Videosorveglianza a scuola
abint Nessun commento

Videosorveglianza a scuola

Il nostro Istituto ha acquistato un impianto di videosorveglianza dei locali scolastici coi fondi del PNRR. La scelta di acquisire l’impianto tende a tutelare i beni di proprietà da furti e atti vandalici di cui siamo stati vittime anche nel recente passato. In questo senso voglio porvi due domande.
Nel caso di possibile danno alla privacy, la polizza integrativa tutela l’Amministrazione? Il premio della polizza assicurativa, stipulata a protezione dei beni dell’Istituto, subirà una riduzione alla luce dell’installazione dell’impianto di video sorveglianza?

Il tema del diritto alla riservatezza di studenti e personale all’interno degli Istituti scolastici non è particolarmente recente. Già alla fine del secolo scorso, l’Art. 2, comma 2, del D.P.R. 24 giugno 1998, n. 249 tutelava: «il diritto dello studente alla riservatezza».
L’attività di videosorveglianza è considerata, da sempre, piuttosto invasiva della vita privata. L’Autorità Garante, con il provvedimento in materia di videosorveglianza, fin dall’aprile 2010, ha previsto alcuni requisiti stringenti in materia.

Le indicazioni del Garante

Secondo quanto stabilito dal Garante, gli istituti scolastici possono installare sistemi di videosorveglianza esclusivamente al fine di tutelare l’edificio e i beni in esso contenuti. Le riprese, tuttavia, andranno circoscritte esclusivamente alle sole aree interessate alla custodia di beni di valore, come la strumentazione informatica o le somme di denaro. Inoltre, la presenza delle telecamere dev’essere opportunamente e chiaramente segnalata da apposita cartellonistica.
La normativa pone una particolare attenzione ai sistemi di videosorveglianza. Uno scorretto utilizzo delle telecamere può comportare un’ingerenza ingiustificata nella vita privata, con conseguente violazione dei diritti e delle libertà fondamentali.
Per questo motivo, le aree interne dell’Istituto potranno essere riprese solo ed esclusivamente negli orari di chiusura. Vige, invece, il divieto assoluto durante l’ordinario svolgimento delle attività scolastiche o extrascolastiche. Circa le aree esterne, adiacenti all’Istituto scolastico, potranno essere soggette alla videosorveglianza anche durante le lezioni, purché non risultino pertinenti all’edificio.
Relativamente alla conservazione, il Garante, nelle FAQ del dicembre 2020, ha chiarito che le immagini dovranno essere conservate solo per il: «tempo necessario per le finalità per le quali sono acquisite». Spetterà: «al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento».

La responsabilità

Ai sensi dell’Art. 4, della Legge 20 maggio 1970, n. 300 è vietata l’installazione e l’utilizzo degli impianti audiovisivi finalizzati alla vigilanza sull’attività lavorativa.
Il controllo a distanza può essere impiegato: «esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale».
L’inosservanza delle disposizioni in materia prevede una sanzione amministrativa fino a 1.549,00 euro e, nei casi più gravi, l’arresto da 15 giorni ad un anno.
La polizza RCT copre esclusivamente i danni materiali. Nel caso della Privacy il danno è “di norma” puramente patrimoniale. Per questo motivo è consigliabile, per il Dirigente Scolastico la stipula di una polizza per la Responsabilità Civile Patrimoniale e Amministrativa Contabile.

L’assicurazione dei beni dell’Istituto

Alcune compagnie assicurative offrono un premio più contenuto in presenza di sistemi di protezione come antifurti, videosorveglianza o sistema d’allarme perimetrale wireless.
Una particolare attenzione, tuttavia, va posta in relazione alle esclusioni.
L’installazione degli impianti dev’essere certificata e manutenuta da personale in possesso dei requisiti professionali, in conformità con le norme e le indicazioni dell’Ente proprietario dell’immobile. Il sistema inoltre dovrà rispettare lo standard richiesto dalle compagnie assicurative.
In caso di furto o atto vandalico l’Amministrazione è tenuta a produrre tutta la documentazione video. Non potrà essere portata a giustificazione la mancata attivazione o il mal funzionamento dell’impianto.
In assenza di uno o più di questi passaggi la garanzia potrebbe non essere operativa.

Se desideri maggiori informazioni in relazione alle polizze di assicurazione dei beni dell’Istituto, contattaci qui.

INAIL e Privacy
abint Nessun commento

INAIL e Privacy

L’Istituto scolastico per effettuare la denuncia di sinistro all’INAIL ha bisogno del consenso della famiglia e della relativa liberatoria ai sensi della normativa sulla privacy?

Negli ultimi anni, anche in ambito scolastico, si è molto dibattuto sul concetto di Privacy e di tutela dei dati “sensibili”.
L’attuale ordinamento giuridico tutela il diritto alla Privacy, inteso come il diritto alla protezione dei dati personali. In altre parole definisce il diritto di ogni cittadino a ricevere il corretto trattamento di particolari dati relativi alla propria persona.
Alcuni dati personali, infatti, possono rivelare aspetti, particolarmente delicati, della vita ogni individuo.
Per questo motivo la legge garantisce che i dati personali siano trattati con modalità idonee a tutelare la riservatezza del soggetto. Obiettivo è la prevenzione di comportamenti illeciti a danno del titolare richiedendo, in certi casi, addirittura il consenso scritto dell’interessato.

Cosa sono i dati particolari

L’Art. 9 del GPDR indica un elenco di dati che non possono essere trattati fatto salvo consenso esplicito dell’interessato. Questi dati sono:

  • L’origine razziale o etnica
  • Le opinioni politiche, le convinzioni religiose o filosofiche
  • L’appartenenza sindacale
  • I dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica
  • I dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

Il divieto tuttavia non è assoluto. I dati particolari possono essere trattati, oltre che a fronte di un consenso esplicito anche senza consenso, qualora ricadano nelle eccezioni previste dall’Art 9.

Le eccezioni

Il comma 2, paragrafo (h), indica come non occorra consenso esplicito qualora: «il trattamento è necessario per finalità di medicina preventiva o medicina del lavoro». Ovvero per la: «valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale».
In tutti i casi, la gestione dei dati dovrà sempre conformarsi al contratto con un professionista della sanità, con condizioni e garanzie specifiche.
Il comma 3, nello specifico, evidenzia come dati dovranno essere trattati: «da o sotto la responsabilità di un professionista soggetto al segreto professionale». Ovvero anche:«da altra persona anch’essa soggetta all’obbligo di protezione dei dati personali».
A tal fine l’INAIL ha pubblicato sul proprio sito la specifica Informativa in materia di protezione dei dati personali.

Le polizze assicurative private

Una precisazione a parte riguarda i trattamento dei dati da parte delle Compagnie assicurative private.
Mentre, come abbiamo visto, il consenso al trattamento dei dati personali, nel caso dell’INAIL, non è espressamente richiesto, nel caso delle assicurazioni private è obbligatorio.
L’assicurato, vittima di infortunio o malattia, dovrà rilasciare l’esplicito consenso al trattamento di dati alla Società assicuratrice.
L’assenza di consenso impedisce la trattazione del sinistro e conseguentemente il rimborso contrattualmente previsto. Per questo motivo le Società assicuratrici prima della trattazione del sinistro richiedono la formale sottoscrizione della liberatoria.

Se desideri maggiori informazioni in relazione alla normativa sulla privacy nelle polizze assicurative scolastiche, contattaci qui.

Lettura del compito in classe e Privacy
abint Nessun commento

Lettura del compito in classe e Privacy

Un docente della scuola frequentata da nostro figlio, è solito leggere i compiti in classe di alcuni alunni. La lettura pubblica dell’elaborato del singolo studente può essere considerata violazione della privacy? La polizza di assicurazione scolastica copre questo tipo di reato?

In premessa occorre precisare che il compito in classe non è un documento riservato e, in quanto tale, non è tutelato dalla normativa sulla privacy. Se così fosse, il docente potrebbe effettuare, sull’elaborato, esclusivamente un’azione di verifica, mentre sarebbe impedita qualsiasi controverifica a tutela dello stesso studente interessato.

Il compito in classe è un atto amministrativo

Il compito in classe assume, quindi, le caratteristiche di un atto amministrativo. Una volta redatto e consegnato dallo studente, fuoriesce dalla sfera privata ed entra in quella pubblica, in quanto atto proprio della Pubblica Amministrazione. Come tale è disciplinato da tutti i principi generali che regolamentano il documento amministrativo, non ultimo quello sulla trasparenza amministrativa.
Al Dirigente Scolastico è affidata la custodia e la conservazione del documento, in qualità di titolare del trattamento dei dati. Compito del Dirigente è impedire che gli atti amministrativi siano divulgati a persone che non vantano alcun interesse, come, ad esempio, nel caso di un compito in classe o di una verifica, ad un altro alunno maggiorenne o a genitori diversi da quelli dell’autore.
Ai sensi della Legge 7 agosto 1990, n. 241, l’alunno maggiorenne può richiedere di visionare il proprio l’elaborato ed il genitore quello del proprio figlio. In questo modo essi potranno verificare la congruità la valutazione effettuata dal docente ed esercitare un controllo su di essa.

L’accesso agli atti amministrativi

Ai sensi della norma, la richiesta di accesso agli atti amministrativi può essere di due tipi:

  • Informale: il genitore o l’alunno maggiorenne possono chiedere in visione i compiti e le verifiche svolte in classe;
  • Formale: il genitore o l’alunno maggiorenne possono chiedere una copia di tali documenti; in tal caso, dovranno presentare un’apposita istanza al dirigente scolastico.

Esattamente come per tutti gli atti amministrativi, nessun documento può essere rilasciato in originale senza autorizzazione. Nessuno, neanche il docente, è autorizzato a fornire copia di verifiche, compiti in classe, relazioni, registri, o qualunque altro atto della scuola, senza la formale autorizzazione del Dirigente Scolastico.

La pubblica lettura

La lettura in classe di un compito o di un elaborato non è un reato in quanto verifica di un atto amministrativo e quindi pubblico. Il Docente potrà, quindi, leggere il contenuto del compito per fini pedagogici e di insegnamento. Per la stessa ragione, il docente può leggere davanti a tutti i voti e i giudizi attribuiti ad ogni alunno, in quanto informazioni pubbliche.
La lettura in pubblico dei voti, o del contenuto dei compiti, è vietata solo quando:

  • Nel caso di soggetti affetti da particolari deficit cognitivi, potrebbe arrecare un danno all’alunno;
  • Nel caso in cui l’evento avvenga con il fine di derisione e/o scherno; in questo caso potrebbe configurarsi il reato di maltrattamento.

La polizza assicurativa

L’assicurazione non risarcisce la responsabilità penale, né le sanzioni amministrative pecuniarie derivanti.
La polizza integrativa scolastica risarcisce l’eventuale danno fisico o psicologico patito dall’alunno, salvo, in caso di comportamento doloso, la rivalsa sul soggetto responsabile.

Se desideri maggiori informazioni in relazione alle coperture assicurative per la Responsabilità Penale o Civile nella scuola, contattaci qui.

Scrutini ed Esami di stato nel rispetto della privacy
abint Nessun commento

Scrutini ed Esami di stato nel rispetto della privacy

Terminati gli scrutini, nelle scuole è tempo di esami.
Un doveroso in bocca al lupo per l’oltre mezzo milione di studenti alle prese con gli esami di maturità in svolgimento proprio in questi giorni.
Un aspetto legato agli esami e agli scrutini è quello che riguarda pubblicazione dei voti che deve avvenire nel rispetto della privacy.

Le indicazioni del Garante

Proprio alla fine di maggio, il Garante ha diffuso l’aggiornamento 2023 al vademecum relativo all’utilizzo dei dati personali all’interno degli Istituti scolastici.
Obiettivo della pubblicazione è: «chiarire dubbi o fraintendimenti legati al trattamento dei dati nelle istituzioni scolastiche».
Il Garante prende in esame anche l’aspetto legato alla pubblicazione degli esiti degli scrutini e degli esami di stato. Su quest’aspetto il Garante s’era già espresso, con una nota, nel giugno 2020.
A parere del Garante: «La pubblicazione online dei voti costituisce una forma di diffusione di dati particolarmente invasiva non coerente con la normativa sulla privacy».
Per il Garante, gli esiti degli scrutini devono essere disponibili esclusivamente nell’area riservata del registro elettronico, accessibile solo agli studenti della classe di riferimento.
Gli esiti dovranno indicare esclusivamente: “ammesso” o “non ammesso” alla classe successiva o agli esami di stato. Per le classi finali, devono essere inclusi anche i crediti scolastici attribuiti ai candidati.
I voti riportati nelle singole discipline devono essere visibili nell’area riservata del registro elettronico, accessibile esclusivamente al singolo studente o alla sua famiglia.
Una particolare attenzione è riservata dal garante alle “prove differenziate” sostenute dagli studenti con disabilità o disturbi specifici di apprendimento (DSA). Lo stato psico-fisico dello studente non dev’essere riportato nella pubblicazione, questo dovrà essere indicato solo nell’attestazione da rilasciare allo studente.

La responsabilità

La divulgazione non autorizzata dei dati personali può comportare la limitazione di alcuni diritti, la discriminazione, un danno alla reputazione e causare svantaggio economico o sociale.
Resta comunque inteso che il danneggiato dovrà sempre provare il danno concreto patito.
Ai sensi delle indicazioni applicative del Regolamento (UE) 2016/679 la divulgazione non autorizzata dei dati personali costituisce un illecito sanzionato dal Codice per la privacy. Le sanzioni in questi casi posso essere particolarmente rilevanti.
Ai sensi dell’Art. 4 GDPR, il titolare del trattamento è il soggetto, che: «determina le finalità e i mezzi del trattamento dei dati personali».
Nella scuola, il titolare del trattamento è l’istituzione scolastica stessa, nella figura del Dirigente Scolastico.
Il Dirigente potrà, a sua volta, nominare un responsabile del trattamento (Data Protection Officer). Il DPO, persona fisica o giuridica, distinta dal titolare, elabora dati per conto di quest’ultimo, sotto il suo controllo.
Sia il titolare che il responsabile dovranno assumersi responsabilità proprie, rispondendo, se del caso, alle autorità di controllo e alla magistratura.

Il profilo assicurativo

Le polizze assicurative scolastiche, di norma, non prevedono nel ramo di Responsabilità Civile le garanzie relative al rimborso del danno.
Le migliori soluzioni presenti sul mercato prevedono, nella sezione di tutela legale, la difesa penale per reati colposi e per la presentazione di ricorsi in sede amministrativa per sanzioni pecuniarie.
Risulta, quindi, opportuno che Dirigente Scolastico provveda a stipulare, a propria tutela, una copertura assicurativa di Responsabilità Civile patrimoniale e amministrativa contabile.
Stipula del contratto e relativo premio, nel rispetto della normativa prevista dalla Finanziaria 2008, saranno ad esclusivo carico del soggetto assicurato.

Se desideri maggiori informazioni in relazione alla polizza di Responsabilità Civile Patrimoniale e Amministrativa Contabile, contattaci qui.

Fotografie a scuola
abint Nessun commento

Fotografie a scuola

Nei prossimi giorni le scuole dell’infanzia del nostro Istituto inizieranno a organizzare le rituali recite natalizie. Le docenti ci chiedono se i genitori potranno fare le foto ai loro bambini. Esistono restrizioni in questo senso? In caso ne scaturisse un danno, la polizza assicurativa prevede la tutela?

La domanda andrà innanzi tutto posta al Responsabile della Protezione dei Dati (DPO o RPD) dell’Istituto. Il Responsabile della Protezione dei Dati è, infatti, tenuto a valutare e organizzare la gestione del trattamento dei dati personali all’interno della scuola. Le fotografie delle persone sono considerate dati personali e, in quanto tali, dovranno essere trattati nel rispetto delle normative privacy europee e nazionali.

L’aspetto normativo

In relazione alla privacy all’interno degli Istituti scolastici, il garante, fin dal 2016, ha pubblicato uno specifico vademecum.  Le scuole sono soggette a dei limiti. Il primo risiede nella natura pubblica dell’istituzione formativa, che impone una particolare attenzione sul trattamento dei dati personali. Il secondo deriva dalla minore età dell’utenza. La pubblicazione di foto o di video dovrà, quindi, essere rigorosamente disciplinata.
«Le istituzioni scolastiche pubbliche – precisa il Garante – possono trattare solamente i dati personali necessari al perseguimento di specifiche finalità istituzionali oppure quelli espressamente previsti dalla normativa di settore. Per tali trattamenti, non sono tenute a chiedere il consenso degli studenti».
Per la scuola è quindi possibile pubblicare i dati personali qualora coerenti con le finalità istituzionali.
Ne deriva che, alla luce del contesto, non sussiste la necessità di richiedere una liberatoria da parte dei genitori. Dovrà, tuttavia, essere esplicito il fine esclusivo di documentare le attività formative previste nel PTOF in relazione ai criteri della legittimità e proporzionalità. Allo stesso modo, dovrà essere esplicitato dove saranno pubblicati i contenuti multimediali: il sito, i social istituzionali, ecc. Da ultimo dovrà essere dichiarato il grado di privacy applicato.

I contenuti privati

In relazione alle famiglie, fotografare o filmare il proprio figlio non è vietato. Tuttavia, l’Istituto dovrà comunicare che il prodotto multimediale è inteso solo a uso personale o familiare. L’eventuale divulgazione su canali diversi da quelli istituzionali, richiede il consenso scritto da parte dei genitori degli altri alunni eventualmente ripresi. La divulgazione del materiale fotografico durante le feste o le manifestazioni scolastiche, senza l’esplicito consenso, costituisce un uso illecito del dato personale.

Il profilo assicurativo

Il ramo di Responsabilità Civile delle polizze assicurative scolastiche, di norma, ricomprende anche l’aspetto legato all’osservanza della normativa sulla privacy da parte dell’Istituto. La garanzia, infatti, dovrebbe ricomprendere tutti i danni procurati a terzi a causa di una condotta colpevole. Le migliori polizze assicurative prevedono anche un’estensione nel ramo di Tutela Legale.
Le polizze, invece, non prevedono nessuna tutela per le famiglie degli alunni che, contravvenendo alle disposizioni, facessero un uso improprio dei dati personali degli alunni. 

Se desideri maggiori informazioni in relazione alla tutela assicurativa della privacy, contattaci qui.

Cyber Risk, nella scuola
abint Nessun commento

Cyber Risk, una nuova sfida per la scuola

Il Cyber Risk è il rischio connesso al trattamento delle informazioni del sistema informatico. Le banche dati, ma anche le applicazioni digitali, possono essere violate, rubate o cancellate a causa di eventi accidentali o di azioni dolose.

Il rischio informatico nella scuola

La scuola è una delle realtà con il più alto tasso di dati in senso assoluto. Tuttavia nella scuola c’è anche il minor controllo in termini di processi, organizzazione, sicurezza e gestione informatica.  
In Italia, inoltre, la digitalizzazione della Pubblica Amministrazione, benché prioritaria nei programmi politici da più di dieci anni, stenta ad entrare a regime.
In moltissimi Istituti, prevalentemente quelli comprensivi, non esiste personale tecnico dedicato al parco informatico né alla gestione o all’amministrazione della rete. Esistono aziende che offrono servizi strutturati di cyber security ma la loro offerta è spesso sottovalutata. Il grosso del lavoro nelle scuole, è offerto da personale interno a volte con scarsa competenza. Volontari che cercano di aiutare, ma la sola volontà spesso non è sufficiente.

La costante crescita degli attacchi informatici

A fronte di questa realtà lacunosa, continuano invece a crescere a livello globale gli attacchi informatici.
Il Rapporto Clusit 2020 evidenzia come, in Italia, nel solo nel 2019, gli attacchi, classificati come gravi, sono stati 1.670, in media uno ogni 5 ore.
Il 7% in più rispetto all’anno precedente e il 91,2% in più rispetto a cinque anni prima.
I numeri tuttavia sono sottostimati. I dati infatti si riferiscono esclusivamente agli attacchi reali, ovvero effettivamente andati a segno che hanno provocato danni importanti. Restano esclusi gli attacchi tentati o bloccati.
Il numero inoltre è necessariamente parziale, data la tendenza generale non solo ad individuare il problema ma anche ad evitare di rendere pubbliche le cyber-aggressioni.
Le infrastrutture e il settore pubblico, hanno subito nel 2019 il maggior numero di attacchi di impatto critico.
Le categorie con il maggior numero di attacchi con impatti di alto livello sono la sanità, i fornitori di software, hardware e il settore pubblico.
«Ci troviamo di fronte a un vero e proprio cambiamento epocale nei livelli globali di cyber-insicurezza. – riporta il rapporto – La causa è l’evoluzione rapidissima degli attori, le modalità, la pervasività e l’efficacia degli attacchi».

La pandemia complica la situazione

La recente pandemia di Covid19, se possibile, ha complicato ulteriormente la situazione. Il Security Operation Centres di Chieti ha contato tra febbraio e aprile ben 230.000 campagne di malspam a tema coronavirus nel mondo. Il 6% di queste è indirizzato verso l’Italia.
I criminali informatici fanno leva sull’emotività del momento, l’apprensione e l’ansia generale. Complici sono la necessità di avere informazioni, aggiornamenti sulla diffusione del virus, consigli su come evitare il contagio.
La diffusione del lavoro agile (home working), spesso attuato a casa, in ambianti non particolarmente protetti, incrementa il rischio di attacchi informatici.

La sensibilità verso il problema

In Italia la sensibilità verso il tema del Cyber Risk è ancora poco o nulla sviluppata. Anche la scuola fa ancora fatica a comprendere la gravità della questione e la sua potenziale pericolosità. Eppure, nella scuola, l’asset principale sono i ragazzi, ed i loro dati dovrebbero essere protetti, in modo efficace.

Il panorama è cambiato, almeno dal punto di vista normativo, con l’entrata in vigore del GDPR. La nuova normativa europea sulla protezione dei dati, infatti applica sanzioni anche cospicue a chi perderà o diffonderà dati senza autorizzazione, anche a causa di un attacco cyber.

Il profilo assicurativo

Se è vero che prevenire totalmente un cyber attacco non è possibile, le coperture assicurative possono servire efficacemente a tutelare l’Istituto. Nella stragrande maggioranza dei casi è il soggetto esposto al rischio a dover stabilire quali siano questi eventi e a negoziare coperture assicurative personalizzate. Tuttavia il compito non è spesso né facile né immediato. L’esperienza di un broker assicurativo specializzato permette di indicare la copertura migliore da attuare con una polizza Cyber Risk. La copertura permette la tutela in relazione alla tipologia di Istituto, all’attività quotidiana, all’ampiezza della popolazione scolastica, al livello di informatizzazione e alla quantità di dati raccolti e gestiti.