Guida rapida al GDPR - GDPR SCUOLA

Guida rapida al GDPR

La protezione dei dati è fondamentale

I dati personali sono in essere tutte le informazioni che possono identificare una persona o la sua famiglia, e da qui anche le sue abitudini.

Nei documenti scolastici, questi dati sono nome, indirizzo, informazioni di contatto, registro scolastico disciplinare, voti e schede di valutazione, certificati medici, disabilità.
Questo dati sono da considerarsi “personali” anche se il soggetto decide di renderli pubblici.

Una categoria speciale di dati attiene a questioni più sensibili. Nel caso delle scuole, queste comprendono dati biometrici (es. impronte digitali, foto), credo religioso (es. la scelta di non seguire le ore di religione), salute (es. allergie) o prescrizioni alimentari (che possono dare indicazioni su fede religiosa o stato di salute). I dati appartenenti a questa categoria potrebbero quindi rappresentare un rischio per le persone e possono quindi essere elaborati solo a determinate condizioni. Molto probabilmente, le scuole non li possono utilizzare senza il consenso dei genitori degli alunni.

gdpr scuola
gdpr scuola

Conoscere la differenza fra titolari del trattamento dei dati e responsabili del trattamento dei dati
Il GDPR sottolinea l’importanza dei due ruoli, che possono essere ricoperti da individui o enti:

il data controller (titolare del trattamento dei dati) determina i mezzi e gli scopi dell’elaborazione dei dati, mentre il data processor (responsabile del trattamento dei dati) gestisce i dati per conto del titolare. Queste due figure hanno responsabilità legali diverse.

Normalmente, la scuola riveste il ruolo di “titolare”, e deve quindi avere un accordo definito con il “responsabile”. Quest’ultimo può assumere diverse forme e figure: fotografo, società di smaltimento dei documenti, piattaforma di apprendimento online, software. Qualunque operazione condotta da queste figure sui dati è considerata un’elaborazione dei medesimi, anche se automatizzata, e comprende, ma non si limita a, la raccolta, lo stoccaggio, il recupero, la distruzione.

Buone pratiche: controllare i propri dati
Con la nuova legge, le scuole (come tutte le pubbliche autorità) devono designare un Responsabile per la protezione dei dati, cioè una persona dedicata al GDPR, che ha il compito di monitorare le politiche della scuola, fare formazione e controlli, e altro. Le scuole, però, non dovrebbero affidarsi al solo Responsabile per la protezione dei dati per scoprire le falle nel loro sistema. Ecco quindi alcune domande che tutti dovrebbero porsi riguardo ai propri dati:

Per quale motivo si stanno elaborando i dati? Ci sono sei basi giuridiche per elaborare i dati nell’ambito del GDPR. La più rilevante per le scuole è l’interesse pubblico, il che significa utilizzare i dati per eseguire un’azione di pubblico interesse. Tuttavia, i dati raccolti a questo scopo non possono essere riciclati ad altri fini. Per esempio, la scuola non può condividere l’indirizzo mail di un genitore con terze parti che promuovano eventi scolastici affermando che si tratta di “interesse pubblico”. Per condividere questo dato, infatti, la scuola deve rifarsi a un’altra base giuridica, il consenso. Le scuole devono chiedere il consenso anche per aprire un account-studente su un servizio di cloud-hosting.

Quali dati sono conservati dove, e chi vi può accedere? Le scuole devono effettuare controlli sulle loro pratiche di elaborazione dei dati. Quando hanno una panoramica completa dei dati personali a loro disposizione, possono valutare qual è il modo migliore per proteggerli.

Quali misure di sicurezza sono state messe in campo? I furti di dati non sono sempre opera di hacker e software maligni, ma possono anche essere il frutto di un portatile dimenticato in treno o della curiosità di un membro della famiglia. Per questa ragione, il personale scolastico deve conservare i dati personali solo su attrezzature informatiche di proprietà della scuola, usare password forti e impostare il blocco automatico del dispositivo dopo cinque minuti di inattività. Se i dati personali vengono scaricati su un supporto mobile come una chiavetta USB, questo deve essere criptato e protetto da password, e tenuto al sicuro. Il personale scolastico deve anche seguire una formazione su ingegneria sociale, phishing, tecnologie cloud, attacchi ransomware e simili.

Cosa sanno i genitori? Le scuole devono pubblicare e inviare ai genitori una circolare sulla privacy. Questo può essere fatto sotto forma di documento programmatico della scuola, newsletter, report, lettere/email. Nella circolare, la scuola deve dichiarare i dati che raccoglie, la ragione per la quale li raccoglie e le terze parti autorizzate a farlo. Occorre tenere a mente che, entro i termini del GDPR, i genitori e gli alunni hanno il diritto di chiedere di consultare gratuitamente i dati conservati su di loro.

Buone pratiche: informarsi
Non solo gli adulti, ma anche i ragazzi devono riflettere sulla protezione dei dati. Per questa ragione, il Joint Research Centre ha sviluppato un gioco per dispositivi mobili Cyber Chronix, dove i giocatori devono affrontare una serie di ostacoli legati al GDPR su un pianeta futuristico.

Per saperne di più sul GDPR, contatta la tua Autorità garante nazionale.

 

link di riferimento dell’articolo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi