Canale Pubblico / Privacy e istruzione

un documento in cui potete trovare le risposte dello studio legale Reggiani Consulting alle domante emerse durante l'evento Didattica a distanza Videoconferenze e privacy il 25/4/2020

Condividi sui social Networks

Condividi Link

Use permanent link to share in social media

Condividi con un amico

Cortesemente login per inviare questo document per email !

Inserisci nel tuo sito web

Seleziona pagina dalla quale partire

1. powered by : Didattica a distanza, videoconferenze e Privacy. Le domande della chat. Risponde: Studio di consulenza legale specializzato nella protezione di dati personali

4. Domanda Risposta Lucia B - Domanda per il relatore: il Privacy Shield - accordo firmato fra l’UE e gli USA - è equivalente al GDPR, per la protezione dei dati dei minori? Il Privacy Shield è il frutto di un accordo bilaterale UE-USA. Le aziende statunitensi registrate al Privacy Shield garanti - scono un trattamento dei dati conforme al GDPR. Può trova - re maggiori approfondimenti sul Privacy Shield sulla pagina dell’Autorità Garante al seguente link https://www.garanteprivacy.it/home/docweb/-/docweb-di - splay/docweb/5306161 Albano-ZorinOS: - LEGALE_REGGIANI_CON - SULTING, nel caso il DPO/RDP abbia mandato dal DS, e anche allo stesso tempo, amministratore di sistema della rete, non vi è conflitto d’interes - se? Ovvero ha due contratti distinti ma allo stesso tempo dovrebbe dire a se stesso quello che deve fare Siamo assolutamente d’accordo che l’IT manager e il DPO non siano figure compatibili se rivestite dalla stessa perso - na. Il conflitto di interessi sarebbe evidente. Ad oggi esiste ancora troppa poca giurisprudenza per poter sostenere che “in Italia si può / non si può”: ciò significa che si va ancora ad interpretazione. Qualora nel caso specifico, ci fosse una ispezione, il DS sarà tenuto a dimostrare l’assenza di conflit - to di interesse. A nostro parere, un lavoro arduo... STAFF_supporto_Alain-PNlug: - è plausibile che se esco (mi disiscrivo) da Whatsapp i con - tatti mi vedano ancora e pensino semplice - mente che non ho ancora letto il messaggio? Ergo: whatsapp non rimuove il mio account. È le - gale? @Alain https://faq.whatsapp.com/en/android/21119703/?lan - g=it Citando le policy di Whatsapp “le informazioni che al - tri utenti hanno su di te, come la copia dei messag - gi che gli avevi inviato, non subiranno modifiche copie di altro materiale, come ad esempio i file di log, potrebbero rimanere nel nostro database, tut - tavia non sono associate a identificatori personali potremmo inoltre conservare le tue informazioni per que - stioni legali, violazioni dei termini o iniziative di prevenzione di azioni dannose” STAFF_supporto_Marco_M: - @Reggiani_Consul - ting: le associazioni tipo i LUG sono sottoposte al GDPR? Assolutamente si . Il GDPR si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare o da un responsabile del trattamento. L’as - sociazione ha un oggetto, un atto costituivo e uno Statuto, pertanto non è esclusa dall’ambito di applicazione. NOTE da LEGALE_REGGIANI_CONSULTING Con l’entrata in vigore del GDPR esercitare il diritto alla cancellazione è diventato molto più semplice su tutto il territorio europeo. Ogni interessato può richiedere anche via email la cancellazione dei dati al titolare. Per maggiori approfondimenti suggerisco il seguente link: https://www.garanteprivacy.it/home/diritti/cosa-e-il-diritto-alla-protezione-dei-dati-personali Le politiche sulle foto ai minori (relativamente al pixelaggio ad esempio) possono variare in base al contesto e non è possi - bile fornire una risposta univoca senza un caso specifico. In ogni caso, confermiamo la necessità del consenso del genitore (o di chi ne fa le veci) previsto dalla normativa. La Corte di Cassazione inoltre ha motivato in varie sentenze la necessità del consenso di entrambi i genitori

2. Domanda Risposta susy - quello che lasciamo sul web siamo noi, non dovremmo avere timore della nostra storia... @Susy: possono verificarsi situazioni tali che richiedano la cancellazione delle informazioni precedentemente diffu - se online. È il caso ad esempio dell’imprenditore “X” noto a livello locale che è stato oggetto di indagini per frode. Es - sendo persona conosciuta, i quotidiani online hanno diffuso la notizia. Terminato il processo con l’assoluzione, quelle in - formazioni online continuavano a permanere tra i principali risultati di ricerca sui motori di ricerca, causando un danno d’immagine molto grande alla sua impresa. Il diritto alla can - cellazione dei dati (compresi quelli web) è fortunatamente un istituto presente nel nostro ordinamento nel Codice Pri - vacy e confermato nel GDPR. oDiegoM - Il diritto alla cancellazione è selettivo? E si riesce ad ottenerlo? @oDIego: Con l’entrata in vigore del GDPR esercitare il diritto alla cancellazione è diventato molto più semplice su tutto il territorio europeo. Ogni interessato può richie - dere anche via email la cancellazione dei dati al titolare. Per maggiori approfondimenti suggerisco il seguente link: https://www.garanteprivacy.it/home/diritti/cosa-e-il-diritto-al - la-protezione-dei-dati-personali Relatore Pietro Suffritti : - il diritto all’oblio come definito dall’articolo 17 del GDPR è una accetta abbastanza grezza, non un bisturi. questo non to - glie che si possano ottenere scelte selettive, ma intanto non è un diritto assoluto (non posso dire alla polizia “dimenticati di me” mentre sta indagan - do su di me), ed inoltre quando lo applico rischio che una azienda presso cui lo applico si debba “dimenticare completamente di me” se non per poche cose. calibrare gli effetti di una richiesta di oblio non è assolutamente facile nè scontato nè Verissimo Pietro. Per il Titolare gestire le richieste degli inte - ressati è complesso. All’inverso, per l’interessato è semplice farne richiesta. susy: per legge non ci sono delle regole per quan - to riguarda la pubblicazione di foto di un minore? Mi risulta ad esempio che ci vuole l’approvazione di entrambi i genitori e he la foto d ovrebbe essere sfocata...non so se sbaglio. @susy: Le politiche sulle foto ai minori (relativamente al pixelaggio ad esempio) possono variare in base al conte - sto e non è possibile fornire una risposta univoca senza un caso specifico. In ogni caso, confermiamo la necessità del consenso del genitore (o di chi ne fa le veci) previsto dalla normativa. La Corte di Cassazione inoltre ha motivato in va - rie sentenze la necessità del consenso di entrambi i genitori. Lucia B: - Molte scuole pagano consulenti legali proprio per sentirsi “sicure”, anche se non hanno nulla di self-hosted @Lucia B - la scelta della piattaforma di DAD deve tenere conto di molte variabili, inclusa la sicurezza, la definizione delle responsabilità e le logiche di conformità normativa. Pri - ma di pagare ulteriori fornitori, il suggerimento è di coinvol - gere sempre il responsabile della protezione dei dati (DPO) al fine di valutare analiticamente i rischi di ogni strada per - corribile. Lucia B: - Grazie per la risposta. Credo che da noi la figura del responsabile coincida con la DS @Lucia B - Purtroppo si tratterebbe di un errore. La figura del Dirigente Scolastico, a nostro parere, non può ricoprire tale ruolo. LA figura del titolare non può sovrapporsi a quella del DPO, per l’evidente conflitto di interessi

3. Domanda Risposta Albano-ZorinOS - un esempio è di una scuola che ha acquistato il servizio di zoom.Il DPO aveva detto che rispettava tutti canoni della privacy e sicurezza. Ma su cosa si basa la sua riflessione? su quello che la ditta gli fornisce? autodichiarazione? E se non mi sba - glio in capo alla privacy c’è sempre il DS e on il DPO. @Albano-ZorinOS – La decisione presa dal dirigente scola - stico per l’acquisto di un software che comporta il trattamen - to dei dati personali degli studenti non può non aver tenuto conto del parere del DPO. La soluzione ottimale sarebbe basare la decisione su una valutazione d’impatto oggetto di presentazione. In alternativa bisognerà tenere conto del - lo stato dell’arte, dei costi di attuazione, della finalità e del rischio. susy - il consenso deve essere relativo allo strumento specifico usato? Le scuole e le università che utilizzano sistemi di didatti - ca a distanza non devono richiedere il consenso al tratta - mento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei. Per maggiori info suggerisco il seguente link https://www.garanteprivacy.it/home/docweb/-/ docweb-display/docweb/9302778 Susy - una domanda: se la scuola non adotta uf - ficialmente nessuna piattaforma sono i singoli do - centi a dover chiedere ai genitori l’autorizzazione per l’uso delle piattaforme che sceglieranno? @susy [se la scuola non adotta alcuna piattaforma, sarà il docente a dover chiedere ai genitori l’autorizzazione per l’u - so delle piattaforme che sceglieranno?] è una attività che sta accadendo, ma è lontana dall’essere conforme. Le scelte dettate dall’emergenza e dalla necessaria rapidità dovranno essere rendicontate. Nel caso sarebbe opportuno l’imme - diato coinvolgimento del DPO e elaborare la strategia più opportuna al caso specifico Sandra - non so se la mia domanda è arrivata, la ripropongo: un docente può chiedere al genitore di registrare una prestazione di un alunno e farsela mandare su whatsapp? @Sandra - Il docente può richiedere autorizzazione al geni - tore: le modalità di invio, e di conservazione della registra - zione devono essere concordate all’interno dell’Istituto. Albano-ZorinOS - Le istituzioni come fanno a veri - ficare che i dati vengano trattati in modo idoneo? @Albano-ZorinOS [sulla verifica del corretto trattamento del fornitore del software] – il contratto tra Titolare e fornitore può comprendere delle “clausole di Audit”, affinché il titola - re esegua delle verifiche sullo svolgimento delle attività del fornitore. @susy - la soluzione migliore potrebbe essere quella allora di adottare risorse già integrate nel Registro Elettronico per il quale i genitori hanno già fornito tutti i consensi? @susy la minimizzazione dei dati è istituto cardine del GDPR. Ridurre al minimo i software utilizzati contribuisce ad evitare la duplicazione dei dati, pertanto, se uno strumen - to già in dotazione può già rispondere alle esigenze della scuola, è assolutamente preferibile rispetto ad altra soluzio - ne con altro software. Lucia B - @Reggiani: i docenti hanno account GSuite, gli studenti no. Io posso costruire un test in GSuite e inviare il link per farlo svolgere, ma gli studenti possono collegarsi con mail privata e svolgerlo? @Lucia B – Essendo difficilmente utilizzabili tecniche di pseudonimizzazione, suggerire di far richiedere al genitore un indirizzo email cui inviare materiale scolastico tra cui i test. In questo caso bisogna sempre tenere in considerazio - ne la possibilità che anche un solo studente non disponga di email, o per qualsivoglia ragione non voglia fornirlo. Ma dietro autorizzazione del genitore, non si configurereb - be alcun illecito.