Scuole

Cosa deve fare la scuola quando il registro elettronico viene violato? Quali sanzioni si rischiano

Di Simone Lo Presti
WhatsApp
Telegram

Quando il registro elettronico subisce una violazione, come accaduto nei due recenti casi in cui alcuni studenti hanno cambiato i voti, si verifica quello che in gergo tecnico si chiama data breach.

Cos’è un Data Breach e quando si verifica

Il data breach è definito, infatti, come una violazione della sicurezza informatica che consente l’accesso non autorizzato a dati personali, la loro modifica o diffusione. Può essere causato da un attacco esterno o da comportamenti impropri interni. Nel contesto scolastico, esempi tipici includono accessi abusivi al registro elettronico, alterazioni dei voti o diffusione indebita di informazioni su studenti, famiglie e docenti.

Obblighi immediati delle scuole in caso di Data Breach

A seguito di una violazione, la scuola e in particolare il Dirigente scolastico, poiché ai sensi della normativa in materia di privacy è considerato titolare del trattamento dei dati, è tenuta a:

  • notificare la violazione al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne viene a conoscenza;

  • informare gli interessati, se la violazione comporta un rischio elevato per i loro diritti e libertà;

  • registrare l’evento nel “Registro dei data breach”, anche se non si tratta di un episodio grave.

Le indicazioni sono contenute nella nota ministeriale del 2 agosto 2023, in linea con le Linee Guida n. 9/2022 del Comitato Europeo per la Protezione dei Dati.

I compiti del DPO e del Responsabile del trattamento

Il Responsabile del trattamento deve notificare immediatamente al Titolare (ossia il DS) ogni violazione di cui venga a conoscenza, senza effettuare valutazioni sul rischio. Tali valutazioni spettano esclusivamente al Titolare, che dovrà analizzare:

  • tipo di violazione;

  • quantità e natura dei dati coinvolti;

  • possibilità di identificare gli interessati;

  • eventuali conseguenze per gli stessi.

Sulla base di questi elementi si decide se procedere alla notifica formale e alla comunicazione agli interessati.

Le sanzioni previste dal GDPR

Il Regolamento GDPR n. 2016/679 prevede due soglie di sanzioni amministrative:

  • fino a 10 milioni di euro, per violazioni legate a mancanza di misure di sicurezza, mancata notifica o coinvolgimento del DPO;

  • fino a 20 milioni di euro, nei casi più gravi, come il trattamento illecito di dati sottratti o il loro trasferimento verso Paesi terzi non autorizzati.

Le sanzioni possono essere accompagnate da conseguenze disciplinari e contabili per i soggetti coinvolti, inclusi dirigenti scolastici, referenti informatici e personale che abbia gestito con negligenza credenziali o accessi.

Responsabilità contrattuali dei fornitori

Anche le aziende fornitrici del registro elettronico potrebbero essere chiamate a rispondere contrattualmente, qualora non abbiano garantito un adeguato livello di protezione del sistema. In questi casi la scuola potrà contestare l’inadempimento delle clausole di sicurezza, avviando le relative azioni previste dal contratto.

WhatsApp
Telegram

Corsi

Tutti i corsi

Orizzonte Scuola PLUS

Scopri tutti i contenuti PLUS
Iscriviti alla newsletter di OrizzonteScuola

Ricevi ogni sera nella tua casella di posta una e-mail con tutti gli aggiornamenti del network di orizzontescuola.it

Altri contenuti che potrebbero interessarti

MESSAGGIO SPONSORIZZATO

Corsi Abilitanti 30 CFU online attivi! Esami entro il 30 Giugno