Did e privacy
Did e privacy, la faq ministeriale ha il GDPR come punto di riferimento

DDI e privacy, il Mi pubblica una faq che occorre leggere attentamente. Rimanda al nuovo concetto di responsabilizzazione attiva (accountability) contenuto nel GDPR (Nuovo regolamento europeo per la protezione dei dati personali).

DDI e privacy, la Faq ministeriale

DDI e privacy. In questi mesi il Ministero dell’istruzione sta continuamente aggiornando la pagina delle Faq. E’ un segno tangibile di vicinanza dell’Amministrazione nei confronti del personale scolastico, fornendo risposte precise e dettagliate.
Interessante “la SEZIONE n. 11: PROTEZIONE DEI DATI PERSONALI (in collaborazione con il Garante per la Protezione dei Dati Personali). Qui troviamo la faq n°4 che riguarda il rapporto DDI/privacy. La risposta è un elenco di indicazioni tecnico-operativi, finalizzati a proteggere i dati personali.
Non sempre si ha la consapevolezza che molti aspetti della nostra identità personale sono trasferiti online, attraverso la disseminazione più o meno volontaria delle briciole di pane virtuali. Queste rimandano ai dati personali. Alcuni hanno natura comune, altri sono particolari e richiamano la nostra sfera personale più intima (dati sanitari, giudiziari, orientamento politico, sessuale…). Questi sono considerati ormai il nuovo oro nero del ventunesimo secolo, in quanto favoriscono la profilazione e la fidelizzazione soprattutto per fini commerciali.

Il dettaglio della faq ministeriale

Passiamo al dettaglio della faq. “Quando la creazione di un account personale è necessaria per l’utilizzo di piattaforme per la didattica digitale integrata, il trattamento dei dati personali, riconducibile alle funzioni istituzionalmente assegnate all’istituzione scolastica, è ammesso purché vengano attivati, per impostazione predefinita, i soli servizi strettamente necessari allo svolgimento dell’attività didattica e non deve essere richiesto il consenso dell’utente (studente, genitore o docente) o la sottoscrizione di un contratto.
Nella configurazione degli account associati a studenti e/o docenti, occorre, tra l’altro, adottare adeguate procedure di identificazione e di autenticazione informatica degli utenti, utilizzare robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione (es. evitando la pre-impostazione di password facilmente conoscibili), definire password policy adeguate e differenziate in funzione degli specifici rischi del trattamento e attribuire di profili di autorizzazione che assicurino l’accesso selettivo ai dati.
Al fine di evitare l’uso scorretto e accrescere la consapevolezza nell’utilizzo dei servizi online per la didattica, è opportuno che le scuole effettuino campagne di sensibilizzazione rivolte a studenti e loro familiari, nonché forniscano istruzioni a docenti, e altro personale, sulle corrette modalità di fruizione dei predetti servizi nel rispetto dei diritti altrui.
.”

Il GDPR e il nuovo principio di responsabilizzazione

La lettura veloce della risposta può impedire l’individuazione del nuovo principio di responsabilizzazione (accountability), così come definito dal GDPR (2016/679).
Il nuovo Regolamento per la protezione dei dati personali supera il semplice adempimento formale degli obblighi a carico del titolare del trattamento. Generalmente è l’amministrazione, ma nel caso considerato è la Dirigenza, il personale scolastico e qualunque altro soggetto operante nella scuola.
Nell’ottica del GDPR e del nuovo Codice della Privacy (D.M. 101/18) occorre dimostrare di aver ridotto al minimo o azzerato il rischio di violazione della privacy. Da qui ne discendono due principi: Privacy by design e Privacy by default.
Tratteremo il primo perché riguarda l’argomento del presente contributo. Privacy by design richiama l’attivazione di soluzioni tecnico-informatiche (hardware e software) e organizzative adeguate a ridurre il rischio di violazione dei dati.

La nuova lettura di alcuni passaggi

Ecco spiegati quindi i passaggi relativi all’adozione di “adeguate procedure di identificazione…” da parte del Dirigente scolastico (Rappresentante legale dell’Istituto) o di una figura preposta (Animatore digitale, F.S. per le nuove tecnologie, assistente tecnico…). Stesso discorso vale per l’utilizzo di robusti processi di assegnazioni di password, di attribuzioni di profili diversi (amministratore, utenti…) in relazione al tipo di dati da trattare.
Esistono però delle responsabilità afferenti al singolo docente che svolge Didattica integrata digitale. Egli deve ogni tre, sei mesi cambiare la password, mantenendo il grado di complessità (almeno 8 caratteri alfanumerici con presenza di caratteri speciali). Inoltre deve evitare di condividere le proprie credenziali con altri, lasciare aperto il proprio profilo mentre egli si sposta di ambiente, deve attivare il blocco schermo dopo 10-15 minuti di inattività.