Breve guida al GDPR per scuole e insegnanti

Image: karelnoppe / Shutterstock.com

La protezione dei dati è essenziale: significa privacy e rispetto, oltre che libertà dalla manipolazione. Ciò non di meno, la pubblicazione del GDPR (General Data Protection Regulation, Regolamento Generale sulla Protezione dei Dati) dell’Unione europea ha suscitato qualche timore. Le scuole devono adeguare il loro sistemi di conservazione dei dati? Quali informazioni sono considerate delicate? È ancora possibile conservare i dati delle scuole su dispositivi portatili? Questo tutorial chiarisce il tema della salvaguardia dei dati degli studenti e ti permette di capire cosa succede alle tue informazioni personali.

Conoscere la differenza tra dati personali e dati sensibili

I dati personali sono tutte le informazioni che possono identificare una persona o la sua famiglia. Nei documenti scolastici, questi dati sono nome, indirizzo, informazioni di contatto, registro scolastico disciplinare, voti e schede di valutazione. Questo tipo di dati resta “personale” anche se un individuo sceglie di renderli pubblici.

Una categoria speciale di dati attiene a questioni più sensibili. Nel caso delle scuole, queste comprendono dati biometrici (es. impronte digitali, foto), credo religioso (es. la scelta di non seguire le ore di religione), salute (es. allergie) o prescrizioni alimentari (che possono dare indicazioni su fede religiosa o stato di salute). I dati appartenenti a questa categoria potrebbero quindi rappresentare un rischio per le persone e possono quindi essere elaborati solo a determinate condizioni. Molto probabilmente, le scuole non li possono utilizzare senza il consenso dei genitori degli alunni.

Conoscere la differenza fra titolari del trattamento dei dati e responsabili del trattamento dei dati

Il GDPR sottolinea l’importanza dei due ruoli, che possono essere ricoperti da individui o enti: il data controller (titolare del trattamento dei dati) determina i mezzi e gli scopi dell’elaborazione dei dati, mentre il data processor (responsabile del trattamento dei dati) gestisce i dati per conto del titolare. Queste due figure hanno responsabilità legali diverse.

Normalmente, la scuola riveste il ruolo di “titolare”, e deve quindi avere un accordo definito con il “responsabile”. Quest’ultimo può assumere diverse forme e figure: fotografo, società di smaltimento dei documenti, piattaforma di apprendimento online, software. Qualunque operazione condotta da queste figure sui dati è considerata un’elaborazione dei medesimi, anche se automatizzata, e comprende, ma non si limita a, la raccolta, lo stoccaggio, il recupero, la distruzione.

Buone pratiche: controllare i propri dati

Con la nuova legge, le scuole (come tutte le pubbliche autorità) devono designare un Responsabile per la protezione dei dati, cioè una persona dedicata al GDPR, che ha il compito di monitorare le politiche della scuola, fare formazione e controlli, e altro. Le scuole, però, non dovrebbero affidarsi al solo Responsabile per la protezione dei dati per scoprire le falle nel loro sistema. Ecco quindi alcune domande che tutti dovrebbero porsi riguardo ai propri dati:

  1. Per quale motivo si stanno elaborando i dati? Ci sono sei basi giuridiche per elaborare i dati nell’ambito del GDPR. La più rilevante per le scuole è l’interesse pubblico, il che significa utilizzare i dati per eseguire un’azione di pubblico interesse. Tuttavia, i dati raccolti a questo scopo non possono essere riciclati ad altri fini. Per esempio, la scuola non può condividere l’indirizzo mail di un genitore con terze parti che promuovano eventi scolastici affermando che si tratta di “interesse pubblico”. Per condividere questo dato, infatti, la scuola deve rifarsi a un’altra base giuridica, il consenso. Le scuole devono chiedere il consenso anche per aprire un account-studente su un servizio di cloud-hosting.

  2. Quali dati sono conservati dove, e chi vi può accedere? Le scuole devono effettuare controlli sulle loro pratiche di elaborazione dei dati. Quando hanno una panoramica completa dei dati personali a loro disposizione, possono valutare qual è il modo migliore per proteggerli.

  3. Quali misure di sicurezza sono state messe in campo? I furti di dati non sono sempre opera di hacker e software maligni, ma possono anche essere il frutto di un portatile dimenticato in treno o della curiosità di un membro della famiglia. Per questa ragione, il personale scolastico deve conservare i dati personali solo su attrezzature informatiche di proprietà della scuola, usare password forti e impostare il blocco automatico del dispositivo dopo cinque minuti di inattività. Se i dati personali vengono scaricati su un supporto mobile come una chiavetta USB, questo deve essere criptato e protetto da password, e tenuto al sicuro. Il personale scolastico deve anche seguire una formazione su ingegneria sociale, phishing, tecnologie cloud, attacchi ransomware e simili.

  4. Cosa sanno i genitori? Le scuole devono pubblicare e inviare ai genitori una circolare sulla privacy. Questo può essere fatto sotto forma di documento programmatico della scuola, newsletter, report, lettere/email. Nella circolare, la scuola deve dichiarare i dati che raccoglie, la ragione per la quale li raccoglie e le terze parti autorizzate a farlo. Occorre tenere a mente che, entro i termini del GDPR, i genitori e gli alunni hanno il diritto di chiedere di consultare gratuitamente i dati conservati su di loro.

Buone pratiche: informarsi

Non solo gli adulti, ma anche i ragazzi devono riflettere sulla protezione dei dati. Per questa ragione, il Joint Research Centre ha sviluppato un gioco per dispositivi mobili Cyber Chronix, dove i giocatori devono affrontare una serie di ostacoli legati al GDPR su un pianeta futuristico.

Per saperne di più sul GDPR, contatta la tua Autorità garante nazionale.

Puoi anche leggere le seguenti pubblicazioni, che sono state consultate nella creazione di questo tutorial:

Infine, fai questo quiz da 30 secondi di 360data per valutare la tua politica di protezione dei dati!