I software da usare a scuola devono essere rispettosi del GDPR, 5 passi per non sbagliare

I software da usare a scuola devono essere rispettosi del GDPR, 5 passi per non sbagliare

Spread the love

Inviato dal DPO Prof. Pier Giorgio Galli – Spesso gli ambienti on line per la didattica trattano i dati personali degli studenti. Tali e tanto diverse sono le modalità di adesione ai servizi on line proposti che le scuole, non a torto, a volte si domandano se l’uso di quegli ambienti on line è aderente alla normativa sulla privacy.

Per rispondere in via generale prendiamo come esempio paradigmatico il registro elettronico che, seppur con caratteristiche di base, è un software per la didattica: permette l’assegnazione di compiti e materiali, la pubblicazione di annunci, l’accesso con credenziali di autenticazione uniche per ogni studente, ecc.

Ogni scuola ha attivato il registro elettronico. Ai fine della privacy l’attivazione degli altri software per la didattica deve necessariamente seguire lo stesso iter:

  1. il software deve essere fornito a seguito di una formale stipula di contratto, anche a titolo gratuito, tra il fornitore e la scuola. In altri termini il contratto (la registrazione) può essere sottoscritto solo dal Dirigente Scolastico;
  2. nel contratto (nella registrazione) deve essere esplicitato che il Titolare del trattamento1 è l’Istituzione Scolastica (non il fornitore del software);
  3. nel contratto deve essere esplicitata l’assunzione del ruolo di Responsabile del trattamento2 da parte del fornitore dei prodotti software (il che implica il rispetto totale del Regolamento Europeo sulla Protezione dei Dati da parte del fornitore);
  4. l’eventuale trasferimento dei dati al di fuori della UE deve avvenire in conformità con il Regolamento Europeo sulla Protezione dei Dati3.

Per le scuole si pone il problema di selezionare tra la molteplicità delle proposte quella, se c’è, che rispetta i punti sopra elencati. Purtroppo i termini di servizio esposti dai produttori sono spesso lunghi e complessi; documenti in cui vengono mescolate nel contempo questioni tecniche, economiche e di trattamento dei dati.

Di seguito una possibile procedura per poter adottare/attivare un software da parte dell’Istituzione Scolastica in conformità con la normativa sulla privacy.

Passo 1. scartate le proposte di registrazione rivolte al singolo studente. In questo caso infatti è lo studente, non la scuola, che, in autonomia, si rapporta con il produttore del software fornendo i propri dati personali e la liberatoria sul trattamento dei dati.

Passo 2. individuare tra le proposte di fornitura quelle rivolte alla scuola come agenzia educativa nella sua interezza.

Passo 3. con una ricerca testuale individuare nella proposta contrattuale di fornitura, negli eventuali addendum contrattuali, nei termini di servizio o nella policy privacy chi è il Titolare del trattamento. Deve risultare Titolare del trattamento l’Istituzione Scolastica. Nei documenti in lingua inglese il Titolare del trattamento è il Controller.

Passo 4. con una ricerca testuale individuare nella proposta contrattuale di fornitura, negli eventuali addendum contrattuali, nei termini di servizio o nella policy privacy chi è il Responsabile del trattamento. Deve risultare Responsabile del Trattamento il fornitore del software. Nei contratti in lingua inglese il Responsabile del trattamento è il Processor.

Passo 5. nel caso di trasferimento di dati personali verso gli USA verificare che il fornitore abbia aderito al Data privacy Framework (DPF) interrogando la banca dati https://www.dataprivacyframework.gov/s/participant-search

Una volta verificati i passaggi indicati, la scuola in ordine ai regolamenti interni e, in ogni caso, prudenzialmente con l’approvazione degli organi collegiali può adottare/attivare il software per la didattica selezionato.

Negli altri casi di software non attivabile direttamente dalla scuola, con le opportune cautele, dopo aver informato i genitori sull’opportunità di usare il software per scopi didattici, è possibile invitare (non obbligare) i genitori o gli studenti che hanno compiuto 144 anni a registrarsi in autonomia ai servizi software. I genitori e gli studenti vanno informati dalla scuola che ai fini della privacy sono loro che si rapportano direttamente con il fornitore del software e che sono loro, non la scuola, a fornire la liberatoria sul trattamento dei loro dati personali secondo la privacy policy del fornitore.

1 Art. 24, GDPR (UE) 2016/679

2 Art. 28, GDPR (UE) 2016/679

3 Capo V, GDPR (UE) 2016/679, “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”

4 Art. 2-quinques, c. 1, D.Lgs. 196/2003 e ss.mm.ii

[email protected]

, L’articolo originale è stato pubblicato da, https://www.orizzontescuola.it/i-software-da-usare-a-scuola-devono-essere-rispettosi-del-gdpr-5-passi-per-non-sbagliare/, Scuole,GDPR, https://www.orizzontescuola.it/feed/, redazione, Autore dell’articolo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.