Didattica digitale e privacy, creazione account per insegnanti e alunni da parte della scuola. il preside deve assicurare lecito trattamento dei dati
L’istituzione scolastica può creare un account per la registrazione dello studente o del docente alle piattaforme per la didattica digitale integrata? Il Ministero dell’Istruzione risponde con una FAQ ufficiale sul sito “Ritorniamo a scuola”
“Quando la creazione di un account personale è necessaria per l’utilizzo di piattaforme per la didattica digitale integrata, il trattamento dei dati personali, riconducibile alle funzioni istituzionalmente assegnate all’istituzione scolastica, è ammesso purché vengano attivati, per impostazione predefinita, i soli servizi strettamente necessari allo svolgimento dell’attività didattica e non deve essere richiesto il consenso dell’utente (studente, genitore o docente) o la sottoscrizione di un contratto. Non è comunque ammessa l’attivazione automatica di servizi o funzionalità ulteriori, non necessari a fini didattici (es. geolocalizzazione o sistemi di social login)”, si legge.
“Nella configurazione degli account associati a studenti e/o docenti, occorre, tra l’altro, adottare adeguate procedure di identificazione e di autenticazione informatica degli utenti, utilizzare robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione (es. evitando la pre-impostazione di password facilmente conoscibili), definire password policy adeguate e differenziate in funzione degli specifici rischi del trattamento e attribuire di profili di autorizzazione che assicurino l’accesso selettivo ai dati. Al fine di evitare l’uso scorretto e accrescere la consapevolezza nell’utilizzo dei servizi online per la didattica, è opportuno che le scuole effettuino campagne di sensibilizzazione rivolte a studenti e loro familiari, nonché forniscano istruzioni a docenti, e altro personale, sulle corrette modalità di fruizione dei predetti servizi nel rispetto dei diritti altrui”, conclude.
Nel documento ministeriale “Didattica Digitale Integrata e tutela della privacy: indicazioni generali. I principali aspetti della disciplina in materia di protezione dei dati personali nella Didattica Digitale Integrata”, ci sono ulteriori specifiche.
La scuola, sulla base di quanto previsto dal Regolamento, anche avvalendosi della consulenza offerta dal proprio Responsabile della Protezione dei Dati, deve adottare, anche per mezzo dei fornitori designati responsabili del trattamento, misure tecniche e organizzative adeguate sulla base del rischio.
Pertanto, il dirigente scolastico dovrà assicurarsi che i dati vengano protetti da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o da danni accidentali.
A tal fine si esemplificano alcune misure:
– adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti;
– utilizzo di robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione;
– definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati;
– definizione di password policy adeguate (es. regole di composizione, scadenza periodica, ecc.);
– conservazione delle password degli utenti, mediante l’utilizzo di funzioni di hashing allo stato dell’arte (es. PBKDF2, bcrypt, ecc.) e di salt di lunghezza adeguata;
– utilizzo di canali di trasmissione sicuri tenendo conto dello stato dell’arte;
– adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery);
– utilizzo di sistemi di protezione perimetrale, adeguatamente configurati in funzione del contesto operativo;
– utilizzo di sistemi antivirus e anti malware costantemente aggiornati;
– aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità;
– registrazione degli accessi e delle operazioni compiute in appositi file di log, ai fini della verifica della correttezza e legittimità del trattamento dei dati;
– definizione di istruzioni da fornire ai soggetti autorizzati al trattamento;
– formazione e sensibilizzazione degli utenti.
In caso di utilizzo di tecnologie in cloud risulta necessaria la verifica del rispetto della normativa in materia di protezione dati personali da parte del fornitore del servizio designato come responsabile del trattamento. Inoltre, nel caso sia previsto che le informazioni vengono trasferite fuori dall’Unione Europea (UE), occorre verificare che sussistano tutti i presupposti giuridici richiesti dalla disciplina per assicurare un adeguato livello di protezione.
