Archiviazione dei dati nel cloud

Il nostro corpo insegnante utilizza una piattaforma digitale (come Google Classroom o simili) per comunicare con le alunne e gli alunni e per preparare i contenuti delle lezioni. Quando il corpo insegnante notifica i giudizi e i voti alle alunne e agli alunni tramite queste piattaforme digitali, è conforme alla protezione dei dati?

In alcune legislazioni cantonali sulla protezioni dei dati determinate categorie di dati personali sono protetti in maniera speciale a causa della loro sensibilità. Il loro trattamento comporta un alto potenziale di rischio per i diritti della personalità della persona interessata, per esempio il rischio di discriminazione oppure stigmatizzazione.

I giudizi e i voti di qui si sta parlando sono da considerare dati personali degni di particolare attenzione. Il trattamento di questo genere di dati necessita l’uso di applicazioni specializzate. Queste applicazioni rispettano la maggior parte dei requisiti per la sicurezza delle informazioni. Di norma è garantito in questo modo che i dati sono salvati in paesi con un livello di protezione dei dati adeguato.

Per quanto concerne il trattamento di dati personali degni di particolare attenzione, la maggioranza degli incaricati cantonali della protezione dei dati sconsiglia espressamente l’utilizzo di servizi in un cloud pubblico (cfr. il paragrafo «Protezione dei dati» delle caratteristiche delle convenzioni quadro, disponibile in francese).

In che modo un repertorio delle attività di trattamento sostiene le scuole nell’utilizzo del cloud?

Un repertorio delle attività di trattamento offre un valore aggiunto notevole per l’utilizzo del cloud nelle scuole, soprattutto per quanto concerne il salvataggio e il trattamento dei dati di allieve e allievi in maniera conforme alla protezione dei dati (vedi anche il nostro dossier «Scuola conforme alla protezione dei dati» disponibile in tedesco e francese). Anche se le scuole di norma non sono legalmente obbligate a dover tenere un repertorio delle attività di trattamento, questo strumento offre numerosi vantaggi in grado di migliorare la sicurezza e la protezione dei dati:

Trasparenza e comprensibilità

Il repertorio delle attività di trattamento permette alle scuole di avere una visione d’insieme chiara su quali dati sono salvati ed elaborati e dove. Ciò è specialmente importante quando si utilizzano dei servizi cloud. Le scuole devono assicurarsi che nessun dato sia elaborato senza autorizzazione e che possano apportare le modifiche necessarie.

Responsabilità e rischi (della protezione dei dati) chiari

Il repertorio delle attività di trattamento contribuisce anche a chiarire la responsabilità per il salvataggio dei dati e a riconoscere per tempo i potenziali rischi legati al trattamento dei dati. In questo modo la scuola sa quali dati sono salvati nel cloud e quali dati sensibili richiedono una protezione maggiore. È così possibile valutare i rischi quando si salvano e si elaborano i dati e definire i provvedimenti tecnici e organizzativi necessari.

Adempimento dei requisiti di protezione dei dati

Il repertorio delle attività di trattamento rappresenta una base consolidata per garantire che le scuole osservino tutte le direttive della protezione dei dati. Aiuta documentare i passaggi necessari per un utilizzo conforme alla protezione dei dati dei servizi cloud. Identificare la tipologia e la sensibilità dei dati salvati nel cloud è decisivo per implementare provvedimenti per la protezione adeguati. Questo può per esempio riguardare la cifratura o la locazione dei dati all’interno della svizzera o dell’Unione Europea.

Supporto nella selezione dei servizi cloud più adeguati

Un repertorio delle attività di trattamento aiuta le scuole nella selezione di servizi cloud in base ai criteri della protezione dei dati. Sono da preferire i servizi cloud specializzati messi a disposizione dalle autorità e dai cantoni che offrono alti livelli di sicurezza. Per i dati meno sensibili possono essere sufficienti i servizi cloud commerciali. Anche in questo caso è utile il repertorio delle attività di trattamento per rispettare i provvedimenti di sicurezza opportuni, come per esempio i controlli di accesso.

Costruire la fiducia

Documentando in maniera trasparente e strutturata come gestiscono i dati delle alunne e degli alunni e del personale, le scuole rafforzano la fiducia dei genitori e delle collaboratrici e dei collaboratori nella protezione dei dati. Un repertorio delle attività di trattamento mostra che la scuola garantisce proattivamente la gestione sicura dei dati e che è consapevole dell’importanza della protezione dei dati. Ciò promuove la fiducia nei processi scolastici e aiuta a evitare malintesi.

Nel complesso, il repertorio delle attività di trattamento rappresenta uno strumento importante per gestire l’uso del cloud in maniera conforme alla protezione dei dati. Non solo crea trasparenza, ma anche una base consolidata per la minimizzazione dei rischi e la definizione di provvedimenti di protezione.

Che cosa sono i dati personali degni di particolare protezione (dati sensibili)? Siamo autorizzati a salvare le informazioni di alunne e alunni, ad esempio sulla loro salute o le loro difficoltà di apprendimento, nel cloud?

Le informazioni concernenti la salute o le difficoltà di apprendimento fanno parte dei dati personali sensibili. Nella Legge svizzera sulla protezione dei dati, certe categorie di dati personali sono sottoposte a particolare protezione a causa del loro carattere particolarmente sensibile (come nelle leggi cantonali sulla protezione dei dati). Altri esempi di dati personali sensibili sono le informazioni concernenti le opinioni religiose o politiche, le informazioni sulla sfera intima, l'appartenenza a un'etnia, i dati genetici e biometrici, i dati concernenti le sanzioni amministrative o penali come anche le misure d’assistenza sociale. Il trattamento di questi dati pone un rischio più elevato di violazione dei diritti della personalità della persona interessata.

Posizione delle incaricate e degli incaricati cantonali della protezione dei dati

Per quanto concerne il trattamento dei dati personali sensibili, la maggior parte delle incaricate e degli incaricati cantonali della protezione dei dati sconsigliano chiaramente l'utilizzo di un cloud pubblico.

Le incaricate e gli incaricati cantonali della protezione dei dati sono per la maggior parte dell'opinione che i servizi online possono essere utilizzati nell'insegnamento in maniera conforme alla protezione dei dati. Questo perché di norma non sono generati dati sensibili.

Nell'amministrazione scolastica si trovano dati sensibili del contesto della scuola nei fascicoli delle alunne e degli alunni come anche nei dossier personali (per es. perizie psicologiche scolastiche e certificati medici, rapporti diagnostici, informazioni su procedimenti disciplinari, sulla salute o sulla sfera intima). Bisogna notare che contano come dati sensibili anche quelle informazioni che permettono di trarre indirettamente delle conclusioni sulla persona, come per esempio il suo stato di salute.

Per proteggere questi dati è necessario definire e realizzare i provvedimenti tecnici e organizzativi (TOM) corrispondenti. Ulteriori provvedimenti sono ad esempio la formazione e la sensibilizzazione del personale, la segnalazione chiara delle informazioni (cfr. anche il nostro dossier «Scuola conforme alla protezione dei dati») e il criptaggio dei documenti.

Altre indicazioni concernenti il trattamento dei dati personali degni di particolare protezione sono disponibili nelle raccomandazioni presenti nella guida sui rischi e i provvedimenti specifici al cloud di privatim (disponibile in francese).

Come direttrice o direttore di una scuola, a cosa devo prestare attenzione se gli elenchi delle classi, le note, le schede con i dati per le emergenze, ecc. sono archiviati in un cloud, ad esempio su Microsoft Office 365 Education?

Anche nel caso di esternalizzazione a un cloud, la scuola è pienamente responsabile del trattamento dei dati. Si tratta di un'esternalizzazione di dati personali, in quanto la scuola affida il trattamento dei dati a una terza parte. Non tratta (esclusivamente) i dati in prima persona.

La scuola deve assicurarsi che il fornitore di cloud sia in grado di garantire la sicurezza dei dati. I rischi che esistono nei vari ambiti con le soluzioni cloud, devono essere esclusi dalla scuola, mediante misure appropriate o almeno ridotti a un livello gestibile.

Al momento della trasmissione, i dati devono essere crittografati secondo lo stato attuale della tecnica. Quando i dati vengono elaborati dal fornitore di cloud, la privacy deve essere adeguatamente protetta da misure adeguate. Per ulteriori informazioni, può consultare la scheda informativa di privatim sui rischi e le misure specifiche della tecnologia cloud (francese).

Il trasporto e l'archiviazione dei dati sono già crittografati in Microsoft 365 e Microsoft ne detiene la chiave. Per la crittografia nel cloud, esistono diversi approcci, come l'elaborazione integrata in Microsoft 365 con sovranità sulle chiavi utilizzate dalla scuola (questa soluzione è tecnicamente impegnativa e costosa), la crittografia tramite una soluzione di un fornitore terzo, la crittografia manuale tramite una soluzione utilizzata localmente o tramite un servizio di un fornitore terzo (vedere la guida Microsoft 365 per il settore dell'educazione, punto 4 del responsabile dei dati del Canton Zurigo; tedesco). Per l'applicazione specifica, può anche essere utile chiedere consiglio all'autorità cantonale competente per il controllo della protezione dei dati.