Con l’entrata in vigore, ormai da anni, del GDPR (Regolamento generale sulla protezione dei dati) a livello europeo, si sono unificati i criteri per la protezione e il trattamento dei dati tra i vari stati con l’obiettivo di garantire alle persone maggiore sicurezza nella gestione della privacy.
Tuttavia, sempre più spesso, complici anche gli attacchi informatici, ma anche disattenzioni, si segnalano violazioni dei dati. Ecco perché il GDPR ha stabilito chiaramente che le organizzazioni debbano segnalare al Garante Privacy per l’Italia ogni violazione dei dati che metta a rischio i diritti e le libertà di una persona, entro 72 ore dalla sua scoperta.
Quando si parla di scuola, però, la questione sembra diventare maggiormente complessa.
La violazione dei dati nella scuola
La violazione dei dati, chiamata anche “data breach”, si verifica ogni qualvolta la riservatezza, l’integrità e la disponibilità delle informazioni sono compromesse. Questo vuol dire che non per forza i dati devono essere rubati per essere violati, ma anche la loro perdita, modifica o alterazione, seppur accidentale, comporta di fatto una violazione.
Nella scuola, può capitare molto spesso una situazione di questo genere.
Ad esempio, sono molti comuni i casi di accessi non autorizzati: basta un pc acceso, magari con le credenziali inserite, utilizzato da uno studente piuttosto che un altro o al posto del docente per conoscere informazioni riservate, come email e altri dati.
Così come può succedere che un’email venga inviata dalla segreteria per sbaglio a un studente piuttosto che al docente o che un blackout impedisca l’accesso al sistema informatico della scuola dove sono conservati i dati.
Altra situazione che si può verificare è che magari un docente si liberi del vecchio pc senza cancellare i dati sull’hard disk o che i registri cartacei vengano smaltiti senza essere prima distrutti.
Si tratta di situazioni pratiche, e non così rare, che fanno capire come sia facile incorrere in una violazione dei dati in ambito scolastico, seppur senza attività come attacchi hacker o furti intenzionali.
Cosa fare in caso di violazione dei dati a scuola
Come accennato in precedenza, la violazione dei dati va segnalata entro 72 al Garante della Privacy solo se questa situazione comporta un rischio per i diritti e le libertà delle persone fisiche. In pratica, è il responsabile del trattamento dei dati della scuola, solitamente il Dirigente Scolastico, a dover valutare con attenzione la situazione.
Inoltre, se la violazione viene comunicata oltre le 72 ore dalla scoperta, è necessario allegare un documento che giustifichi le motivazione del ritardo.
Questo fa capire che la prima cosa da fare per chi lavora nella scuola è capire come gestire un sistema di trattamento dati personali in ambito scolastico frequentando un corso specifico che possa fornire tutte le informazioni e individuare le best practices da seguire.
In pratica, se si è alle prese con una violazione dei dati, bisognerà procedere seguendo un apposito iter.
Dopo aver riconosciuto la tipologia e l’entità della violazione dei dati, bisogna anche individuare come comunicare quanto accaduto. Tutte le informazioni andranno annotate su un apposito registro. Descrivere con precisione l’avvenimento permette non solo di avere ben chiari gli elementi da valutare, ma anche di formulare una corretta notifica al Garante e agli interessati.
A questo punto, bisognerà individuare una serie di misure di sicurezza da intraprendere per evitare che la violazione dei dati possa verificarsi di nuovo.
A supporto del processo d’individuazione, valutazione e gestione della violazione dei dati a scuola c’è il documento WP250 che indica le linee guida da seguire.
Dal 1 Luglio 2021, la notifica relativa alla violazione dei dati personali va inviata al Garante attraverso il portale dei servizi online dell’Autorità, tramite specifica procedura telematica.
Vuoi diventare un esperto nel settore della privacy a Scuola? Scopri il corso di Data Protection Officer a Scuola di Musa Formazione!