Come scuola vorremmo impiegare una nuova applicazione digitale di apprendimento per le lezioni di matematica. Il fornitore richiede i seguenti dati personali per la creazione dei conti utente:

  • Nome e cognome

  • Indirizzo e-mail

  • Numero di telefono cellulare (autenticazione a due fattori)

  • Nome utente

  • Scuola

  • Età

  • Data di nascita

  • Sesso

Siamo autorizzati a trasmettere questi dati al fornitore?

Le direzioni scolastiche hanno la responsabilità della conformità alla protezione dei dati delle applicazioni di apprendimento che vengono utilizzate. Quando si decide se è permesso o meno trasmettere dati personali ai fornitori, bisogna prendere in considerazione numerosi aspetti relativi alla legge sulla protezione dei dati.

I dati personali possono essere trattati unicamente nell’ambito delle finalità della scuola (come stabilite dalla legge della scuola dell'obbligo). Il trattamento deve essere conforme ai principi della legge cantonale in vigore sulla protezione dei dati. In linea di massima si applica il principio di destinazione vincolata. Ad esempio, i dati non possono essere trasmessi a servizi online privati. L'età, la data di nascita e il sesso spesso non sono necessari per l'esecuzione dell'ordine da parte del fornitore e per questo motivo possono anche non essere trasmessi.

Per la trasmissione di dati a terzi vale come principio fondamentale quello della proporzionalità. Questo significa che possono essere trasmesse solamente le informazioni necessarie per l'adempimento del rispettivo compito.

A causa delle diverse condizioni, nella comunicazione delle informazioni scolastiche bisogna distinguere tra:

  • la trasmissione interna,
  • la comunicazione esterna,
  • il tipo di informazione,
  • l'organo di divulgazione,
  • il destinatario dei dati.

La trasmissione di dati personali a fornitori è una comunicazione esterna. Le informazioni a terzi in un contesto di diritto pubblico possono essere trasmesse solo in presenza di un consenso esplicito dei genitori o per l'adempimento di un obbligo legale (nei confronti della polizia, dell'ufficio della migrazione, dei servizi di sostegno pedagogico, ecc.).

Se una direzione scolastica decide di utilizzare un'applicazione di apprendimento, le allieve e gli allievi o rispettivamente i loro tutori legali devono essere informati adeguatamente sull'applicazione in questione. Sono incluse anche le informazioni sulle possibili impostazioni della protezione dei dati.

Edulog

Su mandato dei cantoni, Edulog offre una soluzione semplice, sicura e mobile. Edulog semplifica e standardizza l’accesso ai servizi online durante la scolarizzazione e la formazione alle allieve e agli allievi, alle studentesse e agli studenti, e al personale delle istituzioni scolastiche.

Edulog non memorizza alcuna informazione. Queste ultime rimangono sotto il controllo dei fornitori d'identità (cantone, comune o scuola). Quando si esegue il login, Edulog trasmette solamente i dati essenziali necessari per l'autorizzazione al servizio. Edulog determina in un contratto quali informazioni sono trasmesse a un servizio. Le e gli utenti hanno a disposizione un pannello di controllo. Nel pannello di controllo è possibile verificare in qualsiasi momento quali informazioni Edulog ha trasmesso a quale servizio durante il processo di login. Inoltre Edulog mette in pratica tutti i provvedimenti tecnici e organizzativi concernenti la protezione dei dati (TOM). Edulog analizza costantemente a quali nuovi rischi sono potenzialmente esposti i dati e ne migliora la protezione.

Maggiori informazioni nel dossier «Scuola conforme alla protezione dei dati» (disponibile in tedesco e francese)

Negli ultimi mesi la segreteria della nostra scuola ha ricevuto un numero crescente di richieste da parte di genitori e tutori legali che desiderano sapere quali sono i dati in possesso della scuola sulle loro figlie e sui loro figli, e come questi dati sono utilizzati o eventualmente anche trasmessi. Le richieste concernono soprattutto il passaggio al livello secondario I.
Vorremmo sapere se e in quale forma dobbiamo rispondere a tali richieste. Queste domande rappresentano per noi un notevole dispendio di tempo e desideriamo ricevere raccomandazioni concrete sulle azioni da intraprendere. 

La sua domanda riguarda il diritto d'accesso, che fa parte dei diritti della persona interessata (art. 25 e seguenti della Legge federale sulla protezione dei dati o le disposizioni di legge cantonali corrispondenti sulla protezione dei dati). Esso fornisce alla persona interessata gli strumenti che necessita affinché possa far valere i propri diritti secondo la Legge sulla protezione dei dai nei confronti del titolare del trattamento. Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento. Il diritto d'accesso garantisce un trattamento trasparente dei dati. Per i minorenni i diritti della persona interessata sono conferiti ai rispettivi tutori legali. Se in una scuola i diritti della persona interessata sono regolarmente rivendicati, vale la pena implementare dei processi interni e dei modelli di risposta. Ciò presuppone che la scuola sia a conoscenza di tutti i trattamenti di dati e quindi sappia quali dati personali vengono trattati. A questo scopo un registro dei trattamenti oppure un sistema di gestione della protezione dei dati (DSMS) possono essere delle valide soluzioni.

Il registro delle attività di trattamento deve includere nello specifico:

  1. l’identità del titolare del trattamento
  2. lo scopo del trattamento
  3. la durata di conservazione
  4. la descrizione delle misure tecniche e organizzative per la sicurezza dei dati (TOM), per le quali è meglio fare riferimento alle linee guida interne sulla sicurezza informatica.

Il diritto all'accesso può essere esercitato in qualsiasi momento e in linea di principio senza alcuna motivazione. Di norma la domanda d'accesso deve essere presentata per iscritto. Le informazioni devono essere fornite gratuitamente entro 30 giorni.

Il Cantone di San Gallo fornisce un modello di risposta alla domanda d'accesso (in tedesco). Ulteriori informazioni sul diritto d'accesso sono disponibili in tedesco nel lessico dell'Incaricato della protezione dei dati del Cantone Zurigo, sul sito web dell'Incaricato federale della protezione dei dati e della trasparenza e nelle linee guida sulla protezione dei dati nelle scuole del Cantone di Basilea Campagna (disponibili in tedesco).

Una scuola valuta la possibilità di rendere disponibili informazioni come gli elenchi delle classi, gli orari e i contatti del corpo insegnante su un portale destinato ai genitori. È compatibile dal punto di vista della protezione dei dati e a cosa bisogna prestare attenzione?

La domanda se e in che misura informazioni come gli elenchi delle classi debbano essere pubblicate e rese disponibili ai genitori deve essere considerata in modo critico. Qui di seguito sono elencati i punti più importanti da osservare per garantire un trattamento conforme alla protezione dei dati.

Ottenere il consenso: bisogna ottenere in anticipo il consenso di tutte le persone coinvolte e comunicare nella maniera più chiara e trasparente possibile chi ha l'accesso completo al portale. Il consenso deve essere aggiornato regolarmente e documentato con precisione.

Limitazione della pubblicazione: se viene effettuata una pubblicazione sul portale della scuola (anche se è necessario un login), per quanto possibile questa dovrebbe essere limitata al gruppo della classe.

Destinazione vincolata e minimizzazione dei dati: laddove non è possibile evitare una pubblicazione accessibile a tutte le classi, è importante garantire il rispetto della destinazione vincolata e della proporzionalità. Questo significa che la scuola deve informare chiaramente qual è lo scopo per cui necessita i dati. I dati personali possono essere trattati esclusivamente per lo scopo originariamente preposto e per il periodo necessario a realizzarlo. In seguito devono essere cancellati o resi in forma anonima.

Trasparenza: le persone coinvolte devono sapere come, dove e perché i propri dati sono trattati. Questo presuppone che tutte le informazioni a riguardo del trattamento dei dati personali sono chiare, accessibili, comprensibili e intelligibili.

Consensi diversi per scopi diversi: se i dati personali vengono raccolti per scopi diversi, per esempio per i servizi scolastici o le escursioni, è necessario un consenso separato per ogni scopo. Di norma, i consensi generalizzati non soddisfano i requisiti di legge.
 

Un organizzatore di campi estivi desidera ottenere dalla scuola i nomi e gli indirizzi di posta elettronica o postale degli allievi, per poter inviare loro delle informazioni e degli opuscoli sul campo estivo di quest'anno. In qualità di segretaria/o della scuola, può fornire questi dati?

Per la sua organizzazione, la scuola ha il diritto di raccogliere e di trattare i dati personali, quali i nomi e gli indirizzi degli allievi, conformemente alla legge sulla scuola dell'obbligo cantonale. Tuttavia, non vi è un'autorizzazione a utilizzare questi dati per altri scopi e a trasmetterli a terzi. La pubblicità per un campo estivo extrascolastico non rientra negli scopi della scuola previsti dalla legge della scuola dell'obbligo. È possibile, ad esempio, consentire al responsabile del campo estivo di affiggere all'albo della scuola una locandina del campo estivo o di mettere a disposizione gli opuscoli per chi lo desidera. È pure possibile che il corpo insegnante divulghi (di sua spontanea volontà) le informazioni e gli opuscoli, se la proposta è compatibile con gli scopi della scuola.

Per quanto concerne il trattamento dei dati personali, le scuole pubbliche sottostanno alla legge cantonale sulla protezione dei dati.

Altre informazioni dei Cantoni (disponibile in tedesco e francese)

Delle studentesse e degli studenti hanno condiviso sui social informazioni personali che mi riguardano. Cosa posso fare?

Innanzitutto, è necessario sapere di che tipo di informazioni si tratta: informazioni false, informazioni di libero accesso, insulti, video o altro? Come prima cosa, è raccomandabile di chiedere agli allievi coinvolti di eliminare il contenuto.

Se, in qualità di insegnante, desidera che, un testo o una foto che la concernono, siano rimossi dai social, perché violano i suoi diritti personali, può segnalarlo alla piattaforma interessata. Il provider esaminerà, secondo i suoi standard, la segnalazione e adotterà le misure appropriate.

Se la pubblicazione viola i diritti della persona (ad esempio con rappresentazioni negative o inesatte), si applica la tutela dei diritti della persona ai sensi dell'articolo 28 del Codice Civile (CC). In tal caso, è quindi possibile intentare presso il tribunale civile un'azione per la cessazione o la rimozione. Tuttavia, i procedimenti civili richiedono molte prove e hanno costi elevati.

In alcune circostanze, potrebbe anche trattarsi di una lesione dell'onore ai sensi dell'articolo 173 del Codice penale (CP) (diffamazione), ovvero, se lei, in qualità di insegnante, appare come una persona ignominiosa a causa del post sui social. In tal caso, dovrà presentare, entro tre mesi, una denuncia penale. Tuttavia, non tutte le affermazioni, che vengono percepite come diffamatorie, costituiscono un reato.

Domande? Contattateci!

Avete domande sull'utilizzo e la protezione dei dati che non trovano risposta qui? Inviateci la vostra richiesta.