registro elettronico e garante
RICHIESTA INFORMAZIONI DEL GARANTE SUL REGISTRO ELETTRONICO.
Garante-Privacy-richiesta-informazioni
Di questi giorni l’indagine avviata dal garante presso una scuola sull’utilizzo del registro elettronico che potete leggere più sopra.
Ovviamente questa verifica è partita in seguito ad una segnalazione di un docente.
Come più volte detto durante i corsi di formazione il registro elettronico si configura ne più ne meno come un trattamento dei dati, anzi di più dati, per cui per il Garante lo stesso deve essere declinato e categorizzato esattamente come un trattamento qualsiasi.
Premessa la sua obbligatorietà presente nell’art. 7, commi 27 e 31 del d.l. 6 luglio 2012, n. 95, convertito con modificazioni in legge 7 agosto 2012, n. 135, a decorrere dall’anno scolastico 2012-2013 le istituzioni scolastiche e i docenti adottano registri on line e inviano le comunicazioni agli alunni e alle famiglie in formato elettronico, ma che comunque era già in certo qual modo presente nel Codice dell’Amministrazione Digitale legge 82/2005, oggi il registro elettronico diviene strumento indispensabile per una efficace comunicazione scuola famiglia e comunque per una corretta ed efficiente organizzazione scolastica.
Rimane pertanto ovvio l’obbligo da parte dei docenti dell’utilizzo del registro elettronico, ma il garante solleva dubbi sulla sua sicurezza ma ancor di più sulla corretta informazione agli utenti da parte delle realtà scolastiche.
le richieste del garante sono comprese in questi punti:
- la base giuridica del trattamento;
- le misure con cui viene garantito il rispetto del principio di trasparenza nei confronti degli interessati, in particolare attraverso le informazioni che devono essere fornite ai docenti, genitori e alunni, ai sensi degli artt. 13 e 14 del Regolamento (Ue) 2016/679, con specifico riferimento all’utilizzo del registro elettronico;
- il ruolo assunto dalla scuola in relazione al trattamento dei dati personali
- contenuti nel registro elettronico (es. responsabile del trattamento) in base alla disciplina in materia di protezione dei dati personali, fornendo altre sì copia dei relativi atti giuridici;
- le tipologie di dati trattati nell’ambito del suddetto registro, specificando quelle che devono essere obbligatoriamente inserite a cura della scuola;
- le istruzioni fornite al personale autorizzato ad accedere al registro elettronico;
- le misure tecniche e organizzative adottate al fine di garantire un’adeguata sicurezza dei dati personali trattati tramite il registro elettronico (artt. 5, comma 1, lett. f), e 32 del Regolamento), con particolare riferimento a:
- l’architettura informatica del sistema, indicando le modalità di erogazione del servizio (cloud o on premise) e la relativa analisi del rischio effettuata;
- le modalità di autenticazione e le relative politiche di sicurezza; le procedure di abilitazione degli utenti;
- i profili di autorizzazione attribuiti alle diverse categorie di utenti del registro, indicando le operazioni eseguibili e le tipologie di dati a cui possono accedere;
- le misure adottate per garantire la sicurezza, integrità e immodificabilità dei dati personali, con particolare riferimento alle informazioni che obbligatoriamente devono essere inserite da parte della scuola;
- le modalità di interazione del suddetto servizio con altre applicazioni informatiche.
- i tempi di conservazione dei dati
- l’eventuale valutazione di impatto effettuata ai sensi dell’art. 35 del Regolamento.
Come si può evincere dalla lettura dei punti in epigrafe gli obblighi sono:
punto 1 – identificare nel registro dei trattamenti la base giuridica che obbliga all’utilizzo – citata dalla stessa lettera del garante.
punto 2 – aver predisposto la corretta informativa con tutte le segnalazioni correttamente indicate (modello 5 sul sito correttamente compilato, regolamento privacy deliberato e sul sito, svolta la formazione agli addetti, informate le famiglie, docenti e fornitori, come da noi ripetutamente indicato)
punto 3 – evidentemente titolarità del trattamento e responsabilità in carico
punto 4 – nomina a responsabile esterno del titolare del registro (spaggiari, argo, axios, etc.)
punto 5 – sempre nel registro dei trattamenti specificare che dati vengono utilizzati
punto 6 – evidenziare la formazione fatta ai dipendenti sull’utilizzo dello strumento
punto 7 – è necessari ala garanzia scritta del fornitore del registro nonché dell’amministratore di sistema che tutti i sub commi siano in ordine
punto 8 – i tempi devono essere in linea con l’articolo 5 del GDPR, ed i dati non possono essere conservati oltre la loro finalità.
punto 9 – ovviamente l’analisi di impatto per essere positiva può essere svolta solo con i punti sopra citati in ordine
Teniamo a precisare che il Garante non ha contestato il registro elettronico ma solo la sua definizione all’interno del regolamento privacy, specificando come debba essere gestito.
Invitiamo pertanto tutte le nostre scuole a rivedere le nostre comunicazioni ed indicazioni ed a tenerne conto per la corretta applicazione del regolamento.
Ricordiamo inoltre la nostra comunicazione inviata nel mese di dicembre 2019.
lettera scuole per fase di analisi misure di sicurezza informatica