abint Nessun commento

Scrutini ed Esami di stato nel rispetto della privacy

Terminati gli scrutini, nelle scuole è tempo di esami.
Un doveroso in bocca al lupo per l’oltre mezzo milione di studenti alle prese con gli esami di maturità in svolgimento proprio in questi giorni.
Un aspetto legato agli esami e agli scrutini è quello che riguarda pubblicazione dei voti che deve avvenire nel rispetto della privacy.

Le indicazioni del Garante

Proprio alla fine di maggio, il Garante ha diffuso l’aggiornamento 2023 al vademecum relativo all’utilizzo dei dati personali all’interno degli Istituti scolastici.
Obiettivo della pubblicazione è: «chiarire dubbi o fraintendimenti legati al trattamento dei dati nelle istituzioni scolastiche».
Il Garante prende in esame anche l’aspetto legato alla pubblicazione degli esiti degli scrutini e degli esami di stato. Su quest’aspetto il Garante s’era già espresso, con una nota, nel giugno 2020.
A parere del Garante: «La pubblicazione online dei voti costituisce una forma di diffusione di dati particolarmente invasiva non coerente con la normativa sulla privacy».
Per il Garante, gli esiti degli scrutini devono essere disponibili esclusivamente nell’area riservata del registro elettronico, accessibile solo agli studenti della classe di riferimento.
Gli esiti dovranno indicare esclusivamente: “ammesso” o “non ammesso” alla classe successiva o agli esami di stato. Per le classi finali, devono essere inclusi anche i crediti scolastici attribuiti ai candidati.
I voti riportati nelle singole discipline devono essere visibili nell’area riservata del registro elettronico, accessibile esclusivamente al singolo studente o alla sua famiglia.
Una particolare attenzione è riservata dal garante alle “prove differenziate” sostenute dagli studenti con disabilità o disturbi specifici di apprendimento (DSA). Lo stato psico-fisico dello studente non dev’essere riportato nella pubblicazione, questo dovrà essere indicato solo nell’attestazione da rilasciare allo studente.

La responsabilità

La divulgazione non autorizzata dei dati personali può comportare la limitazione di alcuni diritti, la discriminazione, un danno alla reputazione e causare svantaggio economico o sociale.
Resta comunque inteso che il danneggiato dovrà sempre provare il danno concreto patito.
Ai sensi delle indicazioni applicative del Regolamento (UE) 2016/679 la divulgazione non autorizzata dei dati personali costituisce un illecito sanzionato dal Codice per la privacy. Le sanzioni in questi casi posso essere particolarmente rilevanti.
Ai sensi dell’Art. 4 GDPR, il titolare del trattamento è il soggetto, che: «determina le finalità e i mezzi del trattamento dei dati personali».
Nella scuola, il titolare del trattamento è l’istituzione scolastica stessa, nella figura del Dirigente Scolastico.
Il Dirigente potrà, a sua volta, nominare un responsabile del trattamento (Data Protection Officer). Il DPO, persona fisica o giuridica, distinta dal titolare, elabora dati per conto di quest’ultimo, sotto il suo controllo.
Sia il titolare che il responsabile dovranno assumersi responsabilità proprie, rispondendo, se del caso, alle autorità di controllo e alla magistratura.

Il profilo assicurativo

Le polizze assicurative scolastiche, di norma, non prevedono nel ramo di Responsabilità Civile le garanzie relative al rimborso del danno.
Le migliori soluzioni presenti sul mercato prevedono, nella sezione di tutela legale, la difesa penale per reati colposi e per la presentazione di ricorsi in sede amministrativa per sanzioni pecuniarie.
Risulta, quindi, opportuno che Dirigente Scolastico provveda a stipulare, a propria tutela, una copertura assicurativa di Responsabilità Civile patrimoniale e amministrativa contabile.
Stipula del contratto e relativo premio, nel rispetto della normativa prevista dalla Finanziaria 2008, saranno ad esclusivo carico del soggetto assicurato.

Se desideri maggiori informazioni in relazione alla polizza di Responsabilità Civile Patrimoniale e Amministrativa Contabile, contattaci qui.

abint Nessun commento

Fotografie a scuola

Nei prossimi giorni le scuole dell’infanzia del nostro Istituto inizieranno a organizzare le rituali recite natalizie. Le docenti ci chiedono se i genitori potranno fare le foto ai loro bambini. Esistono restrizioni in questo senso? In caso ne scaturisse un danno, la polizza assicurativa prevede la tutela?

La domanda andrà innanzi tutto posta al Responsabile della Protezione dei Dati (DPO o RPD) dell’Istituto. Il Responsabile della Protezione dei Dati è, infatti, tenuto a valutare e organizzare la gestione del trattamento dei dati personali all’interno della scuola. Le fotografie delle persone sono considerate dati personali e, in quanto tali, dovranno essere trattati nel rispetto delle normative privacy europee e nazionali.

L’aspetto normativo

In relazione alla privacy all’interno degli Istituti scolastici, il garante, fin dal 2016, ha pubblicato uno specifico vademecum.  Le scuole sono soggette a dei limiti. Il primo risiede nella natura pubblica dell’istituzione formativa, che impone una particolare attenzione sul trattamento dei dati personali. Il secondo deriva dalla minore età dell’utenza. La pubblicazione di foto o di video dovrà, quindi, essere rigorosamente disciplinata.
«Le istituzioni scolastiche pubbliche – precisa il Garante – possono trattare solamente i dati personali necessari al perseguimento di specifiche finalità istituzionali oppure quelli espressamente previsti dalla normativa di settore. Per tali trattamenti, non sono tenute a chiedere il consenso degli studenti».
Per la scuola è quindi possibile pubblicare i dati personali qualora coerenti con le finalità istituzionali.
Ne deriva che, alla luce del contesto, non sussiste la necessità di richiedere una liberatoria da parte dei genitori. Dovrà, tuttavia, essere esplicito il fine esclusivo di documentare le attività formative previste nel PTOF in relazione ai criteri della legittimità e proporzionalità. Allo stesso modo, dovrà essere esplicitato dove saranno pubblicati i contenuti multimediali: il sito, i social istituzionali, ecc. Da ultimo dovrà essere dichiarato il grado di privacy applicato.

I contenuti privati

In relazione alle famiglie, fotografare o filmare il proprio figlio non è vietato. Tuttavia, l’Istituto dovrà comunicare che il prodotto multimediale è inteso solo a uso personale o familiare. L’eventuale divulgazione su canali diversi da quelli istituzionali, richiede il consenso scritto da parte dei genitori degli altri alunni eventualmente ripresi. La divulgazione del materiale fotografico durante le feste o le manifestazioni scolastiche, senza l’esplicito consenso, costituisce un uso illecito del dato personale.

Il profilo assicurativo

Il ramo di Responsabilità Civile delle polizze assicurative scolastiche, di norma, ricomprende anche l’aspetto legato all’osservanza della normativa sulla privacy da parte dell’Istituto. La garanzia, infatti, dovrebbe ricomprendere tutti i danni procurati a terzi a causa di una condotta colpevole. Le migliori polizze assicurative prevedono anche un’estensione nel ramo di Tutela Legale.
Le polizze, invece, non prevedono nessuna tutela per le famiglie degli alunni che, contravvenendo alle disposizioni, facessero un uso improprio dei dati personali degli alunni. 

Se desideri maggiori informazioni in relazione alla tutela assicurativa della privacy, contattaci qui.

abint Nessun commento

Cyber Risk, una nuova sfida per la scuola

Il Cyber Risk è il rischio connesso al trattamento delle informazioni del sistema informatico. Le banche dati, ma anche le applicazioni digitali, possono essere violate, rubate o cancellate a causa di eventi accidentali o di azioni dolose.

Il rischio informatico nella scuola

La scuola è una delle realtà con il più alto tasso di dati in senso assoluto. Tuttavia nella scuola c’è anche il minor controllo in termini di processi, organizzazione, sicurezza e gestione informatica.  
In Italia, inoltre, la digitalizzazione della Pubblica Amministrazione, benché prioritaria nei programmi politici da più di dieci anni, stenta ad entrare a regime.
In moltissimi Istituti, prevalentemente quelli comprensivi, non esiste personale tecnico dedicato al parco informatico né alla gestione o all’amministrazione della rete. Esistono aziende che offrono servizi strutturati di cyber security ma la loro offerta è spesso sottovalutata. Il grosso del lavoro nelle scuole, è offerto da personale interno a volte con scarsa competenza. Volontari che cercano di aiutare, ma la sola volontà spesso non è sufficiente.

La costante crescita degli attacchi informatici

A fronte di questa realtà lacunosa, continuano invece a crescere a livello globale gli attacchi informatici.
Il Rapporto Clusit 2020 evidenzia come, in Italia, nel solo nel 2019, gli attacchi, classificati come gravi, sono stati 1.670, in media uno ogni 5 ore.
Il 7% in più rispetto all’anno precedente e il 91,2% in più rispetto a cinque anni prima.
I numeri tuttavia sono sottostimati. I dati infatti si riferiscono esclusivamente agli attacchi reali, ovvero effettivamente andati a segno che hanno provocato danni importanti. Restano esclusi gli attacchi tentati o bloccati.
Il numero inoltre è necessariamente parziale, data la tendenza generale non solo ad individuare il problema ma anche ad evitare di rendere pubbliche le cyber-aggressioni.
Le infrastrutture e il settore pubblico, hanno subito nel 2019 il maggior numero di attacchi di impatto critico.
Le categorie con il maggior numero di attacchi con impatti di alto livello sono la sanità, i fornitori di software, hardware e il settore pubblico.
«Ci troviamo di fronte a un vero e proprio cambiamento epocale nei livelli globali di cyber-insicurezza. – riporta il rapporto – La causa è l’evoluzione rapidissima degli attori, le modalità, la pervasività e l’efficacia degli attacchi».

La pandemia complica la situazione

La recente pandemia di Covid19, se possibile, ha complicato ulteriormente la situazione. Il Security Operation Centres di Chieti ha contato tra febbraio e aprile ben 230.000 campagne di malspam a tema coronavirus nel mondo. Il 6% di queste è indirizzato verso l’Italia.
I criminali informatici fanno leva sull’emotività del momento, l’apprensione e l’ansia generale. Complici sono la necessità di avere informazioni, aggiornamenti sulla diffusione del virus, consigli su come evitare il contagio.
La diffusione del lavoro agile (home working), spesso attuato a casa, in ambianti non particolarmente protetti, incrementa il rischio di attacchi informatici.

La sensibilità verso il problema

In Italia la sensibilità verso il tema del Cyber Risk è ancora poco o nulla sviluppata. Anche la scuola fa ancora fatica a comprendere la gravità della questione e la sua potenziale pericolosità. Eppure, nella scuola, l’asset principale sono i ragazzi, ed i loro dati dovrebbero essere protetti, in modo efficace.

Il panorama è cambiato, almeno dal punto di vista normativo, con l’entrata in vigore del GDPR. La nuova normativa europea sulla protezione dei dati, infatti applica sanzioni anche cospicue a chi perderà o diffonderà dati senza autorizzazione, anche a causa di un attacco cyber.

Il profilo assicurativo

Se è vero che prevenire totalmente un cyber attacco non è possibile, le coperture assicurative possono servire efficacemente a tutelare l’Istituto. Nella stragrande maggioranza dei casi è il soggetto esposto al rischio a dover stabilire quali siano questi eventi e a negoziare coperture assicurative personalizzate. Tuttavia il compito non è spesso né facile né immediato. L’esperienza di un broker assicurativo specializzato permette di indicare la copertura migliore da attuare con una polizza Cyber Risk. La copertura permette la tutela in relazione alla tipologia di Istituto, all’attività quotidiana, all’ampiezza della popolazione scolastica, al livello di informatizzazione e alla quantità di dati raccolti e gestiti.