Sicurezza dell'informazione e dei dati a scuola e nell'azienda formatrice

La nostra scuola elabora regolarmente informazioni sulle esigenze di sostegno o sulla salute delle nostre alunne e dei nostri alunni. Quali provvedimenti concreti dobbiamo adottare per archiviare questi dati personali in modo sicuro? E come dobbiamo procedere se queste informazioni sono disponibili sia in forma cartacea che elettronica?

Secondo la guida dell’Associazione ombrello degli insegnanti svizzeri (LCH), le scuole sono obbligate a conservare i loro atti solo per il tempo necessario a svolgere i loro compiti. I dati devono essere archiviati o distrutti in modo sicuro in seguito alla scadenza dei periodi di conservazioni stabiliti. Per l’archiviazione e la distruzione di dati personali, soprattutto i dati degni di particolare attenzione come le informazioni sulle esigenze di sostegno o sulla salute, devono essere adottati dei provvedimenti sia tecnici che organizzativi.

Il trattamento dei dati deve rispettare i principi della protezione dei dati, in particolare i seguenti:

• Principio di legalità: i dati possono essere trattati solamente nell’ambito dei compiti della scuola stabiliti dalla legge.
• Principio di proporzionalità: possono essere trattati soltanto i dati effettivamente necessari all’adempimento dei compiti.
• Principio di destinazione vincolata: i dati possono essere trattati solo per gli scopi definiti e non oltre.

Provvedimenti di sicurezza per l’archiviazione di dati personali

1. Provvedimenti organizzativi per l’archiviazione

I documenti cartacei devono essere conservati in un locale sicuro, chiuso a chiave e accessibile solo alle persone autorizzate. L'accesso deve essere controllato.

Anche i dati elettronici devono essere protetti da misure di sicurezza adeguate. Queste includono:

• La cifratura dei dati per impedire gli accessi non autorizzati.
• L’utilizzo di password forti e l’integrazione di controlli all'accesso per garantire che solamente le persone autorizzate abbiano accesso agli atti.

2. Provvedimenti tecnici per l’archiviazione

Tutti gli atti elettronici devono essere cifrati per garantire che solamente le persone autorizzate abbiano accesso alle informazioni (cifratura).

I dati elettronici devono essere protetti da password forti e controlli all’accesso (controllo degli accessi). Inoltre deve essere creato un protocollo con tutti gli accessi.

Periodi di conservazione

La scuola deve attenersi ai periodi di conservazione previsti dalla legge o stabilire i propri periodi in base alle linee guida interne. Di norma, il periodo massimo di conservazione dei dati personali è di dieci anni, a meno che non esistano disposizioni cantonali speciali che prevedano periodi più brevi.

Si raccomanda di consultare le guide cantonali sull'archiviazione, che forniscono informazioni sui requisiti specifici e i periodi di conservazione, come per esempio quelle offerte dai cantoni di Zurigo, Sciaffusa e Soletta.

Distruzione degli atti

I documenti cartacei che non vengono archiviati devono essere distrutti in modo sicuro, ad esempio tramite un distruggidocumenti. In questo modo i dati non possono più essere recuperati.

I dati elettronici devono essere completamente cancellati utilizzando applicazioni adeguate in modo da non poter più essere ripristinati. A tale scopo è necessario utilizzare un software specializzato per la distruzione sicura dei dati.

Per informazioni dettagliate sui requisiti cantonali specifici relativi all'archiviazione dei documenti scolastici, si consiglia di consultare le relative schede informative e di contattare l’incaricato cantonale per la protezione dei dati in caso di dubbi.

Nell'ambito dell'introduzione di nuovi indirizzi e-mail per le nostre alunne e i nostri alunni vorremmo informarci su quali riflessioni in materia di protezione dei dati sono da prendere in considerazione. In particolare, ci interessa sapere se abbia senso rinunciare al nome completo e utilizzare invece degli pseudonimi per la creazione dei conti?

L'attribuzione di indirizzi e-mail ad alunne e alunni è in linea di principio permessa nel contesto scolastico, ma richiede una particolare attenzione alla protezione dei dati al fine di tutelare la sfera privata delle alunne e degli alunni.

Per le alunne e gli alunni più giovani è specialmente importante informare le autorità parentali nel dettaglio sullo scopo e l'utilizzo degli indirizzi e-mail, permettendogli in questo modo di comprendere i possibili rischi e le tipologie di trattamento dei dati. Gli indirizzi e-mail sono uno strumento centrale per la comunicazione digitale e l'accesso alle piattaforme per l'apprendimento online. Nascondono però anche un rischio, siccome possono potenzialmente permettere di trarre delle conclusioni sull'identità delle alunne e degli alunni. Per questo motivo si raccomanda di rinunciare all'uso del nome completo negli indirizzi e-mail e di usare piuttosto abbreviazioni, iniziali o pseudonimi. Ciò riduce il rischio di abusi da parte di terzi e aumenta la protezione della sfera privata delle alunne e degli alunni.

Se le scuole si appoggiano a fornitori di servizi esterni, come per esempio Microsoft 365, esistono ugualmente delle opzioni che permettono la pseudonimizzazione degli indirizzi e-mail. Questo tipo di fornitori offrono delle soluzioni di pseudonimi che permettono di proteggere l'identità delle alunne e degli alunni. Oltre a ciò le scuole devono comunque assicurarsi che le norme di protezione dei dati di questi fornitori esterni siano verificate e che non vengano involontariamente trasmessi dati a terzi. Questo è estremamente importante per proteggere i dati personali sensibili. I cantoni di Sciaffusa e Zurigo offrono delle guide complementari (disponibili in tedesco).

In sintesi, l'assegnazione di indirizzi e-mail alle alunne e agli alunni richiede una decisione equilibrata tra la facilità d'uso, la praticabilità e la protezione dei dati.

Che genere di direttive possiamo stabilire in modo da sensibilizzare il nostro corpo insegnante e la segreteria scolastica ai nostri obiettivi di protezione? Come possiamo efficacemente mettere in pratiche queste direttive nella vita scolastica di tutti i giorni?

Gli obiettivi di protezione della sicurezza dell'informazione costituiscono le basi per proteggere i dati e i sistemi sensibili da accessi non autorizzati, manipolazioni o guasti. Contribuiscono anche a soddisfare i requisiti legali e a rafforzare la fiducia nel trattamento dei dati. Gli obiettivi principali sono:

• Riservatezza: garantire che solamente le persone autorizzate hanno accesso a informazioni confidenziali. 
• Integrità: assicurare che i dati rimangono corretti e inalterati. 
• Disponibilità: assicurare che le informazioni e i sistemi sono accessibili quando necessario.

Nelle direttive che si basano almeno sugli obiettivi di protezione citati vale la pena stabilire delle regole di comportamento e dei provvedimenti per quanto concerne l'utilizzo di risorse informatiche. Le direttive includono, per esempio, indicazioni sulla protezione dei dati, sulla trasmissione dei dati personali oppure anche sull'utilizzo di dispositivi personali per scopi scolastici. Inoltre le direttive devono definire in maniera chiara le responsabilità. Ad esempio, chi è responsabile per la protezione dei dati amministrativi? Le direttive devono essere controllate a scadenza regolare e adattate rispetto a nuove minacce o sviluppi tecnologici.

Per garantire che le direttive siano attivamente messe in pratica è consigliabile integrarle direttamente nel processo di entrata delle nuove collaboratrici e dei nuovi collaboratori. Ne risulta così fin dall'inizio una consapevolezza della sicurezza dell'informazione. È altrettanto importante sensibilizzare costantemente il personale, per esempio attraverso formazioni sulle direttive oppure workshop sulle ultime novità riguardo la sicurezza dell'informazione. Si assicuri che le direttive siano sempre facilmente accessibili dal personale, sia attraverso un portale interno alla scuola sia in formato cartaceo.

Questo modo di procedere permette che le direttive sulla sicurezza dell'informazione siano comprensibili a tutte le persone coinvolte e che siano applicate con successo nella quotidianità scolastica.

Come scuola siamo costantemente confrontati dal fatto che per il corpo insegnante, per le allieve e gli allievi, come anche per la segreteria scolastica, la gestione delle password costituisce una grossa difficoltà. Quali sono le questioni più importanti da tenere presente per la gestione delle password?

La gestione sicura delle password è di fondamentale importanza nelle scuole. È cruciale proteggere tutti i dati personali, non solo quelli estremamente sensibili, sia del corpo insegnante, sia delle allieve e degli allievi, come anche della segreteria scolastica. I punti più importanti da tenere a mente per la gestione delle password sono i seguenti.

Utilizzo di password forti 
Le password devono essere lunghe almeno 8 caratteri, per quanto 12 siano ancora più sicuri. I caratteri devono includere una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. Sono da evitare password semplici e facili da indovinare come «123456», «password» o nomi di membri della propria famiglia.

Modifica regolare delle password 
Le password devono essere modificate regolarmente per diminuire il rischio di attacco. Inoltre le password vecchie non dovrebbero essere riutilizzate.

Nessun utilizzo multiplo delle password 
La stessa password non deve essere utilizzata per diversi conti utente. In questo modo viene ridotto il rischio che in caso di un attacco di successo a un conto vengano compromessi anche altri conti.

Aiuti per memorizzare le password 
Per facilitare la memorizzazione delle password si può utilizzare un espediente mnemonico oppure una «passphrase». Nell'espediente mnemonico viene utilizzata una frase come base per la password, per esempio «P€r@pr1r€L3mie3M@1l$!». Una passphrase è una catena di caratteri più lunga, composta da parole ed espressioni. Se un sistema richiede una password corta, si possono utilizzare le iniziale delle rispettive parole che compongono la frase. Ad esempio, «Il mio cane ama giocare in giardino» diventa «Imcagig».

Protezione degli account e-mail 
Gli account e-mail devono essere protetti molto bene, poiché possono essere utilizzati per cambiare le password di altri servizi. Password complesse e modifiche ricorrenti sono particolarmente importanti.

Utilizzo dell'autenticazione a due fattori 
Nel limite del possibile deve essere attivata l'autenticazione a due fattori (2FA). Questa esige, oltre alla password, un codice supplementare che è inviato tramite SMS o attraverso un'altra applicazione.

Conservazione in sicurezza delle password 
Le password non dovrebbero essere salvate senza la giusta protezione. I gestori delle password cifrati permettono un'amministrazione securizzata e centralizzata delle password, e offrono la possibilità di concedere autorizzazioni mirate. Bisogna prestare attenzione che l'accesso al gestore delle password sia a sua volta protetto da una password forte.

Sensibilizzazione e formazione 
Il corpo insegnante, le allieve e gli allievi come anche la segreteria scolastica devono essere informati e formati a scadenza regolare in materia di gestione delle password sicura.

L'Ufficio federale della cibersicurezza (UFCS) offre ulteriori consigli sulla protezione degli account da attacchi esterni e sulla sicurezza delle password, mettendo inoltre a disposizione una formazione di base nel settore della sicurezza informatica per le autorità. Per poter valutare cosa è necessario al fine di generare una password sicura si può consultare il Passwortcheck. Quando si utilizza il Passwortcheck, la password che viene data è controllata localmente e non viene mai trasmessa al server.

Un insegnante ha consigliato alle studentesse e agli studenti di utilizzare durante le lezioni dei dati fittizi per registrarsi alle applicazioni digitali, al fine di proteggere i loro dati (ad esempio nomi o date di nascita inventati). Questa pratica è legale, e rispetta le norme della protezione dei dati?

In Svizzera non esiste un diritto esplicito all'anonimato. Al momento non esiste nemmeno una decisione giudiziaria corrispondente. Per questo motivo in questo caso facciamo riferimento al Regolamento europeo sulla protezione dei dati (RGPD), che, come in Svizzera, si basa sul principio di minimizzazione dei dati.

Secondo il Regolamento generale sulla protezione dei dati (Art. 5 par. 1 lett. c RGPD), l'uso tramite pseudonimo dei social media deve essere espressamente consentito, a meno che non siano necessari nomi reali per la prestazione dei servizi. Anche la Corte federale di giustizia (BGH) in Germania si è dichiarata favorevole alla possibilità che le e gli utenti accedano a una piattaforma sotto pseudonimo. Il nome reale deve essere comunicato unicamente al gestore della piattaforma, ad esempio Meta. Se tutti fossero obbligati a comparire sui social media con il loro vero nome, si genererebbero molte più tracce di dati su Internet. Il principio di minimizzazione dei dati è quindi già contrario a un obbligo legale di usare il nome reale. La sentenza del tribunale tedesco riguardava i social media. Tuttavia, può essere applicata anche alle applicazioni digitali.

Anche in Svizzera vige, come sopra menzionato, il principio di minimizzazione dei dati. Questo principio è sancito, ad esempio, dalla Legge federale sulla protezione dei dati (Art. 6 par. 2 LPD) oppure nelle rispettive leggi cantonali sulla protezione dei dati. Considerate la stessa pratica e le stesse circostanze, dovrebbe essere sufficiente anche per la Svizzera che solo l'applicazione digitale o il social media conoscano la vera identità della persona, per prevenire eventuali abusi. In linea di principio sono le e gli utenti a decidere liberamente se vogliono usare uno pseudonimo. Si può dunque presupporre che l'utilizzo di pseudonimi durante la registrazione a un servizio è consentito.

Un'altra soluzione è offerta da Edulog (disponibile in francese e tedesco). Edulog consente l'accesso a svariati servizi online grazie all'aiuto di uno pseudonimo. Questo garantisce un accesso sicuro ai servizi online e protegge le identità digitali.

La nostra scuola sta pianificando di acquistare una nuova applicazione software. Durante il processo di acquisto vogliamo assicurarci che la protezione dei dati sia garantita. Dobbiamo precisare in maniera esplicita che i dati non possono essere elaborati da terzi? Quali altre misure di sicurezza sono necessarie?

Le applicazioni digitali possono elaborare una miriade di dati personali di studentesse e studenti, del corpo insegnante e di collaboratrici e collaboratori scolastici. Soprattutto per le applicazioni acquistate da sé, vale sicuramente la pena informarsi sulla protezione dei dati. È importante essere in grado di valutare i rischi per la protezione dei dati. Nel caso in cui l'applicazione è collegata a Edulog, l'accesso conforme alla protezione dei dati è garantito.

Per assicurarsi che la protezione dei dati sia rispettata, bisogna prima di tutti stabilire quali dati sono trattati da quali persone, in che misura e con quale bisogno di protezione. Per questo scopo è utile stilare un repertorio delle attività di trattamento.

Successivamente si raccomanda di esaminare l'applicazione dal punto di vista della protezione dei dati, del diritto contrattuale, come anche della sicurezza dell'informazione. La nostra lista di controllo delle applicazioni permette alle scuole di individuare velocemente e per tempo potenziali fattori di rischio per la protezione dei dati. Di norma le informazioni necessarie sono disponibili nella dichiarazione sulla protezione dei dati e nelle condizioni generali di vendita (CGV) e d'uso del fornitore.

Se l'analisi rivela pochi o nessun tipo di rischio, nulla ostacola l'utilizzo dell'applicazione. Se però la valutazione riscontra dei rischi medi o elevati, è necessario procedere a dei chiarimenti dettagliati prima di utilizzare la soluzione che si desidera acquistare. A tale scopo si può procedere nei modi seguenti:

• Informarsi sui sussidi disponibili nel proprio cantone, poiché i requisiti possono variare.
• Anche i servizi cantonali di sorveglianza della protezione dei dati offrono informazioni e consulenza su questo argomento.
• Condividere nella propria rete di conoscenze professionali le valutazioni di prodotti già realizzate da altre scuole.
• Il nostro Navigatore offre un orientamento nelle applicazioni alternative potenzialmente più sicure dal punto di vista della protezione dei dati.

Se gli ulteriori chiarimenti confermano che un utilizzo conforme alla protezione dei dati è sostanzialmente permesso, devono essere definiti e attuati dei provvedimenti tecnici e organizzativi (TOM) per diminuire i rischi. Ad esempio, se i diritti e le obbligazioni corrispondenti alle condizioni generali cantonali per la sicurezza dell'informazione e la protezione dei dati (CGV SIPD) sono trasferiti contrattualmente al fornitore, non è più necessario dichiarare esplicitamente che i dati non possono essere elaborati da terzi. (cfr. CGV SIPD del Canton Zurigo e del Canton Berna). Inoltre, è possibile stipulare obblighi di riservatezza, la pubblicità, la legge applicabile e il foro competente.

Queste disposizioni contrattuali costituiscono un primo passo per quanto concerne i provvedimenti tecnici e organizzativi. Su ulteriori misure di sicurezza è difficile fare delle affermazioni generaliste. Ogni applicazione e il relativo campo di applicazione devono essere esaminati caso per caso. L'incaricato cantonale della protezione dei dati del Canton Zurigo propone, per esempio, una guida per la sicurezza dell'informazione e altre informazioni utili per la scuola dell'obbligo (disponibili unicamente in tedesco).

Come scuola siamo interessati a un'applicazione conforme al Regolamento generale sulla protezione dei dati (RGPD). Vorremmo essere sicuri che questa copra anche la legislazione svizzera. Possiamo partire dal presupposto che se un'applicazione è conforme al diritto dell'Unione europea, rispetta anche la legge svizzera, oppure dobbiamo fare ulteriori chiarimenti giuridici?

Per prima cosa è importante sapere che le scuole pubbliche sono soggette alla legge cantonale sulla protezione dei dati, non alla Legge federale sulla protezione dei dati (LPD). Tuttavia facciamo riferimento alle disposizioni della LPD, poiché sono spesso incluse nelle norme cantonali vigenti.

La legge svizzera sulla protezione dei dati non coincide con il regolamento europeo generale sulla protezione dei dati (RGPD). La nuova legge sulla protezione dei dati spesso si spinge meno lontano, ed è meno formalistica o meno dettagliata. In alcuni casi, tuttavia, la legge svizzera sulla protezione dei dati stabilisce requisiti più severi. Se un'applicazione è conforme al RGPD, si può verificare senza troppi sforzi se l'applicazione è anche conforme alla legge federale (o cantonale) sulla protezione dei dati.

Le differenze pratiche si riscontrano nelle seguenti aree:

• Obbligo di informare: per adempiere all'obbligo di informare e nell'interesse della trasparenza, secondo la LPD, quando una scuola comunica dei dati all'estero, dovrebbe informare le persone interessate sul paese che riceve questi dati. Un'altra possibilità è che sia già la legge della scuola a prevedere la trasmissione di dati all'estero.
• Trattamento dei dati su commissione: se le aziende o le autorità federali commissionano un trattamento dei dati (ad esempio l'esternalizzazione su cloud), il fornitore di questo servizio deve essere in grado di garantire la sicurezza dei dati allo stesso modo del mandante. Le disposizioni per la commissione del trattamento dei dati della LPD sono meno estese di quelle previste dal RGPD. Di conseguenza i contratti con gli incaricati del trattamento devono essere adattati alla LPD solo a livello redazionale, ad esempio facendo riferimento agli articoli pertinenti.
• Notifica di una violazione della sicurezza dei dati: secondo la LPD una violazione della sicurezza dei dati deve essere notificata meno rapidamente e in base a criteri leggermente diversi rispetto al RGPD. Tuttavia i dati personali degni di particolare protezione sono definiti nella LPD in maniera meno specifica in confronto al RGPD. Queste differenze possono rivestire un ruolo diverso a seconda della scuola e dell'applicazione.

Nei nostri contributi «Conseguenze per le scuole della nuova legge sulla protezione dei dati» e «Conseguenze della nuova legge sulla protezione dei dati per i privati e gli organi federali» abbiamo rilevato le principali modifiche della nuova legge svizzera sulla protezione dei dati.

La gestione delle password delle alunne e degli alunni rappresenta una sfida per la nostra scuola. In particolare la procedura corretta per gestire le password «dimenticate» comporta molto lavoro amministrativo per il corpo insegnante e la segreteria scolastica. Anche le autorizzazioni di accesso del corpo insegnante e dell'amministrazione scolastica alle password di alunne e alunni non sono chiare. La nostra gestione delle password deve essere sicura e conforme alla protezione dei dati e deve facilitare la vita scolastica di tutti i giorni. Qual è il modo migliore di procedere?

È possibile adottare diversi provvedimenti tecnici e organizzativi (TOM) per garantire una gestione delle password sicura e conforme alla protezione dei dati nelle scuole. I possibili provvedimenti includono:

• Sviluppo di un concetto di ruolo e di autorizzazione: è consigliabile definire per le rispettive applicazioni quali persone hanno bisogno dell'accesso alla documentazione delle password (per es. la direzione scolastica, la segreteria, il personale informatico, il corpo insegnante).
• Redazione di una direttiva sulle responsabilità: una direttiva scritta deve indicare chiaramente le responsabilità, i diritti e i doveri delle persone autorizzate all'accesso e deve essere firmata da queste ultime.
• Limitazione di accesso: l'accesso alla documentazione delle password deve essere limitato al gruppo di persone definito nel concetto di ruolo e di autorizzazione. Ciò può essere fatto tramite la concessione dei diritti per l'archivio dei file, oppure attraverso la cifratura della documentazione delle password.
• Amministrazione delle password da parte del corpo insegnante: un'altra opzione è la gestione delle password da parte del corpo insegnante. Anche in questo caso è meglio creare un concetto di ruolo e di autorizzazione.
• Gestione delle password tramite un servizio separato: le password possono essere amministrate tramite un servizio separato, online o locale. I gestori di password offrono una buona panoramica delle password e delle opzioni di amministrazione.

Grazie all'implementazione di questi provvedimenti è possibile garantire un'amministrazione delle password sicura e conforme alla protezione dei dati nelle scuole. Inoltre, a seconda del servizio, la password può essere reimpostata in maniera indipendente. Questo dipende dalle possibilità tecniche.

L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) fornisce una Guida ai provvedimenti tecnici e organizzativi concernenti la protezione dei dati. L'incaricato della protezione dei dati del Cantone di Zurigo affronta nella guida di Microsoft 365 per il settore dell'educazione il tema del concetto di ruolo e di autorizzazione (cfr. sezione 3.4.4) e fornisce informazioni sui gestori di password (guida e informazioni disponibili in tedesco). Microsoft 365 fornisce una panoramica sulla reimpostazione della password.

Come può una scuola garantire che i dispositivi come computer e tablet vengano smaltiti correttamente e nel rispetto delle norme sulla protezione dei dati? Cos'altro bisogna considerare se si vuole cedere i dispositivi ad altri istituti?

Anche durante lo smaltimento di vecchi dispositivi, soprattutto se li si cede a terzi, bisogna garantire la protezione dei dati.

Di norma i dispositivi vengono smaltiti tramite Swico, un sistema senza fini di lucro per il ritiro di apparecchi elettrici ed elettronici dismessi provenienti dai settori informatica, elettronica di consumo, materiali da ufficio, comunicazione, industria grafica, sistemi di rilevamento e tecnologia medica.

Le scuole possono far ritirare gratuitamente i vecchi apparecchi a partire da un peso di 250 chilogrammi o gli apparecchi di grandi dimensioni con un'altezza minima di 80 centimetri. Tutti i partner contrattuali di Swico sono obbligati a proteggere i dati memorizzati sui dispositivi consegnati da letture non autorizzate. Ulteriori informazioni sono disponibili sul sito web di Swico.

Per garantire la protezione dei dati, indipendentemente dalla società di smaltimento, si consiglia di stabilire la procedura in un contratto o almeno per iscritto, idealmente prima di effettuare l'ordine. Dopo lo smaltimento è inoltre necessario richiedere un verbale corrispondente.

Il tipo di eliminazione dipende dal tipo di dispositivo e dal sistema operativo. Le istruzioni gratuite su come effettuare questa operazione sono disponibili online su portali di media informatici affidabili. L'uso di programmi di cancellazione comporta comunque in parte un rischio, dato che alcune parti della memoria potrebbero non essere cancellate. Per questo motivo si raccomanda di smontare e smaltire tutta la memoria prima di consegnare i dispositivi.

Questo non solo garantisce la protezione dei dati, ma impedisce anche il trasferimento indesiderato di licenze software personali. Anche se è il corpo insegnante a utilizzare i dispositivi per scopi professionali, è compito della scuola assicurarsi che i dati sul dispositivo vengano cancellati in sicurezza.

Se i dispositivi devono essere ceduti o rivenduti per motivi di sostenibilità, è consigliabile collaborare con un'azienda specializzata nella rivendita di dispositivi informatici per garantire che i dispositivi vengano cancellati in modo corretto e ceduti nel rispetto delle norme sulla protezione dei dati.

Il 1. settembre 2023, con l'introduzione della nLPD, cosa cambierà per la mia scuola? Devo occuparmene io come direttrice/direttore della scuola oppure interviene un altro organo?

Il 1. settembre 2023 è entrata in vigore la nuova legge federale sulla protezione dei dati (nLPD). La legge si applica alle autorità federali e alle persone fisiche, ma non agli organi cantonali e comunali, come nel caso delle scuole pubbliche. Per queste ultime, in primo luogo, si applica la legge cantonale sulla protezione dei dati.

Si consiglia di verificare a livello comunale se una scuola deve adattare qualcosa (ad esempio la dichiarazione dei dati del sito)  (si veda anche il nostro articolo «Conseguenze per le scuole della nuova legge sulla protezione dei dati»).

Come scuola privata, quali sono i principali cambiamenti di cui dobbiamo tener conto in base alla nuova legge sulla protezione dei dati?

Il 1. settembre 2023 è entrata in vigore la nuova legge federale sulla protezione dei dati. Questa si applica solo agli organi federali e ai privati (comprese le aziende). Le seguenti modifiche si applicano essenzialmente alle autorità federali e ai privati (si veda anche il nostro articolo «Conseguenze della nuova legge sulla protezione dei dati per i privati e gli organi federali»):

• Estensione dell'obbligo d'informazione: in particolare è necessario redigere una dichiarazione di protezione dei dati, che specifichi le finalità del trattamento e la persona responsabile, con i relativi dati di contatto.
• È pure previsto l'obbligo di tenere un registro del trattamento dei dati (con alcune eccezioni).
• Le sanzioni sono state aumentate, con multe fino a CHF 250'000.
• In caso di violazione della sicurezza dei dati, che possa comportare un rischio elevato per la personalità o i diritti fondamentali dell'interessato, la scuola privata (ad esempio, tramite la direzione della scuola o la persona responsabile) deve informare il prima possibile l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

Come insegnante, vorrei utilizzare l'intelligenza artificiale (AI) per valutare i lavori dei miei allievi. A cosa devo fare attenzione dal punto di vista legale?

Se, come insegnante, intende utilizzare l'AI per valutare i compiti, deve rispettare non solo le norme sulla protezione dei dati, ma anche quelle riguardanti il diritto d'autore. Questo significa che, ad esempio, non è consentito inserire nella ChatGPT dati provenienti dalle produzioni delle studentesse e degli studenti. Inoltre, i sistemi dell'intelligenza artificiale non possono essere utilizzati come unico strumento di valutazione. Come insegnante, deve pure verificare i risultati in base alla griglia di valutazione.

Il Digital Learning Hub del Canton Zurigo fornisce delle informazioni complete sull'AI/ChatGPT. In particolare ha redatto delle guide e delle raccomandazioni (tedesco) per le scuole, gli allievi e il corpo insegnante riguardanti l'utilizzo dell'AI nei lavori di approfondimento e finali.

Ulteriori informazioni nel dossier «L'IA nella formazione» (disponibile in tedesco e francese)