logoprivacy2

  

RETE SCUOLA DIGITALE

 

LA COMPLIANCE AL GPDR E ALLA SICUREZZA IT

10x10BLe procedure operative di sicurezza informatica si sostanziano, quindi, nelle misure e nelle tecniche necessarie per proteggere l’hardware, il software ed i dati dagli accessi non autorizzati (intenzionali o meno), per garantirne la riservatezza, nonché per impedire eventuali usi illeciti (divulgazione, modifica e distruzione).

Per mantenere la sicurezza e prevenire trattamenti in violazione al GDPR, il titolare del trattamento deve valutare anche il rischio informatico, ripartito tra il rischio
di danni economici (rischi diretti);
di reputazione (rischi indiretti);
implicito nella tecnologia (rischi di natura endogena);
derivante dall’automazione, attraverso l’uso della tecnologia, di processi operativi analogici (rischi di natura esogena).

Le misure tecniche e organizzative che garantiscono un livello di sicurezza adeguato al rischio, comprendono tra l'altro:
la pseudonimizzazione e la cifratura dei dati personali;
la capacità di assicurare la continua riservatezza, integrità e disponibilità dei sistemi e dei servizi che trattano i dati personali;
la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico;
una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative.

La pseudonimizzazione, in particolare, è una tecnica che consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l'utilizzo di informazioni aggiuntive. 
Tali informazioni aggiuntive sono conservate separatamente e soggette anch’esse a misure tecniche e organizzative.

10x10Nel documento che il MIUR ha pubblicato nel maggio 2018, riferito all’impatto del GDPR nel sistema scuola, si evidenzia come l’azione amministrativa della Scuola sia caratterizzata da una gestione che, in certi casi, è digitale in ogni suo passaggio. 
Il documento amministrativo nasce originale digitale, è sottoscritto digitalmente, trasmesso telematicamente e conservato digitalmente.

Per tale motivo il tema della sicurezza informatica riveste un’importanza fondamentale e strategica. 
Ciò è ancor più evidente se si considera il costante aumento delle violazioni (più o meno rilevanti) ai sistemi informatici o le numerose perdite di dati e di informazioni dovute a comportamenti negligenti o imprudenti dei dipendenti pubblici o, ancora, a malfunzionamenti dei sistemi informatici o telematici.

Il MIUR rileva l’esigenza di una rinnovata responsabilizzazione degli attori principali del trattamento dei dati personali, chiedendo di prendere effettiva cognizione della necessità di attivarsi concretamente per garantire una efficace protezione dei dati personali che non sia più limitata a un asettico recepimento di una serie di obblighi preconfezionati di sicurezza.

Il MIUR, specifica che la sicurezza informatica ha lo scopo di minimizzare i rischi che incombono sulle informazioni digitali andando a perseguire il raggiungimento di tre obiettivi: 
la confidenzialità;
l’integrità;
la disponibilità delle informazioni.
Tale triade rappresenta il fulcro della sicurezza.

La confidenzialità (riservatezza) consente di mantenere il controllo sull’accesso a determinate informazioni escludendo i soggetti non legittimati. 
L’integrità si sostanzia nella capacità di mantenere la veridicità dei dati e delle risorse e garantire che non siano in alcun modo modificate o cancellate, se non ad opera di soggetti autorizzati.
La disponibilità si riferisce alle regole e agli accorgimenti attraverso i quali mantenere i sistemi informatici e telematici costantemente operativi, affidabili, funzionali e accessibili.

Il GDPR, per poter tutelare questi tre aspetti, richiama l’esigenza di porre in essere delle misure adeguate (non minime) che non limitino il loro ambito di applicazione agli aspetti tecnici, ma che si estendano anche agli aspetti organizzativi.
La sicurezza informatica deve, quindi, tenere in considerazione diversi elementi tra cui l’analisi e la valutazione del rischio, l’individuazione delle misure adeguate di sicurezza, le istruzioni agli incaricati del trattamento, il monitoraggio del livello di sicurezza e l’eventuale implementazione di azioni correttive.

compliantCon l’entrata in vigore del GDPR, il trattamento dei dati personali in ambito scolastico ha evidenziato una serie di problematiche su più livelli.
Da quelle relative alla struttura tecnologica e al modello organizzativo, a quelle legate alla consapevolezza dell’adozione delle misure di sicurezza nell’utilizzo degli strumenti digitali.

Il GDPR impone la valutazione riguardante gli aspetti della riservatezza dei dati e dell’integrità e disponibilità degli stessi.
Per raggiungere questo ambizioso obiettivo, nel rispetto del principio di accountabilty, è inevitabile procedere all’analisi dei sistemi informatici e delle misure di sicurezza, tecniche e organizzative, predisposte.
Già solo questo aspetto evidenzia gravi carenze professionali e strumentali, oltre a rappresentare nuove spese.

In ambito scolastico, è proprio l’origine del dato personale a portare con sé rischi elevati in quanto, quasi sempre, connesso a minori. Il trattamento, inoltre, opera su dati che rivelano l’origine etnica e religiosa e dati sanitari.
Le prassi che la Scuola, costantemente sollecitata da numerosi gravami amministrativi e organizzativi, ha sviluppato dopo l’avvento del GDPR evidenziano numerose non conformità.

Un esempio è l’utilizzo improprio, per attività istituzionali, degli account email personali, forieri di newsletter e spam.
Tale prassi, parecchio diffusa, espone i dati della scuola a molteplici rischi, quali distruzioni, viralizzazioni e potenziali divulgazioni o sottrazioni di dati, in caso di errore umano o di truffe informatiche (phishing).

Si pensi, ancora, alla pratica diffusa di inserire sull’home page del sito istituzionale l’elenco degli alunni divisi per classi.
Tale pubblicazione può integrare una divulgazione non autorizzata, oltre ad esporre i nomi degli alunni all’indicizzazione sui motori di ricerca.
Tale divulgazione, da tempo rimproverata dall’Autorità Garante, con il GDPR assume i crismi di un potenziale Data Breach.

L'impatto del GDPR sulla Scuola

compliant

GDPR e Amministrazione Digitale

10x10

Privacy & Sicurezza Informatica

10x10B