Digita e premi Invio per effettuare una ricerca

FAQ - PARERI DPO

FAQ PARERI DPO

Come si deve porre l'Istituto nei confronti della privacy quando utilizza G. Suite for education?

Google, a seconda dei servizi attivati, si pone come titolare autonomo di trattamento o responsabile esterno. Nel primo caso attiverà una relazione diretta con il singolo utente, nel secondo sottoscriverete come scuola all'attivazione quanto disposto dall'art. 28 del GDPR. in quest'ultimo caso registreremo nel registro dei trattamenti Google come responsabile esterno.

G Suite, nel momento in cui è accessibile ai soli utenti  registrati si configura come un cloud chiuso? La responsabilità del rischio di diffusione è quindi trasferito al singolo utente? 

L'uso dei documenti da parte dei dipendenti della scuola è soggetto a molte norme (CC, CP, deontologia, segreto d'ufficio, privacy) ed è quindi regolato a monte. Google è solo uno strumento. Il cloud con account è chiuso per impostazione predefinita, è l'utente che "condivide" o "collabora" e in quell'azione è soggetto responsabile (come portare i temi in classe e leggerli con il vicino di casa, o valutare un verbale di interclasse con un parente).

Per quel che riguarda Google Drive, strumento utilissimo per condividere informazioni tra docenti, c'è una raccomandazione sulla tipologia di documenti da evitare? Ad esempio, se un coordinatore di classe genera un drive condiviso, è possibile inserire documenti in cui siano presenti dati sensibili degli studenti (PDP/PEI, ma anche, ad. es.  verbali di consigli di classe in cui si discute sul comportamento di un singolo studente)?

La lettera di designazione a soggetto autorizzato definisce i confini di condivisione per ogni gruppo di trattamento. Quindi nell'unità organizzativa didattica tutti i dati accessibili ad un docente sono accessibili da tutti gli altri docenti dell'istituto appartenenti alla stessa unità organizzativa (in quanto gruppo omogeneo di trattamento). A questo profilo è possibile che, per motivi che esulano dalla mia competenza, regolamenti interni possano restringere la fruibilità di informazioni (commissioni, sottogruppi, ecc..)

Per quel che riguarda Google Classroom, un volta generati gli account, quali procedure si devono seguire per inserire gli studenti? E' sufficiente che il genitore convalidi la registrazione dell'account, oppure è opportuno fornire alle famiglie un'informativa? Su questo aspetto, mi sembra inoltre di capire che l'istituto non debba gestire il consenso, in quanto il trattamento dei dati diventa di competenza di Google (ma chiedo conferma). 

La scuola, da amministratore, genera l'account che poi deve essere attivato dal genitore (per l'art. 8 GDPR i minori di 14 anni non possono accedere direttamente ai servizi della società dell'informazione). L'attivazione da parte del genitore comporta la presa visione delle informazioni di trattamento previste da Google e, nei casi previsti, la sottoscrizione di uno o più consensi. Nulla di ulteriore è dovuto da parte della scuola.

Abbiamo necessità di acquisire il consenso alla pubblicazione sul sito web della scuola dei nominativi e dei CV dei docenti tutor per le attività di formazione/tirocinio in convenzione con varie università (adempimento istituzionale D. M. 93/2012 del MIUR), è possibile avere un modello da personalizzare per il  nostro Istituto e da utilizzare per tale finalità?

la pubblicazione del nominativo e del CV è prevista dall'art. 2, comma 3, del DM 93/2012, non è richiesto pertanto alcun consenso al trattamento da parte del personale che ha già ricevuto una informativa in cui questa eventualità è richiamata.
Il problema principale sta nel rispetto, da parte dell'Istituto, dei principi di limitatezza e proporzionalità rispetto alla finalità. Generalmente, infatti, le informazioni contenute nei CV predisposti per l'uso personale sono eccedenti le finalità perseguite nella norma su richiamata.

•    Prima della pubblicazione i CV dovranno, pertanto, essere revisionati limitando al minimo:
•    I dati identificativi (Cognome e nome sono sufficienti)
•    I dati di contatto geografici (Nazione e città sono sufficienti)
•    I dati di contatto telefonici (nessuno)
•    I dati di contatto telematici (nessuno)
•    Clausola finale di autorizzazione al trattamento dei dati personali (non necessaria dal D.Lgs. 101/2018, quindi da eliminare)
•    Quant'altro non strettamente necessario alla verifica dei requisiti del DM 93/2012

Alternativamente si può fornire indicazione ai docenti di predisporre i CV seguendo le indicazioni appena fornite.

Si richiedono informazioni in merito alla documentazione da sottoscrivere con le aziende a cui trasmettiamo dati dei ragazzi, ad esempio agenzie di viaggio che richiedono dati relativi ad allergie e patologie, aziende ospitanti gli studenti in alternanza scuola lavoro...

I trattamenti citati sono tutti funzionali al raggiungimento delle finalità istituzionali o necessarie per l'esercizio del pubblico interesse (base giuridica: GDPR art. 6 par. 1 lett e). Il trattamento dei dati comuni (compresa la comunicazione) è pertanto ammissibile senza norma specifica purché i dati comunicati siano strettamente indispensabili al raggiungimento della finalità perseguita (principio di limitatezza GDPR art. 5 par.1 lett c). L'eventuale trattamento di dati particolari (GDPR art. 9) o giudiziari (GDPR art. 10) è normato dal Regolamento MIUR 7 dicembre 2006, n.305 e contempla tutti i casi previsti (Scheda n. 5). Potete pertato trasmettere i dati senza alcuna sottoscrizione in tutti i casi di trasferimento estemporaneo e di breve durata.
Solo nei casi di trasferimento continuo di dati (ad esempio con AXIOS, Argo, Spaggiari, Google GSuite o Microsoft for educational e simili, RSPP, Medico competente, ecc..) sarà necessario procedere con la nomina a responsabile esterno del trattamento (GDPR art. 28).

Abbiamo preparato un Convegno sull'utilizzo del Gioco nella didattica) Durante gli interventi saranno mostrate immagini effettuate durante le lezioni, svoltesi lo scorso anno anche in presenza dei genitori. Immagino che occorra un'autorizzazione specifica per la circostanza, per quanto riguarda il nodo dell'utilizzo delle immagini degli alunni: basta un'informativa annuale oppure una per ogni evento?

In generale un ente pubblico come la scuola deve ricercare la legittimità del trattamento nelle finalità istituzionali, nel pubblico interesse o in norme nazionali o nel diritto dell'Unione. Nel suo caso siamo al limite della finalità istituzionale. In questi casi è più corretto che si informi l'utenza dell'evento per dare la possibilità che il singolo si possa opporre per motivi legittimi al trattamento (esercizio di un diritto), piuttosto che chiedere l'autorizzazione a tutti (base giuridica consenso non consentita per la scuola). Come avrà già capito ogni caso va trattato a sè, ma riguarda solo situazioni particolarissime come questa. Nelle altre, come leggerà nelle informazioni al trattamento aggiornate, la scuola è quasi sempre legittimata ope legis.

Per quel che riguarda Google Classroom, un volta generati gli account, quali procedure si devono seguire per inserire gli studenti? E' sufficiente che il genitore convalidi la registrazione dell'account, oppure è opportuno fornire alle famiglie un'informativa? Su questo aspetto, mi sembra inoltre di capire che l'istituto non debba gestire il consenso, in quanto il trattamento dei dati diventa di competenza di Google (ma chiedo conferma). 

La scuola, da amministratore, genera l'account che poi deve essere attivato dal genitore (per l'art. 8 GDPR i minori di 14 anni non possono accedere direttamente ai servizi della società dell'informazione). L'attivazione da parte del genitore comporta la presa visione delle informazioni di trattamento previste da Google e, nei casi previsti, la sottoscrizione di uno o più consensi. Nulla di ulteriore è dovuto da parte della scuola.