Piattaforme per la DDI: responsabilità nella gestione delle violazioni privacy
Scritto da Agata Arena il 28 Novembre 2020
Durante le attività didattiche svolte a distanza mediante la piattaforma utilizzata dalla nostra scuola, ci è capitato di dovere gestire violazioni di account e intrusioni durante le videoconferenze da parte di allievi estranei alla nostra scuola.
In questi casi a chi spetta gestire la violazione: il Dirigente in qualità di Titolare, il Responsabile o i docenti in qualità di autorizzati?
Infine, la violazione è da considerare un Data Breach?
Grazie
Claudio Tonale
Tutte le attività didattiche svolte a distanza, attivate dalle scuole per assicurare agli studenti il diritto allo studio, il successo formativo e la continuità dell’azione educativo-didattica durante l’emergenza sanitaria, ha determinato la sospensione delle lezioni in modalità ordinaria imponendo la necessità di rivedere l’organizzazione delle attività, non semplicemente in termini formali – attraverso un adeguamento documentale – quanto piuttosto, a realizzare una rivoluzione culturale all’interno di molte prassi, esigendo da parte di quanti ne sono coinvolti a prendere coscienza dei rischi e delle responsabilità che tali attività comportano nella protezione dei dati che continuamente transitano all’interno delle piattaforme utilizzate per la DDI.
Nell’ambito scolastico, più che in altri contesti, l’utilizzo del dato personale attraverso l’uso di strumenti digitali carenti, e la mancata formazione di quanti li “maneggiano”, espongono inevitabilmente i dati personali degli utenti coinvolti nel processo, ad innumerevoli rischi, quali: potenziali divulgazioni come quello della condivisione di un link per l’accesso ad una video lezione, sottrazioni di dati causati da errore umano o truffe a livello informatico, tutte situazioni possibili che implicano il rischio di un data breach.
Ecco perché, è necessario che ogni scuola ponga alla base di una progettazione della DDI, codici comportamentali chiari, costruiti secondo modelli etici che hanno come obiettivo la tutela della privacy, possibile solo attraverso la progettazione di una seria governance della privacy nella Didattica a Distanza (DAD).
Quello che viene chiesto alle scuole è di prestare attenzione al trattamento dei dati personali guardando alle problematiche che riguardano più aspetti e a più livelli: da quelle relative la struttura tecnologica e le modalità operative interne, a quelle legate alla sicurezza e alla consapevolezza nell’utilizzo degli strumenti a disposizione da parte di docenti, studenti e famiglie.
Il MIUR, dopo l’esperienza della DAD dello scorso anno scolastico, ha deciso di emanare una serie di indicazioni circa i comportamenti corretti che gli studenti devono tenere durante la didattica a distanza, demandando poi agli Istituti il compito di integrare con ulteriori norme i loro regolamenti interni.
In un Regolamento di disciplina per gli studenti, il Ministero ha indicato in maniera chiara, le tipologie di infrazioni e sanzioni disciplinari (come note, ammonizioni, richiami e convocazioni dei genitori) per tutti quei comportamenti degli studenti “non ritenuti conformi” nello svolgimento delle attività di didattica a distanza: si parla di mancato rispetto della puntualità, assenze reiterate, mancato rispetto delle regole durante gli interventi, ecc.
Il Ministero ha anche indicato i comportamenti da tenere per un corretto svolgimento delle lezioni: come ad esempio tenere le telecamere accese con inquadrature limitate ai soli volti e il divieto assoluto delle registrazioni video e audio con proibizione assoluta della condivisione dei link delle videolezioni a persone estranee all’attività.
Una fase molto complicata, quella della gestione della didattica a distanza, tanto da obbligare il MIUR e il Garante della privacy, ad individuare per la gestione in questo delicatissimo compito, profili di responsabilità e misure organizzative che ogni scuola devono adottare per fare in modo che, non solo tutto il processo abbia norme e regolamenti, ma che vi siano anche figure responsabili alle quali affidare il compito della scelta di strumenti idonei per il monitoraggio, il corretto svolgimento e rispetto della privacy di tutte le attività svolte online.
I profili di responsabilità e le misure organizzative che ogni scuola devono adottare, si trovano all’interno delle linee guida di indirizzo comuni e principi generali per l’implementazione della didattica integrata, emanate dal Ministero (e fatta propria dal Garante della privacy) con la Nota n.11600 del 03/09/2020,
Nel documento, particolare attenzione viene dedicata ai profili di sicurezza per la protezione dei dati personali e tutela della privacy (secondo quanto previsto dal GDPR (UE) 2016/679), con particolare evidenza dei soggetti coinvolti, e quindi interessati negli interventi dei processi di produzione, erogazione e fruizione dei servizi, all’interno della didattica a distanza integrata (DDI).
Ad ogni scuola, in qualità di Titolare del trattamento, spetta il compito di scegliere e regolamentare gli strumenti più adeguati necessari al trattamento dei dati personali di: docenti, studenti e loro familiari per la realizzazione della DDI. Scelta affidata al Dirigente Scolastico, supportato dal Responsabile della protezione dei dati personali (RPD) dopo avere sentito il parere del Collegio dei Docenti.
Vediamo di seguito, quali sono i profili che hanno un ruolo determinante nell’organizzazione del modello di governance della privacy nella Didattica a Distanza (DAD):
Titolare del trattamento | La persona fisica o giuridica che, singolarmente o insieme ad altri, determina finalità e mezzi nel trattamento di dati personali, | L’istituto nella persona fisica del Dirigente Scolastico |
Data protection officer (DPO)Responsabile per la Protezione dei Dati (RPD)Presidi Privacy | Il soggetto che assicura l’applicazione del quadro normativo vigente in materia di protezione dei dati personali, nell’ambito dei trattamenti svolti dal Titolare del trattamento. | Soggetto esterno o interno |
Persone autorizzate al trattamento | Il personale che effettua operazioni di trattamento sui dati personali sotto l’autorità del Titolare del trattamento e sulla base di istruzioni fornite dallo stesso, | Personale docente |
Presidi Privacy | È possibile identificare presìdi – all’interno della struttura del Titolare del trattamento, se particolarmente articolata – per svolgimento degli adempimenti privacy relativi a ciascuna area. In realtà che siano particolarmente complesse è consigliabile individuare figure che, per esperienza, capacità e affidabilità, siano in grado di fornire adeguata garanzia del rispetto delle vigenti disposizioni in materia di trattamento dei dati. | Animatore digitale, Componenti del Team per l’innovazione, etc. |
Persone autorizzate al trattamento | Il personale che effettua operazioni di trattamento sui dati personali sotto l’autorità del Titolare del trattamento e sulla base di istruzioni fornite dallo stesso | Personale docente |
Responsabile del trattamento | Soggetti terzi che trattano dati personali per conto del Titolare, mettendo in atto misure di sicurezza adeguate di tipo tecnico ed organizzativo. | Fornitori della piattaforma DAD |
Fonte documento https://www.agendadigitale.eu/scuola-digitale/la-privacy-nella-didattica-a-distanza-linee-guida-e-ruoli-chiave-per-una-governance-corretta
Al Dirigente scolastico spetta il compito di proteggere i dati, attraverso l’adozione delle seguenti misure di sicurezza:
- assegnare agli utenti e credenziali o dispositivi di autenticazione;
- assegnare password con regole di composizione e scadenza periodica;
- conservare le password mediante l’utilizzo di sistemi sicuri;
- sensibilizzare gli utenti dovranno a seguire procedure di identificazione definite dalla scuola;
- definire differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati;
- utilizzare canali di trasmissione sicuri tenendo conto dello stato dell’arte;
- adottare misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery);
- utilizzare sistemi antivirus e anti-malware costantemente aggiornati;
- aggiornare periodicamente i software di base al fine di prevenirne la vulnerabilità
- registrare gli accessi delle operazioni compiute in appositi file di log, ai fini della verifica della correttezza e legittimità del trattamento dei dati;
- definire istruzioni da fornire ai soggetti autorizzati al trattamento;
- formare e sensibilizzare gli utenti.
Le scuole, per minimizzare il più possibile i danni provocati da intrusioni esterne che potrebbero arrecare danni alla privacy, devono anche prestare particolare attenzione nella scelta della piattaforma che verrà utilizzata per lo svolgimento delle attività online.
Le piattaforme dovranno essere affidabili, capaci di garantire (con l’assunzione di responsabilità da parte del provider con il quale viene stipulato il contratto), il costante monitoraggio del flusso di utenze, e bloccare ogni possibile tentativo di violazione dei dati personali e sensibili, contenuti nel database della scuola.
Dal canto loro i docenti, per tutelare e garantire la corretta gestione dei dati con i quali entrano in contatto, devono SEMPRE seguire quanto stabilito dal modello di governance della privacy previsto dal piano della Didattica a Distanza (DAD.
Nessun docente può di sua iniziativa e senza il consenso della scuola, attivare App o piattaforme nelle quali confluiscono dati degli allievi; spetta infatti al Dirigente, in qualità di Titolare dei dati, dopo avere sentito il parere del Collegio Docenti e stipulato un accordo con il provider (che prevede l’accettazione di clausole contrattuali che hanno superato il privacy shield e che si assume la responsabilità della protezione dei dati), mettere a disposizione di tutti gli utenti interessati, gli strumenti ritenuti più idonei per lo svolgimento delle attività didattiche online.
Tuttavia, potrebbe però accadere, nonostante la scuola abbia attivato correttamente tutti i processi, utilizzato tutti gli strumenti idonei nella protezione dei dati, che si verifichi una violazione (definita dall’art.4 del GDPR“data breach”), in maniera accidentale ( distruzione, perdita accidentale, condivisione non dolosa, ecc.), o volontaria (modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o comunque trattati).
In questo caso, spetta al Titolare, nella figura del Dirigente Scolastico, se ritiene che la violazione possa arrecare seri rischi per i diritti e le libertà degli interessati, notificare l’accaduto all’autorità Garante e alle persone coinvolte, entro le 72 ore.
La comunicazione dovrà essere inoltrata per iscritto in maniera semplice, chiara e affrontata immediatamente per minimizzare l’impatto.
Il Titolare comunque, dovrebbe predisporre preventivamente, adeguati piani di reazione e metodi per l’accertamento delle violazioni e consegnarli a tutto il personale, questo anche per non incorrere nel mancato rispetto delle procedure di notifica di una violazione che prevede l’applicazione di sanzioni amministrative fino a 10.000.000.