Nuovo Regolamento europeo sulla protezione dei dati 2016/679

Nuovo Regolamento europeo sulla protezione dei dati 2016/679

di Cristina Del Bel Belluz e Alessandro Venerus

 

“Il problema non é fare la cosa giusta…
ma sapere qual é la cosa giusta”
Lyndon B. Johnson

 

A due anni dalla sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, il 25 maggio scorso è entrato ufficialmente in vigore il GDPR UE 2016/679 Regolamento generale sulla protezione dei dati. Poiché si tratta di un Regolamento, la sua applicazione è immediata in tutti i Paesi dell’Unione Europea e parimenti quindi anche in Italia.

La sua operatività però si incrocia con quanto precedentemente recepito attraverso il Dlgs 196 del 2003 Codice in materia di protezione dei dati personali.

 

Per iniziare…

Una prima osservazione, che balza agli occhi, è il concetto di “dato” definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” diversamente definibile come interessato; si parla di dati genetici, biometrici, personali relativi a condanne penali e reati e si introduce la definizione di categorie particolari di dati personali. Soprattutto per questi ultimi viene posta attenzione al fine di garantirne adeguata protezione. La sicurezza, infatti, rappresenta uno dei principi fondanti del Regolamento accanto alla liceità (es. esecuzione di un interesse pubblico), alla correttezza (buona fede), alla trasparenza (si pensi all’informativa), alla pertinenza (minimizzazione dei dati), alla necessità rispetto alle finalità e alla responsabilizzazione o accountability.

Il principio della responsabilizzazione viene continuamente ribadito come un aspetto cardine di tutto l’assetto del GDPR, in quanto offre la possibilità, ma anche impegna il titolare del trattamento ad individuare le misure tecniche ed organizzative più idonee per ridurre il rischio e garantire la maggiore sicurezza possibile, evitando perdite, distruzioni o danni accidentali dei dati in possesso.

Pare chiaro e ovvio che sapere quali sono le condizioni ottimali da mettere in atto non è di per sé sufficiente. E’ necessario porre in essere il più possibile quanto ritenuto idoneo e, nel contempo, dimostrare che le misure applicate sono efficaci… pena le relative sanzioni. Una politica consapevole di “responsabilizzazione” pone molti interrogativi e domande sul proprio sistema tecnico ed organizzativo e sui processi che sottendono alla varie dimensioni dell’agire quotidiano.

Il Dirigente scolastico, che nelle scuole risulta essere il titolare del trattamento dati, è chiamato, come indicato da Dlgs 165 del 2001 art. 25 Norme generali sull’ordinamento del lavoro alla dipendenza delle amministrazioni pubbliche, a ricercare le soluzioni organizzative più adatte alle singole realtà in virtù del suo primario compito di gestione unitaria dell’istituzione. Spetta infatti a lui la messa in atto delle misure più efficaci ed efficienti benché lo stesso GDPR preveda altre figure operative che possano offrire la loro consulenza.

Non è inopportuno quindi considerare due nuovi concetti introdotti dal regolamento: “Privacy by design” e “Privacy by default”. Con il primo si intende l’importanza della progettazione, della definizione a priori rispetto all’intero processo al fine di operare nel rispetto dei principi sopra ricordati; con il secondo concetto ci si pone ad un livello diverso, quasi conseguenza del primo: le misure tecniche ed organizzative attuate sono tali per cui per impostazione predefinita sono utilizzati solo i dati pertinenti, necessari, leciti rispetto alle finalità del trattamento.

Tralasciando altri soggetti quali i responsabili o eventuali, ma non esplicitamente previsti, incaricati, una nuova figura entra in gioco: il “Data Protection Officer” (DPO); si tratta di una figura autonoma di consulente, di aiuto e di raccordo tra pubblica amministrazione e Garante passando per l’interessato.

Il Data Protection Officer o responsabile della protezione dei dati può essere condiviso tra più scuole attraverso la stipula di opportuni accordi di rete. La cosa appare di grande senno, in assenza di ulteriori indicazioni, poiché scuole viciniori che condividono spesso servizi sul territorio, incidono su di esso e si rivolgono a tipologie similari di stakeholder, pur nell’autonomia delle istituzioni scolastiche di cui alla L.107 del 2015 Riforma del sistema nazionale di istruzione e formazione e delega per il riordino delle disposizioni legislative vigenti, dimostrano di saper dialogare tra loro e di offrire garanzie di trattamento dei dati meno soggettive e più pensate, definite e concordate.

 

All’opera…

Da punto di vista del Dirigente/titolare del trattamento si pone ora la questione di quali operazioni è necessario compiere per assolvere a quanto previsto dal GDPR. La novità più importante è rappresentata dal Registro per il trattamento dei dati. Le istituzioni scolastiche compilano il documento che contiene:

  • il nome e i dati del titolare e del responsabile del trattamento,
  • le finalità del trattamento,
  • le categorie degli interessati e dei dati personali trattati,
  • le categorie dei destinatari ai quali i dati saranno comunicati, compresi terzi od organizzazioni internazionali,
  • il termine per la cancellazione dei dati,
  • le misure minime di sicurezza tecniche ed organizzative (es. pseudonomizzazione, cifratura,…),
  • le misure atte a garantire riservatezza, integrità, disponibilità, ripristino in caso di violazioni di varia natura e controllo periodico.

Risulta importante fare una valutazione d’impatto rispetto al rapporto tra il dato trattato e la misura attuata bilanciando efficacia/efficienza ed economicità, che sono poi principi che a scuola ricordano la gestione finanziaria e che sottendono alla stesura del Programma Annuale D.I. 44 del 2001 Regolamento concernente le “Istruzioni generali sulla gestione amministrativo-contabile delle istituzioni scolastiche”. Del resto tutta questa partita del Regolamento non vi è certo sganciata: si pensi alle implicazioni economiche legate alle nuove figure previste (DPO, tecnico informatico negli istituti comprensivi, …), alle misure tecnico/organizzative da attuare nonché ai costi della formazione e all’eventuale adeguamento delle attrezzature informatiche.

Un altro punto importante è la rivisitazione dell’informativa (concisa, accessibile e intellegibile) rivolta al personale, agli studenti e ai fornitori. Le scuole, già dotate di tale documento come da Dlgs 169 del 2003, sono chiamate a rivederla controllandone in particolare la presenza di alcuni elementi (dati del DPO, base giuridica del trattamento, indicazione se i dati saranno trasferiti in Paese terzo, periodo di conservazione, il diritto di reclamo ed eventuali processi decisionali automatizzati). Uno dei diritti dell’interessato è infatti proprio la conoscenza della modalità con la quale sono trattati i dati e se vi siano processi decisionali automatizzati. L’interessato può quindi esercitare il suo diritto all’accesso, all’aggiornamento dei dati, alla limitazione del dato, di opposizione, di portabilità del dato e da ultimo il nuovo diritto all’oblio!

Un ulteriore elemento che si aggiunge all’informativa è rappresentato dal consenso: la Pubblica Amministrazione non necessita di acquisire il consenso qualora operi per fini istituzionali. Le scuole pertanto non sarebbero legate alla necessità di avere il consenso; va da sé però che nel momento in cui si opera in uno spazio che non è propriamente legato a compiti codificati il consenso diventa necessario. Un esempio può essere costituito dalla raccolta di dati degli studenti per la partecipazione a concorsi esterni la scuola.

Sebbene compito delle istituzioni scolastiche, e della Pubblica Amministrazione in generale, sia quello di ridurre il rischio e garantire la sicurezza, un margine di imponderabilità rimane sempre pertanto, le scuole predispongono un registro delle violazioni, nel caso in cui emergano danni accidentali o perdite di dati. Il titolare, sentito il parere del DPO, è tenuto a comunicare entro 72 ore al Garante casi di Data Breach, se significativi.

 

Controllo e formazione

L’identificazione e attuazione delle misure minime di sicurezza atte a garantire riservatezza, integrità e disponibilità dei dati non rimane valido per sempre ma necessita di periodica analisi. Lo status delle procedure infatti va tastato, verificato e valutato regolarmente per controllarne l’efficacia ai fini della garanzia di sicurezza del trattamento. Il titolare del trattamento, avvalendosi della consulenza tecnica del responsabile del trattamento dei dati, monitora periodicamente l’intera gestione organizzativa apportandovi, ove necessario e possibile, i correttivi opportuni. Ciò avviene anche attraverso una costante attività formativa rivolta al personale.

Il DPO diventa anche formatore: tutti trattano in modo più o meno “importante” dati personali perciò sono necessari audit focalizzati sui singoli ruoli (docenti, personale amministrativo, direttore dei servizi, studenti…). I temi da trattare sono l’acquisizione di consapevolezza del nuovo Regolamento e dei suoi obblighi nonché delle altre disposizioni dell’Unione e degli Stati membri relative alla protezione dei dati, la gestione dei documenti cartacei, l’utilizzo dei laboratori informatici, la gestione password e registro elettronico, l’uso dei social…

A tal proposito ogni istituzione scolastica può dotarsi di codici di condotta o certificazioni autonome; un esempio la presenza di uno specifico regolamento sull’uso del registro elettronico e la gestione delle relative password rivolto al personale ma anche alle famiglie.

 

Conclusioni

Il nuovo Regolamento permette di ripensare ai processi e alle procedure interne alle scuole con la consapevolezza che nulla è fisso, certo ed immutabile per sempre ma va controllato, monitorato e aggiornato periodicamente… forse una nuova incombenza? Di certo una nuova consapevolezza perché in gioco c’è la credibilità di una Scuola che non può, come si è potuto constatare, essere lasciata sola pena il senso di incertezza e pesantezza che ne emergerebbe! C’è invece da cogliere l’opportunità e mettersi in gioco per migliorare processi e performance.

Per visualizzare alcuni concetti fondamentali del nuovo Regolamento può risultare utile la proposta di schema di seguito elaborata.

A seguire si aggiunge un contributo rispetto all’uso consapevole del Registro elettronico con un modello di Regolamento che investe tutti coloro che interagiscono con questo strumento proprio nell’ottica della tutela dei dati personali di cui si è ampiamente trattato.



Perché un regolamento per l’uso del registro elettronico

Da alcuni anni le istituzioni scolastiche hanno avviato un processo di dematerializzazione che comprende anche il disuso del registro cartaceo e l’introduzione di piattaforme per la compilazione del cosiddetto registro elettronico.

Il primo atto normativo che ha introdotto l’uso del registro elettronico è il D.L. 95/2012 (convertito con L. 135/2012) – articolo 7 comma 31 “A decorrere dall’anno scolastico 2012-2013 le istituzioni scolastiche e i docenti adottano registri on line e inviano le comunicazioni agli alunni e alle famiglie in formato elettronico”. Il D.L. al comma 28 stabilisce che, a decorrere dallo stesso anno, le iscrizioni alle istituzioni scolastiche statali di ogni ordine e grado avvengano esclusivamente in modalità online e al comma 29 si prevede che le istituzioni scolastiche ed educative redigano la scheda di valutazione degli alunni in formato elettronico.

Per i docenti e le famiglie è una innovazione notevole che oltre agli indubbi vantaggi porta con sè alcune nuove problematiche come la gestione delle credenziali di accesso e l’uso corretto del registro elettronico.

L’avvio del nuovo Regolamento europeo sulla protezione dei dati 2016/679, entrato in vigore il 25 maggio 2018, ha un impatto significativo sul cambio di passo rispetto alla normativa in vigore: dalle misure minime di sicurezza richieste dal D. Lgs. 196/2003 si giunge alla necessità di svolgere tutte le azioni possibili per proteggere i dati personali, di cui il registro elettronico è un contenitore ben fornito.

Di qui la necessità per le istituzioni scolastiche di regolamentare la materia, utilizzando quanto permette l’autonomia; oltre al registro dei trattamenti, il Data Protection Officer, la nuova informativa e gli altri strumenti previsti dal GDPR si ritiene importante redigere un regolamento specifico per l’uso del registro elettronico destinato a tutti gli utenti. Tale regolamento sarà ovviamente ed opportunamente approvato dal Consiglio d’Istituto.

Di seguito se ne propone uno schema al fine di assolvere alla necessità di regolamentare e promuovere un corretto utilizzo del registro e di conseguenza una maggiore consapevolezza per la protezione dei dati ivi contenuti. Ad una prima lettura alcune indicazioni parrebbero superflue, in realtà forniscono risposte a quesiti che molto spesso sono rivolti da utenti che non hanno ancora, per motivazioni molto diverse, acquisito quelle competenze digitali di base necessarie ad un uso consapevole e critico dei nuovi mezzi di comunicazione.


REGOLAMENTO REGISTRO ELETTRONICO

Approvato nella seduta del Consiglio d’Istituto del ……………..

 

Sommario

PREMESSA.. 7

REGOLE GENERALI UTILIZZO RETE. 8

ART. 1 AUTORIZZAZIONI 8

ART. 2 RESPONSABILITÀ.. 8

PERSONALE SCOLASTICO.. 8

ART. 3 ASSEGNAZIONE CREDENZIALI 8

ART. 4 COSTRUZIONE DELLA PASSWORD.. 9

ART. 5 RISERVATEZZA.. 9

ART. 6 RESPONSABILITÀ DELLE CREDENZIALI 10

ART. 7 ATTENZIONI NELL’USO E NELLA CONSERVAZIONE DELLA PASSWORD.. 10

ART. 8 CONSULTABILITÀ DEI DATI 11

FAMIGLIE E STUDENTI 11

ART. 9 ACCESSO.. 11

ART. 10 RESPONSABILITÀ DELLE CREDENZIALI 11

RINVIO AD ALTRE REGOLAMENTAZIONI 11

ART. 11 RINVIO.. 11

 

PREMESSA

Il registro elettronico gestisce dati personali riguardanti gli studenti (assenze, ritardi, uscite, giustificazioni, voti, note disciplinari, ecc.), dati che sono soggetti alle norme che tutelano la privacy. Tutte le operazioni relative all’uso dello stesso sono quindi improntate alla tutela della privacy ed ogni tipologia di utente ha accesso solo ad informazioni strettamente pertinenti al proprio ruolo.

Per approfondire la tematica della tutela della privacy si consiglia di navigare nel sito del Garante www.garanteprivacy.it/regolamentoue. Inoltre per la segnalazione di presunte violazioni dei dati personali è possibile scrivere alla mail dedicata privacy@nomescuola.edu.it.

 

REGOLE GENERALI UTILIZZO RETE

ART. 1 AUTORIZZAZIONI

Ogni utente abilitato è autorizzato ad utilizzare il servizio esclusivamente per i fini istituzionali per cui è stato concesso. E’ vietato fornire a soggetti non autorizzati l’accesso alla rete dell’Istituto, collegarvi apparecchiature o servizi o software non autorizzati, compromettere la sicurezza della rete in qualsiasi modo.

Solo il personale in servizio può accedere alla rete con il proprio dispositivo elettronico per i soli fini istituzionali.

 

ART. 2 RESPONSABILITÀ

L’utente è direttamente responsabile delle attività svolte durante la connessione in internet. È vietato creare o trasmettere qualunque immagine, dato o altro materiale offensivo, minatorio, diffamatorio, osceno, blasfemo o lesivo della dignità umana. È, altresì, vietato scambiare materiale illegale o coperto da copyright o tutelato da altri diritti di proprietà intellettuale o industriale.

È vietato danneggiare, distruggere, cercare di accedere senza autorizzazione ai dati o violare la riservatezza di altri utenti, compresa l’intercettazione o la diffusione di password e ogni altro “dato personale”.

È vietato svolgere sulla rete ogni altra attività contraria alla vigente normativa, nonché ai regolamenti e dalle norme di buona educazione in uso sulla rete Internet (“Netiquette”).

Tutti gli utenti che accedono alla Rete sono riconosciuti ed identificati. Le attività potranno essere controllate dal personale autorizzato nel caso di uso illecito della Rete.

 

PERSONALE SCOLASTICO

ART. 3 ASSEGNAZIONE CREDENZIALI

Il personale in servizio riceverà le credenziali per l’accesso al Registro Elettronico.

L’abilitazione all’utilizzo dell’applicativo avrà durata pari al periodo di servizio del docente nell’Istituto.

La password assegnata inizialmente e modificata periodicamente è assolutamente riservata, non può essere comunicata in nessun caso ad altre persone.

 

ART. 4 COSTRUZIONE DELLA PASSWORD

La password assegnata inizialmente deve essere cambiata al primo utilizzo e deve essere poi modificata periodicamente, almeno ogni 6 mesi, rispettando le seguenti regole per aumentarne la sicurezza:

  • sia diversa da una precedentemente usata o già impiegata per altri siti
  • evitare di inserire anche la username o una sua parte
  • escludere elementi, come il nome o diminutivi, riconducibili alla persona stessa
  • contenga almeno 10 caratteri alfanumerici
  • siano presenti lettere maiuscole e minuscole e simboli come @.#$%^&
  • evitare parole comuni, come “password”, la data del proprio compleanno, il proprio nome utente o parole che possono essere facilmente lette sul dizionario
  • alternare maiuscole e minuscole
  • non usare sequenze di tasti sulla tastiera (asdf) o sequenze di numeri (1234)
  • evitare password di soli numeri, di sole lettere maiuscole o di sole lettere minuscole
  • non usare ripetizioni di caratteri (aa11)
  • non deve avere una logica esplicita

Per ricordare più facilmente le nuove password è possibile effettuare le seguenti sostituzioni ai caratteri comuni, come ad esempio le “a” con “@”, le “s” con “$”, gli spazi con “%”, le “o” con “0”, le “i” con “!” e le “e” con “€”.

Non lasciare la password scritta in posti facilmente raggiungibili da altri e non inviare mai la password per email.

Se dovessimo essere costretti a scrivere una password per conservarla in luogo sicuro, sostituirne alcune parti con descrizioni personali.

Il personale che smarrisce le credenziali di accesso deve richiederle tempestivamente al personale di Segreteria dell’Istituto che provvederà, in forma riservata, al rilascio delle nuove.

 

ART. 5 RISERVATEZZA

Il Dirigente, i Docenti, il Personale di segreteria e tutto il Personale che, per le loro funzioni, vengano a conoscenza dei dati personali contenuti nel Registro elettronico sono tenuti alla massima riservatezza.

I dati del registro elettronico non possono essere inseriti, modificati o cancellati dalle persone non autorizzate.

 

ART. 6 RESPONSABILITÀ DELLE CREDENZIALI

E’ vietato cedere, anche solo temporaneamente, il proprio codice utente e la propria password.

L’utente intestatario verrà considerato responsabile di qualunque atto illecito perpetrato con quell’account.

Le credenziali di accesso NON devono essere memorizzate in funzioni di log-in automatico, in un tasto funzionale o nel browser utilizzato per la navigazione internet o in computer di uso comune.

La compilazione del registro elettronico spetta esclusivamente al docente presente in aula. Per nessun motivo si possono delegare colleghi, alunni o altre persone a tale mansione.

La firma di presenza deve essere apposta giornalmente: non è consentito firmare in anticipo per i giorni successivi o per le lezioni successive dello stesso giorno. In caso di particolari problemi tecnici, la firma dovrà essere regolarizzata il prima possibile.

Alla fine dell’utilizzo ogni componente del personale scolastico deve OBBLIGATORIAMENTE CHIUDERE IL PROPRIO ACCOUNT facendo il LOGOUT, da qualsiasi postazione si acceda al registro elettronico.

 

ART. 7 ATTENZIONI NELL’USO E NELLA CONSERVAZIONE DELLA PASSWORD

Digitare la password lontano da sguardi indiscreti, ricordare che possono essere intercettate anche solo guardando la loro digitazione sulla tastiera.

Non porre in vista l’eventuale foglio con le credenziali durante la digitazione e inserire rapidamente i caratteri nei campi di modulo di accesso al registro elettronico

Le eventuali credenziali memorizzate nel pc della scuola, permettono agli studenti di ricavarle dalle impostazioni avanzate del browser alla voce password e moduli.

Non comunicare agli stessi studenti le credenziali, in modo che siano loro stessi ad inserire i voti e le lezioni del giorno nel registro elettronico.

Digitare le credenziali evitando la modalità in chiaro o visibile su schermi, monitor o proiezioni che gli studenti stanno guardando.

Non scrivere mai la password sotto la tastiera, o su post-it accanto il monitor.

Gli studenti non possono utilizzare dispositivi elettronici in cui sia contemporaneamente aperta la sessione del registro elettronico.

 

ART. 8 CONSULTABILITÀ DEI DATI

I dati inseriti nel Registro elettronico sono consultabili dal docente di classe, dal Dirigente scolastico o suo Collaboratore, dal coordinatore di classe, dai docenti di sostegno, dai rispettivi genitori degli alunni.

 

FAMIGLIE E STUDENTI

ART. 9 ACCESSO

Ogni genitore, per avere accesso al registro elettronico e conoscere le assenze, i ritardi, le giustificazioni, i voti e le note disciplinari riguardanti il proprio figlio verrà dotato di apposite credenziali d’accesso.

 

ART. 10 RESPONSABILITÀ DELLE CREDENZIALI

Le credenziali sono personali, riservate e non cedibili ad altre persone. Chi le riceve è responsabile del loro corretto utilizzo.

In caso di smarrimento delle credenziali è possibile avviare la procedura di recupero contattando tempestivamente la segreteria.

 

RINVIO AD ALTRE REGOLAMENTAZIONI

ART. 11 RINVIO

Per quanto non previsto dal presente regolamento si rimanda alla normativa vigente.