Criticità trasferimento dati verso USA, ed altri paesi

La questione verte sull’invio sistematico di dati personali in paese extra-UE, in particolare USA, attraverso servizi e piattaforme delle GAFAM (Google, Amazon, Facebook, Apple, Microsoft), in particolare servizi di posta, repository documentale, piattaforme per videoconferenze e didattica a distanza offerti da Google e Microsoft.video min

Quali sono le problematiche nel contesto normativo?

Per valutare la trasferibilità dei dati personali verso paesi diversi dall’Unione Europea UE (in realtà Spazio Economico Europeo SEE) vi sono diverse possibilità negli articoli 45, 46, 47 e 49 del GDPR 679/2016:

  • un accordo internazionale tra la UE ed il paese extra UE (art. 45);
  • l’adesione da parte del ricevente dati a clausole contrattuali standard approvate dalla Commissione Europea (art. 46);
  • patti vincolanti di impresa (art. 47);
  • consenso al trasferimento (art. 49).

La sentenza Schrems II della Corte di Giustizia Europea di fatto abolisce l’accordo internazionale tra USA e UE per uniformare la sicurezza del trattamento dati cosi come previsto dal Regolamento Europeo sulla Protezione dei dati (art. 45 del GDPR 679/2016).

Il “Cloud Act” (norma statunitense) mette a rischio anche i dati presenti su server europei di proprietà di società statunitensi, anche se è prevista la possibilità di opporsi alla richiesta di dati motivando opportunamente le ragioni ed utilizzando i contratti sottoscritti.

 

Eravamo in attesa della comunicazione MIM arrivata ieri per organizzare un incontro in videoconferenza in cui parlarvi nuovamente di Piattaforme DDI, di trasferimento dati extra UE (SEE), e di come comportarci, anche a seguito delle ulteriori richieste di MonitoraPA.

Notiamo con piacere che la nostra strategia di PSEUDONIMIZZAZIONE ora è suggerita anche dal MIM e da MonitoraPA. Vi ricordo che su www.gdpristruzione.it è già da tempo disponibile il video di come poterla attuare abbastanza agevolmente.

Qui trovate, in area riservata, la registrazione del webinar.

E’ riservato alle scuole in regola con il contratto privacy!

l’uso delle piattaforme all’interno degli istituti scolastici ha avuto un’accelerazione notevole a seguito dell’emergenza Covid19. Sempre più spesso se ne è appreso l’utilità e l’indispensabilità, ma alcune volte la facilità d’uso e la possibilità di fare nuove attività in modalità digitale, che prima si potevano svolgere solo in modalità analogica, ha fatto trascurare la sicurezza dei dati.

Nella platea dei docenti e ATA crescono le competenze digitali e si aprono nuovi scenari. E’ il momento però di sensibilizzare le persone sulla sicurezza e sulle relative problematiche.

Di recente molti istituti hanno ricevuto l'ennesima segnalazione da parte del gruppo monitora PA.

Purtroppo la realizzazione di siti web implica l'uso di script, fonts, fogli di stile, librerie ed altre risorse che in molti casi sono rese disponibili gratuitamente online.

Per comodità, praticità ed anche utilità (molte risorse disponibili si aggiornano continuamente e sono rese disponibili allo stesso "link") gli sviluppatori sono abituati ad "incorporare" nel sito molte funzionalità utilizzando risorse tramite CDN (Content Delivery Network, un network di reti che ci possono aiutare ad alleggerire il carico di utenza e dunque il caricamento di alcuni contenuti in determinate pagine del nostro sito web) o trramite appositi tag inseriti nell'HEAD delle pagine web che puntano a risorse esterne molto spesso site in server statunitensi.

Lo psicologo agisce, come il medico competente, in qualità di titolare del trattamento dati.

Come professionista è sottoposto al segreto professionale ma deve ricevere il consenso in quanto da privato tratta personali.
.
L'ordine degli psicologi ha predisposto e pubblicato moduli per la richiesta del consenso sia nel caso di minori che nel caso dei maggiorenni.
 
La scuola emana un bando di selezione ed affida l'incarico al professionista; nel contratto che ne consegue va indicato che lo psicologo agisce come titolare.
 
La scuola, fungendo da tramite per fissare appuntamenti, coordinare le attività, ed avere feedback dell'attività svolta, deve porre particolare attenzione a: