Piattaforme per la didattica, Cloud computing, sicurezza e privacy
Scritto da Agata Arena il 28 Ottobre 2020
Il Collegio Docenti della nostra scuola è stato interpellato dalla Dirigente Scolastica per riprogettare l’attività didattica e la scelta degli strumenti che la scuola intende utilizzare nella DDI.
Per quanto riguarda gli strumenti, la scelta è ricaduta sulla piattaforma GSuite di Google, utilizzata durante la precedente esperienza di DaD e alla quale la nostra scuola aveva affidato non solo la gestione di tutte le attività didattiche online: videoconferenze, condivisione materiali e compiti,esami finali, ma anche tutta la parte relativa le comunicazioni scuola-famiglia e scuola-docenti: colloqui, comunicazioni e condivisioni informazioni anche strettamente personali di docenti,personale scolastico,allievi e famiglie.
Visto che tutto ciò che avviene in piattaforma GSuite confluisce in Cloud, mi piacerebbe sapere cos’è , come viene gestito e se esistono rischi riguardo la sicurezza dei dati.
Grazie
Mara De Marchi
Il termine Cloud, indica tutti i servizi di elaborazione trattati direttamente nella rete, anziché sul computer di nostra proprietà (casa o scuola), i dati inseriti in questo caso vengono inviati ad un fornitore esterno che li elabora inviandoli direttamente sui suoi server, questo permette al proprietario dei dati di risparmiare sui costi ed avere una maggiore potenza nell’elaborazione ed archiviazione.
Possiamo immaginare il Cloud come un archivio virtuale con capacità di elaborazione infinite: lì finiscono le mail , i servizi di storage (backup online), di contabilità delle segreterie, l’anagrafica, tutti i dati elaborati sul registro elettronico, e così via.
L’adozione di questo tipo di tecnologia però, non è esente da rischi per i dati personali che vengono inviati a terze parti:
– tutti i dati immessi e che transitano sulla piattaforma GSuite, non risiedono più sui server del Titolare ( la scuola), ma sono allocati su quelli del fornitore del cloud, in questo caso di Google i quali server si trovano fisicamente al di fuori dello spazio UE.
– l’utilizzo avviene via Internet, per cui la velocità di connessione impatta sulla qualità del servizio, inoltre entrano in gioco le questione della sicurezza delle comunicazioni.
Il cloud in genere possono essere di due tipi: un’infrastruttura riservata ad una singola azienda (private cloud), o come il caso di GSuite, infrastruttura fornita da un’azienda terza (Google) a una serie di soggetti diversi (public cloud).
Parliamo adesso anche del cloud computing che è ciò che rende possibile l’utilizzo di servizi diversi, semplicemente collegandosi a server remoti gestiti dal cloud provider, allegerendo così il proprio sistema informatico, basta solo possedere la connessione alla rete per potersi collegare ai server del cloud provider.
In quest’ottica è fondamentale il contratto di fruizione del servizio, non essendo più l’utente il proprietario della risorsa (cioè il software).
Google utilizza per l’uso di GSuite un contratto di licenza per il cloud computing dove vengono indicate le modalità di utilizzazione del servizio da parte dell’utente (contratto d’uso), ed eventuali modalità di redistribuzione con vincoli.
Come tutti i contratti di licenza cloud computing, anche quello con Google per GSuite prevede vari documenti esplicativi:
– le condizioni generali del servizio (Terms of service) termini di utilizzo e termini e condizioni , comunemente abbreviati come TOS o ToS , ToU o T&C ) sono gli accordi legali tra il fornitore del servizio, Google in questo caso e una l’ente che desidera utilizzare quel servizio, la scuola.
– Service Level Agreement (SLA), ovvero la performance di rete, la disponibilità delle componenti di sistema (mainframe, rete, banda, ecc.); disponibilità del servizio end to end; funzionalità e tempi di risposta delle transazioni su Web.
– La policy relativa al comportamento delle parti (acceptable use policy), ovvero le politiche di utilizzo che sono parte integrante del quadro delle politiche di sicurezza delle informazioni.
– Il contratto di elaborazione dati (DPA), che contiene le clausole riguardanti la protezione dei dati personali, quindi una condizione generale privacy aggiuntiva per specificare le prestazioni fornite nel rispetto della privacy.
Vediamo nello specifico, come funziona nel suo utilizzo il servizio GSuite offerto da Google.
I clienti di G Suite Educational di solito sono i titolari del trattamento di tutti i dati personali che confluiscono nella piattaforma durante l’utilizzo dei servizi offerti – nel nostro caso il Titolare è la scuola, nella persona fisica del Dirigente Scolastico .
Gli amministratori IT, persone fisiche incaricate dal Dirigente Scolastico all’interno della scuola che hanno il compito di gestire la piattaforma, possono: configurare i nuovi dispositivi e gestire i criteri per un’intera scuola o un intero comprensivo. La gestione automatizzata e basata sul cloud invece, ottimizza i processi e assicura che tutti gli utenti siano sempre aggiornati.
Il Titolare del trattamento dei dati (Dirigente Scolastico), determina gli scopi e i mezzi per l’elaborazione dei dati personali, mentre il Responsabile del trattamento dei dati (Admin della piattaforma: docente o tecnico incaricato nella gestione), li elabora per conto del Titolare.
Infine i docenti , poiché accedono ai dati degli studenti, si inseriscono nella filiera dei trattamenti come “autorizzati”.
E’ ovvio che il fornitore (Google) deve osservare la massima trasparenza sui soggetti della catena del trattamento che accedono ai dati, indicando a quali soggetti (almeno per categorie) i dati sono comunicati.
I dati dunque, sono di proprietà delle scuole ed è responsabilità di Google proteggerli, ad essa è riservata la gestione dei servizi della piattaforma e dei server sicuri – spetta invece agli Amministratori IT (Admin) il monitoraggio e la gestione della sicurezza dei dati.
Google è un’azienda responsabile solamente dell’elaborazione dei dati della scuola, pertanto “gestisce” i dati personali perché “transitano”all’interno della piattaforma durante l’utilizzo dei servizi offerti.
Al Titolare, nella persona del Dirigente Scolastico, coadiuvato dal DPO e dal Responsabile, spetta invece il compito di implementare la sicurezza, mediante misure tecniche e organizzative adeguate atte a garantire e dimostrare che l’elaborazione dei dati venga eseguita in conformità al regolamento GDPR.
Vedi anche
Ergo, spetta alla scuola emanare policy privacy e regolamenti adeguati, affinché tutti (docenti, personale, studenti, famiglie), siano informati su come vengono trattati i loro dati, a come rispettare le regole di utilizzo, educando gli studenti fruitori dei servizi su come proteggere i dati che li riguardano durante l’erogazione e l’utilizzo dei servizi offerti dalla piattaforma per conto della scuola.
Obblighi del Titolare del trattamento dei dati sono: legittimità, correttezza, trasparenza, limitazione delle finalità, riduzione al minimo dei dati, accuratezza e rispetto dei diritti dei proprietari dei dati.
Google per conto suo, nel rispetto della normativa in materia protezione dati, e vista la fascia di età coinvolta, assicura che “nei servizi principali di G Suite for Education non vengono mostrati annunci e CHE le informazioni personali degli studenti non vengono utilizzate per creare profili pubblicitari per il targeting”.
Infine, supporta la conformità alle best practice e alle normative del settore attraverso l’erogazione di servizi supportati dalla conformità ai requisiti di privacy e sicurezza, controllati e certificati da organizzazioni indipendenti.
Tutte le informazioni sono verificabili sui siti
Clausole contrattuali Google: https://workspace.google.com/terms/mcc_terms.html
Centro e sicurezza privacy Google: https://edu.google.com/intl/it_it/why-google/privacy-security/?modal_active=none
Protezione Dati Personali: https://protezionedatipersonali.it/cloud-computing-e-protezione-dati-personali
Sito ufficiale: https://www.garanteprivacy.it/