà si chè l'inclusione del video avverrà senza cookie come evidenziato nel link in grassetto di un esempio di codice di inclusione di un video di youtube.
<iframe width="560" height="315" src="/https://www.youtube-nocookie.com/embed/vIamHIkQ0Zc" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe>
Riportiamo per semplicità le immagini illustrative dei passaggi da seguire:
Numerose sono le richieste di parere, formulate dalle istituzioni scolastiche, riguardo la possibilità di svolgere le elezioni degli organi collegiali online. Abbiamo cercato di analizzare gli strumenti a disposizione, le problematiche, i rischi correlati, la fattibilità. Anche se il nostro ruolo da DPO è poco coinvolto in questa attività perché l’impatto privacy è minimale, ci è sembrato opportuno rendere noto il nostro parere in proposito, avendo già analizzato bene le problematiche soprattutto dal punto di vista della sicurezza.
l’uso delle piattaforme all’interno degli istituti scolastici ha avuto un’accelerazione notevole a seguito dell’emergenza Covid19. Sempre più spesso se ne è appreso l’utilità e l’indispensabilità, ma alcune volte la facilità d’uso e la possibilità di fare nuove attività in modalità digitale, che prima si potevano svolgere solo in modalità analogica, ha fatto trascurare la sicurezza dei dati.
Nella platea dei docenti e ATA crescono le competenze digitali e si aprono nuovi scenari. E’ il momento però di sensibilizzare le persone sulla sicurezza e sulle relative problematiche.
Ci preme ricordare la definizione di dato personale: “informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica” quindi anche semplicemente nome e cognome. Aggiungiamo la definizione di dato particolare (ex sensibile): qui che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale, ai quali oggi possiamo aggiungere, in alcuni casi la mail, il numero di telefono, l’indirizzo IP, il MAC Address (un numero di identificazione univoco che ti aiuta a rintracciare il tuo dispositivo in una rete).
Ogni qualvolta trattiamo queste informazioni in modalità analogica (carta, voce, ecc.) o in modalità digitale (piattaforme, mail, ecc.) stiamo effettuando un trattamento dati e pertanto siamo soggetti alla privacy GDPR 679/2016 e Dlgs 196/2003.
Quando trattiamo dati dobbiamo rispettare tutte le misure di sicurezza prescritte. Tra queste vogliamo dare evidenza in particolare a due: Nomina a Responsabile Esterno del Trattamento Dati e Divieto di Trasferimento Dati Extra UE (in realtà SEE Spazio Economico Europeo).
Un serie di accordi per trasferire dati di cittadini europei negli Stati Uniti ed altri paesi, è stato fatto decadere attraverso la sentenza “Shrems II” del 27/04/21 della Corte Europea (vedi anche Privacy Shield), ponendo il divieto al trasferimento dei dati. La sentenza è fortemente limitante verso il trasferimento negli USA. Non basta che i dati siano in Europa considerato che le società statunitensi sottostanno a controlli che consentono di acquisire informazioni anche in altri paesi (vedi CIA ed FBI).
Nell’aprile 2021 eravamo in pandemia e c’era lo stato di emergenza, quindi di fronte alla situazione questo divieto è stato disatteso. Ora che non siamo più in emergenza alcune “cattive abitudini” sul trattamento dati non sono più tollerabili. Per questo vogliamo porre attenzione sulla questione, solo così possiamo avere sicurezza sui dati senza incorrere in eventi lesivi della privacy.
Piattaforme come Google Workspace (ex GSuite), Microsoft Office 365 / Teams ed altre possiamo continuare ad utilizzarle se attuiamo stringenti misure di sicurezza ed evitiamo di effettuare trattamenti dati. In alternativa dovremo smettere di utilizzarle.
Quale sono le azioni che possiamo mettere in atto per aumentare la sicurezza:
- Pseudonimizzare gli account (non più Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.)
- Utilizzare solo finestre di navigazione in incognito quando si usano le piattaforme;
- non usare Forms (moduli) per attività diverse dalla didattica (es. no uso per censire scioperanti)
- non usare Google Drive per condividere PEI, PDP, altri documenti riportanti dati personali, foto, video;
- non usare youtube per pubblicare video di alunni;
- non usare facebook, Instagram, ed altre piattaforme per condividere foto e video;
- non usare Canva per stampare attestati;
- non usare WhatsApp per condividere documenti e foto e video di alunni;
- non utilizzare piattaforme tipo “I love PDF” per manipolare PDF contenenti dati;
Questi ovviamente sono degli esempi non esaustivi che danno le opportune indicazioni.
Con questo non vogliamo limitare la tecnologia, ma solo farne un uso consapevole ricordando che SIAMO SOGGETTI A QUESTE REGOLE SOLO SE TRATTIAMO DATI PERSONALI. La strategia per fare ciò a cui siamo abituati è quella di pseudonimizzare. Esempio pratico: ho alunni per cui ho redatto i PEI? Inserendo al posto del nome e cognome gli pseudonimi Pippo, Pluto e Paperino, non ho inserito dati personali che possano consentire ai non titolati di identificare le persone fisiche, quindi posso salvarli su Google Drive e Whatsapp.
A volte con semplici accorgimenti e qualche attenzione in più è possibile l’uso della tecnologia per le esigenze della scuola senza violare i diritti sanciti nel GDPR 679/2016.
Registrazone evento formativo dal titolo "Privacy e Didattica Digitale Integrata in emergenza Covid" del 8 ottobre 2020
Per accedere alla registraione dell'evento è necessario inserire i propri dati nel modulo qui sotto.
Leggi tutto: Video dell'evento Privacy e DDI in emergenza Covid
Lo psicologo agisce, come il medico competente, in qualità di titolare del trattamento dati.
Per il nuovo anno scolastico 20/21 è necessario revisionare una parte della modulistica privacy. Abbiamo predisposto un documento che vi fornisce le indicazioni delle azioni da compiere.
Lo stesso documento è redatto in forma di audit, quindi Audit 02. Si invita a restituirlo debitamente compilato entro il 30 settembre 2020.
Le domande sono strutturate per consentire al DPO di formulare una prima diagnosi sullo stato di applicazione della normativa anche in riferimento alla DDI.
Riportiamo in allegato le indicazioni del Ministero dell'Istruzione redatte con la collaborazione del Garante. Circolare MI 3 settembre.
Sicuramente le ultime azioni di accesso civico avranno allertato anche voi relativamente alla compliance GDPR di molte piattaforme utilizzate nella scuola.
Vogliamo fare un punto sulla situazione e sulle prospettive individuando le possibili azioni da compiere.
Online venerdi 25 novembre dalle 14.30 alle 16.00 circa.
Troverete il link per il video dell'evento e di come fare la Pseudonimizzazione cliccando su LEGGI TUTTO e accedendo con le credenziali dell'area riservata GDPRistruzione.
Diverse scuole ci chiedono cosa scrivere nel disclaimer che dovrà accompagnare la pubblicazione online su Registro Elettronico come indicato dalla nota di chiarimento del Ministero dell'Istruzione del 9 giugno 2020 n. 9168.
Abbiamo predisposto una locandina in formato DOC, il testo da poter inserire nel sito e nel Registro elettronico, le immagini utili per comunicare.
Il tutto è scaricabile, per i clienti GDPRistruzione.it, leggendo il resto dell'articolo.
La richiesta di accesso civico generalizzato ha interessato tutte le scuole di ogni ordine e grado, comprese le università. Pertanto ci saremmo aspettati un intervento da parte del Ministero dell’Istruzione con fornitura di indicazioni chiare e senza dubbi interpretativi. Invece abbiamo visto che alcuni USR, e Avvocatura dello Stato territoriale, hanno fornito indicazioni contrastanti e anche diametralmente opposte, lasciando le scuole nel dubbio e nella necessità di interpretazione.
Premesso che ad un Accesso Civico Generalizzato si risponde, che per quanto ci compete (PRIVACY) abbiamo già fornito tutte le indicazioni, resta il dubbio interpretativo di TRASPARENZA, questione che poco compete ai DPO.
Nell’ottica di supporto completo ai nostri clienti abbiamo predisposto due risposte, una con accesso civico ACCOLTO ed una con accesso civico RESPINTO, lasciando la scelta ai dirigenti scolastici, anche per consentire di uniformarsi alle indicazioni dei rispettivi direttori USR che ricoprono il ruolo di Responsabili della Trasparenza.
Staff GDPRistruzione.it
Allegati utili
- Contratto di servizio Microsoft Office 365
- Contratto di servizio Google Workspace for Education
- Contratto di servizio Axios
- Contratto di servizio Argo (ibisogna PEC ad Argo e loro rispondono con contratto)
- Contratto di servizio Spaggiari (chiedere a Spaggiari)
- Contratto di servizio GoToMeeting (link a contratto)
- Contratto di servizio WeSchool (link a contratto)
- Regolamento Didattica Digitale Integrata e Didattica a Distanza (già agli atti scolastici)
- Istruzioni Didattica Digitale Integrata e Didattica a Distanza
- Misure tecniche DaD e DDI
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
(Ansa, 11 giugno 2020)
In relazione alla questione della pubblicazione degli scrutini on line, l'Autorità garante per la protezione dei dati personali sentita dall'ANSA, chiarisce che a ''differenza delle tradizionali forme di pubblicità degli scrutini - che oltre ad avere una base normativa consentono la tutela dei dati personali dei ragazzi - la pubblicazione online dei voti costituisce una forma di diffusione di dati particolarmente invasiva, e non coerente con la più recente normativa sulla privacy''. Per questo sostanzialmente il Garante è d'accordo, con la linea del Miur di indicare l'ammissione degli studenti soltanto sul registro elettronico.
Come si gestisce l'accesso civico generalizzato
Come noto la richiesta di accesso civico generalizzato ha interessato tutte le scuole di ogni ordine e grado, comprese Università, di tutta Italia.
L’interesse generale ha determinato un proliferare di ipotesi di risposta al FOIA di opinioni contrastanti.
Ci si è molto concentrati sul tema dell’ammissibilità o inammissibilità della richiesta, tema che, ovviamente, non è di nostra specifica pertinenza in quanto riguarda la trasparenza.
Cosa bisogna fare in caso di accesso civico generalizzato?
Leggi tutto: Come poter gestire l’accesso civico generalizzato di Monitora-PA
Pubblichiamo esito finale di contenzioso, un caso concreto accaduto in istituto scolastico con DPO Attilio Milli. Un docente accusa l'istituto di violazione della privacy relativamente all'acquisizione dei MAC Address per la navigazione dalla rete WI-FI di istituto e relativamente alla pubblicazione dell'orario scolastico su sito web di una docente, oltre mancanza dell'informativa relativa ai MAC Address.
Seppur caso concreto lo pubblichiamo in quanto anche il Garante lo ha pubblicato su proprio sito, ma abbiamo ritenuto opportuno rimuovere i dati della scuola e del docente.
Un esito finale, dopo lunga istruttoria iniziata nel 2018, che ha visto la scuola uscire indenne dal contenzioso, grazie al fattivo intervento del DS ed anche grazie alle attività predisposte dal DPO e dallo staff GDPRistruzione, oltre alla relazione fondamentale dell'amministratore di sistema.
E' arrivata una PEC con richiesta di Accesso Civico Generalizzata alla documentazione riguardante le piattaforme di Registro Elettronico, DaD, DDI, Videoconferenza e messaggistica.
Questa richiesta ha scatenato un’ampia discussione in cui sembra tutto incerto: bisogna rispondere oppure no? Si deve chiedere parere al DPO? Stiamo in ambito privacy o trasparenza? Devo fornire ciò che mi hanno chiesto? Ho tutto ciò che mi hanno chiesto?
Cerchiamo di fare ordine separando gli ambiti.
La richiesta è in ambito della trasparenza della pubblica amministrazione! Nella richiesta ci sono dei punti in cui il DPO è di supporto.
Per i punti relativi alla privacy riceverete una risposta puntuale, per i punti relativi alla trasparenza riceverete il nostro parere non vincolante.
L’accesso civico generalizzato, in acronimo FOIA, è disciplinato dal D.lgs. 33/2013 (Accesso Civico), ed integrato dal D.lgs. 97/2016, e successive integrazioni, e consente ad ogni cittadino, anche senza nessun interesse diretto, di accedere agli atti delle pubbliche amministrazioni.
Crediamo che possano giungere indicazioni in merito da parte dell’RPCT (Direttore Generale USR) o dal Ministero proprio perché è materia di Trasparenza e riguarda moltissime scuole, se non tutte.
L’accesso civico, prevede che l’istanza sia protocollata e fascicolata in modo da generare il relativo registro in XML da pubblicare in amministrazione trasparente.
C’è un richiamo al PNRR, ma le richieste poi sono altre, quindi non trattiamo di PNRR.
Analizziamo le richieste:
Punto 1 - Copia dei contratti - TRASPARENZA
I contratti sono fornibili se non ci sono all’interno riferimenti secretati dalle aziende, altrimenti l’atto pubblico è la determina che è presente in Amministrazione Trasparente. Si potrebbe fornire anche il contratto di licenza d’uso del software/piattaforma in quanto è quello più rilevante ai fini della richiesta, sempre accompagnato dalla determina.
Punto 2 – Copia della DPIA a.s. 20/21 e 21/22 – PRIVACY
La DPIA, per indicazione del Garante, non è stato necessario predisporla.
Punto 3 – Copia delle misure tecniche – PRIVACY e SICUREZZA DIGITALE
Le misure tecniche sono il Regolamento DDI (già regolamento d’istituto) e le istruzioni operative per i docenti relative alla DaD e DDI che abbiamo predisposto in emergenza Covid, che sono state distribuite e che abbiamo in piattaforma GDPRistruzione.it
Punto 4 – Copia della DPIA a.s. corrente 22/23 – PRIVACY
La DPIA, per indicazione del Garante, non è necessario predisporla.
Punto 5 – Copia della TIA a.s. corrente 22/23 – PRIVACY
La TIA è in fase di formalizzazione, correlata alle misure tecniche già adottate e dipendenti dall’analisi dei rischi. Attualmente non sono state utilizzate le piattaforme DaD e DDI con gli alunni e sarà cura dell’istituto utilizzarle, se necessario, appena formalizzate tutte le valutazioni di impatto relative al trasferimento dei dati fuori UE (TIA)
Punto 6 – Copia della valutazione comparativa a.s. corrente 22/23 – TRASPARENZA
La valutazione comparativa tra gli strumenti per la DaD, DDI e comunicazioni è in fase di redazione. Non c’è stata cogenza in quanto le scuole non hanno acquistato in questo anno scolastico queste piattaforme.
Conclusione
Ovviamente sarà nostra cura, per le scuole che sceglieranno di rispondere all’accesso civico generalizzato, predisporre una risposta e la documentazione di nostra pertinenza. Sarà compito della scuola reperire i contratti e le determine, oltre il regolamento e le misure tecniche.
Abbiamo 30 gg per rispondere e non c’è alcun motivo per affrettarsi, sperando in un intervento del MI orientato ad impedire che un diritto normato del cittadino, che assume la forma di richiesta massiva per il Ministero, ma da valutare se da considerare massiva per la singola scuola considerata l’atipicità di PA, sia causa di disservizi in fase di avvio dell’anno scolastico in cui la scuola ha molto altro a cui pensare.
Staff GDPRistruzione.it
Negli ultimi giorni si è aperta una forte discussione, sia tra noi DPO, sia tra le varie organizzazioni di supporto alla scuola ed i vari formatori, sull’adeguatezza della nota di chiarimento riferita alle ultime ordinanze del MI sugli scrutini e sugli esami. Più che chiarire ha confuso! Noi abbiamo affrontato la problematica ed abbiamo pubblicato un articolo cercando di fornire chiare indicazioni alle istituzioni scolastiche. La nota di ulteriori chiarimenti del 9 giugno la troviamo in perfetta sintonia con la norma e con le indicazioni da noi fornite alle scuole da noi seguite per la privacy.
(di Valentino Valente e Attilio Milli)
In considerazione delle comunicazioni pervenute a diverse Istituzioni scolastiche di recente in merito alla segnalazione di illecito utilizzo di Google Fonts nei siti web si rappresentano le seguenti precisazioni.
Google Fonts è una raccolta di caratteri che abbelliscono il sito, ottimizzano le sue prestazioni e sono offerti in licenza free.
Per poterli inserire nel sito ci sono due metodi: 1) si sceglie il font da https://fonts.google.com/ si effettua il download del file .ttf e quindi si inserirce nel server web del sito e si “incorpora” nelle pagine attraverso un comando inserito nell’”head” (testata della pagina html del sito il comando è <link .. href="#">); 2 si sceglie il fonts ma si preleva il fonts direttamente dal sito di google che offre gratuitamente anche questo servizio.
Nella seconda opzione, quando il navigatore apre il sito web la pagina del sito richiede automaticamente i file di Google Fonts dai server di Google. Affinché Google possa trasferire il carattere, deve sapere prima dove inviarlo e ciò significa che raccoglie l'indirizzo IP del navigatore. La raccolta e la registrazione dell’indirizzo IP è una violazione della privacy.
La soluzione è semplice basta utilizzare il primo metodo e la richiesta del fonts avverrà sulla risorsa “caricata” direttamente sul server su cui è ospitato il sito web.
Il problema maggiore di adeguamento dei siti web al GDPR deriva dal fatto che moltissime risorse che rendono il sito web più funzionale, interattivo, dinamico, responsive (leggibile sui dispositivi mobili) vengono “caricate” utilizzando il secondo metodo perché presenta alcuni vantaggi che è inutile stare a specificare.
Ci si riferisce in particolare ai fogli di stile .css che ottimizzano l’impaginazione e la grafica, agli script javascript e jquery che consentono animazioni, controlli e altre funzionalità.
Questi ultimi sono potenzialmente più pericoli in quanto rappresentano codici di un linguaggio lato client (interpretato dal browser del navigatore) e si prestano a potenziali violazioni maggiori. Nel caso delle fonts e dei css il pericolo è rappresentato unicamente dal trasferimento dell’indirizzo IP del navigatore in quanto i file sono di per se innocui.
Si potrebbe argomentare sul fatto che l’indirizzo IP è pubblico e che, inevitabilmente, l’utente navigando lo trasferisce automaticamente (il funzionamento del browser stesso lo prevede), e pertanto esso sia difficilmente riconducibile alla persona fisica. Ciò è possibile al provider del servizio di connettività (colui che fornisce internet al dispositivo di accesso fisso o mobile). Dato che la soluzione al problema privacy è semplice applichiamola direttamente. I dirigenti devono semplicemente richiedere ai responsabili esterni a cui è stato affidata la realizzazione del sito di applicare il primo metodo per realizzare i siti web per l'utilizzo di risorse .css, .js, fonts e immagini.
Tutto ciò apre, però, ad uno spunto di riflessione, più i siti sono performanti, maggiore è l’utilizzo di risorse e funzioni esterne; ci si riferisce in particolare alle librerie di funzioni, e servizi offerti come “API” (abbreviazione di interfaccia di programmazione delle applicazioni application programming interface, ovvero un insieme di definizioni e protocolli per la creazione e l'integrazione di software applicativi) e molto altro ancora. Come è possibile rendere sicuro un mondo nato libero e “bello” e che si è diffuso al punto di modificare e permeare la nostra stessa esistenza?
La risposta è la corretta applicazione del GDPR 679/2016 che impone il trattamento dei dati minimi strettamente necessari nel rispetto del principio di massima riservatezza a cui sono tenuti tutti i titolari del trattamento. I titolari del trattamento dati che offrono i servizi dovrebbero adeguarsi e i titolari che richiedono i servizi dovrebbero controllare.
Il GDPR 679/2016 è davvero una gran bella cosa per tutti noi ma a volte "rispettarlo" è davvero difficile!.
Lo staff di gdpristruzione.it è a vostra completa disposizione per consigliare progettare e prospettare soluzioni efficaci a problemi complessi.
Con l'occasione ricordiamo a tutti i dirigenti l'obbligo di adeguarsi al trattamento dati relativo ai "tracciamenti" (google analytics) come descritto in un nostro precedente articolo, facendo verificare tali funzionalità ai responsabili esterni del sito web istituzionale.
La nota di chiarimento del Ministero dell’Istruzione prot n. 8464 del 28/05/2020 ha generato fermento sulla necessità ed opportunità di pubblicare gli esiti degli esami e degli anni intermedi su albo della scuola.
Premesso che la dizione di “albo della scuola” è molto generica in quanto può generare confusione tra “Pubblicità Legale” e le bacheche sparse negli istituti scolastici dove venivano affissi gli esiti dell’anno scolastico divisi per classe e per alunno, ci si aspettava che la nota fornisse un vero chiarimento, invece ha generato ancora più confusione.
Cerchiamo di venirne a capo!
Fase videoconferenza per la discussione dell’elaborato, ed in attività similari.
Si ricorda che la registrazione e diffusione di tali attività si configura come un trattamento dati avente la seguente finalità: “operazioni connesse alla valutazione finale e agli esami del primo e del secondo ciclo”, effettuabile solo da personale scolastico e nel pieno rispetto dei principi del GDPR 679/2016. Non è necessario il consenso preventivo.
La registrazione relativa è un atto che dovrà poi essere gestito nel rispetto della normativa sulla privacy da parte dell’Istituto scolastico dal personale incaricato in particolare per ciò che attiene alla durata della conservazione, riservatezza, comunicazione a terzi e diffusione.
In risposta alle numerose segnalazioni pervenute nelle ultime ore da parte di Istituzioni scolastiche, comuni, e altre amministrazioni pubbliche, che stanno ricevendo una e-mail di diffida da parte di alcuni “ethical hacker" ad oggetto “Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale” vi comunichiamo quanto segue.
Per verificare se è presente nel sito il codice di tracciamento Google Analytics è sufficiente usufruire di molti servizi gratuiti disponibili online (ad es: https://www.cookiebot.com/it/)
Per quelle Amministrazioni pubbliche che hanno già inserito nel proprio sito sistemi per il tracciamento delle visite (o intendono farlo), come richiesto dall’art 7 del CAD, possono utilizzare il sistema messo a disposizione gratuitamente dall’AGID che è conforme al GDPR 679/2016 e consente personalizzazioni.
Come fare?
Il referente di una PA presente su IPA avvii la procedura di registrazione del sito istituzionale, accedendo al portale https://webanalytics.italia.it/ tramite una identità SPID.
Terminata la semplice registrazione si riceverà una mail con il codice di tracciamento da inserire nel proprio sito web. L’inserimento del codice di tracciamento sul sito può essere affidata a chi attualmente lo gestisce.
Per maggiori informazioni consultate sulle procedure da seguire consultate la pagina: https://webanalytics.italia.it/how-to-join#video dove è presente anche un video che illustra i vari passaggi.
Ma cos'è il tracciamento Google Analytics?
Google Analytics è uno dei tanti strumenti che Google fornisce per aiutare le persone a capire cosa fanno i visitatori sui siti web. Lo strumento consente di tracciare e analizzare i dati più importanti, sulla provenienza. Permanenza e cosa fanno i visitatori fornendo un quadro delle prestazioni del sito.
Raccolta dati
Il codice raccoglie una vasta gamma di dati, in particolare:
- Quanti visitatori ottengono le tue pagine.
- Da dove arrivano i visitatori delle tue pagine.
- In che modo questi visitatori avanzano sul tuo sito.
- Cosa fanno i visitatori sulle tue pagine.
- In che modo i visitatori interagiscono con gli elementi delle tue pagine.
- Quanto tempo i visitatori trascorrono sulle tue pagine.
- In quale fase di una visita gli utenti lasciano il tuo sito.
Google Analytics utilizza un semplice codice JavaScript per raccogliere tutti questi dati. Il codice viene aggiunto a ogni pagina e inserisce un cookie nel browser di ciascun visitatore del sito. Il cookie invia quindi un hit al tuo Google Analytics che segnala ogni interazione che l'utente ha con il tuo sito.
Lo staff di gdpristruzione.it
In questo breve video vi illustriamo le strategie adottate per la gestione privacy GDPR della Didattica a Distanza e creare le giuste protezioni per l'istituzione.
Riferimento normativo principale DL 05 del 4 febbraio 2022 - https://www.gazzettaufficiale.it/eli/id/2022/02/04/22G00014/sg
Il Decreto Legge 5 febbraio 2022 conferma l’applicazione del regime dell’auto sorveglianza ma modifica i criteri per l’applicazione della didattica a distanza, la sospensione delle attività o la continuazione della didattica in presenza.
L’art. 6 del DL 05/2022 ammette l’accertamento dello stato positivo o negativo rispetto al COVID tramite test antigenico autosomministrato. In questo caso, l’esito negativo del test è attestato tramite autocertificazione. E’ ribadita la possibilità di utilizzo dell’App Verifica C19.
Abrogando esplicitamente quanto previsto nel DL 01: “…L'articolo 4 del decreto-legge 7 gennaio 2022, n. 1, e il comma 1 dell'articolo 30 del decreto-legge 27 gennaio 2022, n. 4, sono abrogati a decorrere dalla data di entrata in vigore del presente decreto e le misure già disposte ai sensi del citato articolo 4 sono ridefinite in funzione di quanto disposto dal presente articolo” precedente è necessario sostituire la precedente informativa anche al fine di portare a conoscenza di tutti le nuove regole.
I modelli di nomina già forniti e il registro richiamano il DL 01/2022, quindi, sarebbe opportuno modificarli con la giusta intestazione.
Ricordiamo che l’autorizzazione concessa dalle norme di prendere visione dello stato vaccinale non comporta la possibilità di eseguire un vero e proprio trattamento dati con conservazione dei certificati e si raccomanda la trascrizione nel registro, tenuto con la massima riservatezza seguendo le regole già fornite, per l’accertabilità della verifica effettuata.
Men che meno è concesso eseguire indagini preventive con richieste di far pervenire lo stato vaccinale all’Istituto al fine di effettuare previsioni e programmazioni.
E’ ammessa la pubblicazione sul sito, con dati aggregati relativi alle classi e senza indicazione di nominativi neanche pseudonomizzati, per la sola finalità di informare sulla numerosità dei casi positivi e di conseguenza le azioni che l’Istituto deve mettere in atto per l’applicazione dell’art 6 del DL 05/2022 relative all’auto sorveglianza, DAD, lezioni in presenza, sospensione delle attività didattiche.
Abbiamo pertanto redatto la seguente documentazione:
- Informativa Decreto Legge 4 febbraio 2022 n. 5 revisione 2 - da personalizzare e pubblicare nel sito e su registro elettronico (download)
- Autorizzazione Incarico Controllo Alunni AUT-DL05 - da personalizzare e far sottoscrivere (download)
- Lista Controllo Accesso Alunni L-CONT-ALU versione 1.1 - da personalizzare e rendere disponibile (download)
- Registro Controllo Accesso Alunni R-CONT-ALU versione 1.1 - da personalizzare e rendere disponibile (download)
Il Cornoravirus purtroppo non permette l'attività didattica in presenza, quindi è necessario che gli studenti possano continuare a frequentare le lezioni in remoto, attraverso la Didattica a Distanza (DaD).
E' stato necessario attivare piattaforme per le classi virtuali e la videoconferenza. Il Ministero dell'Istruzione ha suggerito la possibilità di utilizzo delle piattaforme gratuite offerte da Google e Microsoft, rispettivamente GSUITE e OFFICE365, ma anche dell'uso di ulteriori altrettanto valide, sempre certificate dall'AGID.
Abbiamo predisposto modelli di informative, autorizzazioni, istruzioni, prescrizioni, che rendiamo disponibili affrontando le piattaforme più diffuse nel mondo scolastico, ma restando disponibili ad ampliarerle in funzione delle vostre segnalazioni.
Considerata la circolare Aran n. 1/22 del 27/01/2022 che riassume le operazioni finalizzate al corretto svolgimento delle elezioni, riteniamo che il dirigente scolastico possa, se ritiene opportuno, fornire l’elenco del personale limitato esclusivamente a nome e cognome alle OO.SS. per le attività strettamente connesse alle elezioni, in particolare per la nomina delle commissioni elettorali. Dovrà essere evidenziato che l’uso delle informazioni fornite non potrà avere finalità di marketing e promozione, ma uso esclusivo delle stesse per le sole attività relative alle elezioni. Suggeriamo di includere la frase: “Gli elenchi del personale fornito vengono concessi per il solo ed esclusivo uso relativo ad attività strettamente collegate alle elezioni. Non vi è consentito utilizzare suddette informazioni per comunicazioni di marketing, promozione sindacale, ed altre attività non connesse alle elezioni.”
Relativamente alla richiesta di indirizzo di posta riteniamo che non sia necessario fornire alcun dato in quanto il dipendente è provvisto di posta elettronica istituzionale Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. . Altri indirizzi di posta personali, o di piattaforme scolastiche tipo GSuite, come pure i numeri di telefono/cellulare, non sono fornibili senza previa autorizzazione formale ed esplicita del dipendente.
Perché questo orientamento?
Come precisato dal Garante della Privacy con atto PROTOCOLLO.U.0049472.28.28/12/2020
Leggi tutto: Si possono fornire gli elenchi del personale alle organizzazioni sindacali?
Gentile Cliente, abbiamo il piacere di invitarla ad evento online:
Privacy GDPR Dirigenti Scolastici.
Evento 5-6 maggio 2020 dalle ore 15.00 alle 17.00 (MAX 240 per evento)
Destinatari: Dirigenti Scolastici
Registrazione obbligatoria in GDPRistruzione.it - Registrazione ai corsi
Relatori: Attilio Milli e Valentino Valente
La partecipazione all'evento è gratuita per i clienti GDPRistruzione.it .
La partecipazione viene considerata evento formativo con rilascio attestato. REGISTRATI QUI
Con riferimento al Decreto Legislativo n. 1 del 7 gennaio 2022 in molti casi in cui all'interno di una classe/sezione c'è la presenza di uno o più alunni positivi al COVID-19 è necessario effettuare dei controlli sui requisiti che consentono la riammissione in classe degli alunni. Ad esempio aver completato il ciclo vaccinale, avere risultato negativo al tampone, ecc.
Il riferimento normativo principale è l'art. 4 del D.L. 1 / 2022 (vedi sito gazzetta ufficiale) e le conseguenti indicazioni del Ministero dell'Istruzione (vedi allegato).
Pertanto è necessario che la scuola predisponga:
- Lista dei Controlli da effettuare per l’accesso in Classe dell’alunno in caso di necessità previste dalle normative vigenti relative a emergenza COVID-19 (modello L-CONT-ALU)
- Registro Controllo per l’accesso in Classe dell’alunno in caso di necessità previste dalle normative vigenti relative a emergenza COVID-19 (modello R-CONT-ALU)
- La Nomina/Autorizzazione per la verifica della Regolarità ai sensi dell’Art. 4 del D.L. 01 del 7 gennaio 2022 (modello AUT-DL01)
- La diffusione dell'Informativa del Trattamento Dati ai sensi del D.L. 01 del 7 gennaio 2022 (modello INF_DL01)
N.B.: Considerata l'urgenza della predisposizione della documentazione i documenti sono in accesso libero su GDPRistruzione.it
Staff GDPRistruzione.it
La Direttiva n° 1/2020 all'art. 4 richiama l'obbligo di comunicazione di informazioni utili al contenimento della diffusione del coronavirus per il personale della pubblica amministrazione per i dipendendi pubblici e per chi opera a diverso titolo presso la pubblica amministrazione.
Art. 4 Direttiva n°1/2020
Fermo restando quanto previsto in attuazione del decreto-legge n. 6 del 2020 e nei successivi provvedimenti attuativi, i dipendenti pubblici e coloro che, a diverso titolo, operano presso l’amministrazione, qualora provengano da una delle aree di cui all’articolo 1, comma 1, del citato decreto-legge o che abbiano avuto contatto con persone provenienti dalle medesime aree sono tenuti a comunicare tale circostanza all’amministrazione ai sensi dell’articolo 20, del decreto legislativo 9 aprile 2008, n. 81, anche per la conseguente informativa all’Autorità sanitaria competente ai fini della salvaguardia della salute del luogo di lavoro.
Come anticipato nel precedente articolo la modifica delle funzionalità SIDI per verifica Covid-19 ci impone la redazione di nuova informativa ed eventuali autorizzazioni in caso di delegati. Vedi nota ministeriale
Quindi:
1) Tutto quanto abbiamo predisposto con nota APP Verifica-C19 - Nuova Informativa e nuova Autorizzazione ai Verificatori E' NECESSARIO FARLO ed è attuale, ovvero:
- Informativa INF_GP versione 2.0
- Autorizzazione/Nomina L-VerGP Revisione 2.0
- Registro delle Verifiche Accesso R-VerGP versione 2.0
2) Il Ministero ha predisposto informativa relativa alle verifiche effettuate con SIDI. Suddetta informativa bisogna personalizzarla e diffonderla a tutto il personale (sito web, registro elettronico, bacheche e similari)
3) Nel caso il DS voglia delegare DSGA o AA o Docenti alla verifica SIDI è necessario predisporre i due documenti seguenti:
- LN-GestGP - Incarico gestione green pass SIDI
Staff GDPRistruzione.it
Questa domanda ci viene posta molto spesso. Le RSU interne e le Rappresentanze Sindacali delegate sempre più spesso chiedono alle scuole lo schema analitico della ripartizione a consuntivo del Fondo di Istituto FIS e del Bonus, anche con l’indicazione dei nominativi percipienti.
Purtroppo nella normativa non è chiaro se questa richiesta è legittima, il Garante Privacy non si è ancora pronunciato sul caso specifico, ed esistono sentenze discordanti tra TAR e Consiglio di Stato, spesso sentenze applicabili solo a casi specifici.
Di certo non possiamo essere noi a fornirvi la soluzione, magari possiamo ragionare assieme sull’opportunità di fornire questi dati o meno, e poi decidere in autonomia e secondo coscienza.
Lo schema di ripartizione dettagliato, sia per il FIS, sia per il Bonus, è possibile fornirlo qualora i dati siano aggregati in quanto non c’è alcun dato personale da tutelare.
Ma se ci chiedono di più?
Con l'introduzione di nuove regole per il personale scolastico relative all'emergenza COVID-19 in cui è esteso l'obbligo vaccinale (vedi circolare MI), ovvero la guarigione da COVID-19, e con l'aggiornamento dell'APP Verifica-C19 necessaria al controllo in modalità "base" o "rafforzata" è necessario:
- Aggiornare l'informativa modello INF_GP alla versione 2.0 pubblicandola su sito web e rendendola disponibile in cartaceo negli spazi in cui viene effettuata la rilevazione del QR-Code con l'App Verifica-C19 (Si consiglia di inviare suddetta informativa a tutto il personale scolastico, anche a mezzo registro elettronico o altro mezzo similare);
- Autorizzare / Incaricare il personale scolastico (CS, Docenti, ATA) che effettuano la verifica con l'App Verifica-C19 mediante il nuovo modello L-VerGP Revisione 2.0 (anche per gli autorizzati con modello revisione 1.1).
- Aggiornare il Registro delle Verifiche Accesso R-VerGP alla versione 2.0
In allegato:
- Informativa INF_GP versione 2.0
- Autorizzazione/Nomina L-VerGP Revisione 2.0
- Registro delle Verifiche Accesso R-VerGP versione 2.0
Ci riserviamo di aggiornare ulteriormente la documentazione in conseguenza del presumibile aggiornarnamento della piattaforma SIDI relativamente alle verifiche Covid-19.
Staff GDPRistruzione.it
Molto spesso ci pongono questo quesito, ovvero se l’incarico di DPO (Responsabile della Protezione Dati) possa essere in conflitto di interesse con l’incarico di Amministratore di Sistema (ADS).
Il dubbio è lecito in quanto le norme pur prevedendo queste figure e attribuendo loro un grande valore non ‘le definiscono’ chiaramente.
Gentile DS titolare del trattamento,
Si informa che a partire dal 06/12/2021 l'APP VerficaC19 è stata aggiornata prevedendo le seguenti tipologie di verifica:
"base" - per certificazione da vaccinazione, guarigione o test antigenico rapido o molecoalre;
"rafforzata" - per certificazione da vaccinazione o guarigione.
L'autorizzato alla rilevazione si deve assicurare di utilizzare sempre la tipologia di verifica appropriata in base alla normativa in cui effettua la scansione.
Consulta la tabella delle attività consentite.
In vista delle iscrizioni relative all’anno scolastico 2020/2021 vogliamo richiamare l’attenzione su alcuni aspetti rilevanti in termini di privacy.
In particolare si richiama l’attenzione:
- sulla necessità di integrare l’informativa privacy del MIUR con quella propria in quanto nell’informativa del MIUR viene indicato l’Istituto Scolastico come titolare dell’intero trattamento e il MIUR solo della parte dei dati che confluiscono nell’Anagrafe Nazionale degli studenti.
- ai dati non pertinenti, eccedenti richiesti in caso di personalizzazione del modulo per le scuole che intendono fornire ad alunni e studenti ulteriori servizi in base al proprio Piano triennale dell'offerta formativa e alle risorse disponibili. Le richieste di informazioni finalizzate all' accoglimento delle domande di iscrizione, o per l'attribuzione di precedenze o punteggi nelle graduatorie/liste di attesa, dovranno essere definite con delibera del Consiglio di istituto che evidenzi in maniera puntuale i motivi che rendono indispensabile la raccolta di informazioni ulteriori. La stessa circolare in merito alla informativa: “Le scuole forniscono l'informativa di cui all'articolo 13 del Regolamento (DE) 2016/679, con particolare riferimento ai diritti di cui agli articoli da 15 a 22 del Regolamento” secondo le seguenti modalità:
Pagina 1 di 2
Microtech srl
Viale Dante 140b - CASSINO (FR)
Tel. 0776 26110 - Fax 077621046
email: microtech@webmicrotech.it
internet: www.webmicrotech.it
contatto: Attilio Milli - 3355654057
Digital Documents Solution srl
Via Enrico De Nicola 61 - CASSINO (FR)
Tel: 0776/311963
email: info@flussodigitale.it
internet: www.flussodigitale.it
contatto: Valentino Valente - 338 455 2068
MS Computer Soc. Coop.
Via Campo Isabella 6 – Strangolagalli (FR)
Tel. 0775978138
email: sandro.maini@ms-computers.it
internet: www.ms-computers.it
contatto: Sandro Maini - 3355277002
SOS Recupero Dati
Via Salice, 78 - 80013 - Casalnuovo (NA)
Tel. 081.01.02.117
email: info.recuperodati@sosrecuperodati.it
internet: www.sosrecuperodati.it