Il Garante della Privacy ha fornito il parere al Ministero dell’istruzione e del merito sullo schema di decreto in corso di pubblicazione concernente “la disciplina sul trattamento dei Dati personali effettuato dal Ministero dell’Istruzione e del Merito e dalle Istituzioni Scolastiche ed Educative Statali nell’ambito della Piattaforma famiglie e studenti”.

Da mercoledì 11 ottobre è online Unica, la nuova piattaforma del Ministero dell'Istruzione e del Merito ideata per offrire, per la prima volta, un solo punto di accesso ai servizi digitali dedicati alle famiglie e agli studenti e per agevolare le comunicazioni scuola – famiglia.

Descriviamo, in sintesi, il parere positivo del Garante sullo schema di decreto ministeriale (ancora peraltro non pubblicato).

Il Ministero, con le note inviate il 10 agosto 2023 ha sottoposto al parere del Garante, ai sensi dell’art. 21, comma 4-quinquies, del decreto legge 22 giugno 2023, n. 75 (convertito, con modificazioni, dalla legge 10 agosto 2023, n. 112), lo schema di decreto, corredato di un allegato tecnico e delle valutazioni d’impatto sulla protezione dei dati, concernente “la disciplina sul trattamento dei Dati personali effettuato dal Ministero dell’Istruzione e del Merito e dalle Istituzioni Scolastiche ed Educative Statali nell’ambito della Piattaforma famiglie e studenti”. Tale operazione è stata prevista come necessaria al fine di garantire la massima sicurezza nel trattamento dei Dati personali attraverso sistemi informatizzati.

È stato lo stesso art. 21, comma 4-quinquies a prevedere che con i successivi decreti attuativi avrebbero dovuto essere individuati i servizi digitali compresi nella piattaforma di cui al comma 4-ter, gli standard tecnologici e i criteri di sicurezza, di accessibilità, di disponibilità e di interoperabilità, i limiti e le condizioni di accesso volti ad assicurare il corretto, lecito e trasparente trattamento dei Dati, le garanzie per i diritti e le libertà degli interessati, i tempi di conservazione dei Dati e le misure di sicurezza di cui al regolamento (UE) 2016/679.

Il Garante ha espresso parere favorevole sullo schema che ha consentito al MIM di emanare il DM n.192 del 10/10/2023 con il quale il Ministero e le istituzioni scolastiche ed educative statali “utilizzano i Dati presenti nella piattaforma limitatamente ai trattamenti strettamente connessi agli scopi di quest'ultima e per il perseguimento delle rispettive finalità istituzionali”, e l’accesso alla piattaforma è consentito con le modalità di cui all’art. 64, comma 2-quater, del decreto legislativo 7 marzo 2005, n. 82 (comma 4-ter).

La piattaforma UNICA fornisce:

  • nuovi servizi per l’orientamento come previsto dalle Linee guida per l’orientamento, adottate con DM n. 328 del 22 dicembre 2022;
  • un unico punto di accesso a tutti i servizi informativi e dispositivi dedicati agli utenti, negli ambiti di orientamento, offerta formativa e iscrizioni, ottimizzando, al contempo, l’accesso e la fruizione dei servizi esistenti;
  • una facilitazione all’integrazione e alla cooperazione con gli stakeholder della scuola.

A questo proposito gli utenti possono fruire di contenuti e servizi personalizzati dopo aver attivato la procedura di identificazione e autenticazione informatica.

La Piattaforma rappresenta “un canale unico di accesso al patrimonio informativo detenuto dal Ministero e dalle Istituzioni Scolastiche, interoperabile con i relativi sistemi informativi”, “interconnessa con l’ANS di cui al Decreto Legislativo del 15 aprile 2005, n. 76, e al Decreto Ministeriale del 25 settembre 2017, n. 692, nonché con l’ANIST, istituita dall'articolo 62-quater del CAD“.

Tale Piattaforma è costituita da un’area pubblica e una privata, quest’ultima accessibile alle seguenti categorie di utenti (art. 4):

  • “studente di età superiore a dieci anni, frequentante la scuola secondaria di primo e di secondo grado;
  • genitore/esercente la responsabilità genitoriale;
  • docente;
  • docente tutor;
  • dirigente scolastico/coordinatore;
  • personale amministrativo di segreteria scolastica;
  • personale amministrativo della Direzione competente per materia del Ministero dell’Istruzione e del Merito”.

L’art. 6 dello schema di decreto, in relazione ai soggetti coinvolti nel trattamento, prevede che:

- il Ministero e le istituzioni scolastiche trattino i Dati presenti sulla Piattaforma “limitatamente ai trattamenti strettamente connessi agli scopi di quest’ultima e per il perseguimento delle rispettive finalità istituzionali” (comma 1);

- nello specifico, il Ministero assume la veste di titolare del trattamento per il perseguimento delle finalità di (commi 2-5):

a) gestione e manutenzione tecnica della Piattaforma;

b) gestione degli accessi alla Piattaforma;

c) erogazione del servizio di assistenza tecnica […];

d) ripartizione dei contributi economici fra le Istituzioni Scolastiche nell’ambito del Servizio Digitale Gite Scolastiche. A tal fine, il Ministero trasmette all’Istituto Nazionale della Previdenza Sociale (INPS), per ogni Istituzione Scolastica, l’elenco dei codici fiscali degli studenti frequentanti, previa cifratura dei codici meccanografici delle relative Istituzioni associate. L’INPS, a sua volta, trasmette al Ministero Dati aggregati;

e) monitoraggio e governo generale della Piattaforma, anche al fine di verificare l’efficacia dei Servizi messi a disposizione di famiglie e studenti;

f) supporto alle proprie decisioni nel settore dell’istruzione scolastica, promozione dell’accelerazione del processo di digitalizzazione delle Istituzioni Scolastiche, nonché miglioramento della qualità dei Servizi erogati nel sistema istruzione”.

In questa attività la scuola non ricopre alcun ruolo, poiché i dati vengono non vengono trattati dalla stessa ma dal Ministero e dai Responsabili esterni individuati in relazione alle operazioni necessarie.

Nell’ambito delle finalità di cui alle lett. a), b), c) e d), il Ministero tratta Dati personali dei singoli utenti “solo ove strettamente necessario, nel rispetto del principio di minimizzazione di cui all’articolo 5 del GDPR”; nell’ambito delle finalità di cui alle lett. e) e f), il Ministero “visualizza esclusivamente Dati aggregati […], organizzati in report e aventi ad oggetto esclusivamente metriche e indicatori relativi a profili tecnici e organizzativi connessi all’utilizzo della Piattaforma”. Ove strettamente necessario, il Ministero, “nei casi previsti dalla legge, è inoltre autorizzato ad accedere ai Dati Personali trattati nell'ambito della Piattaforma, al fine di: soddisfare richieste ricevute dalle competenti Autorità giudiziarie e forze di polizia e di effettuare segnalazioni nei confronti delle competenti Autorità”;

- le istituzioni scolastiche assumono la veste di titolari dei trattamenti “realizzati ai fini dell’erogazione dei singoli Servizi Digitali E-Portfolio, Docente Tutor e Gite Scolastiche, ciascuna rispetto alla propria utenza di riferimento”.

In tale ambito, il Ministero agisce quale Responsabile del Trattamento, ai sensi dell’articolo 28 del GDPR, nell’attività di gestione dell’infrastruttura attraverso la quale le Istituzioni Scolastiche erogano i Servizi medesimi” (comma 6), sempre secondo le modalità fissate in un accordo. L’attuale sito web di Unica riporta nell’informativa sul trattamento dei Dati nell’ambito dei Servizi Digitali E-Portfolio e Docente Tutor le modalità di trattamento Dati da parte delle istituzioni scolastiche. L’art. 28 del Regolamento 2016/679prevede che la relazione tra titolare e responsabile sia regolata da un accordo. D’altra parte, dobbiamo ricordare come l’accordo, o atto equivalente, può essere predisposto dal Responsabile qualora si tratta di particolari soggetti collocati in una posizione predominante es. (fornitori di piattaforme quali Google). Nel caso in esame è presente sul sito di Unica la citazione del Ministero quale Responsabile del trattamento nell’informativa sulla Privacy, ma ciò non basta. Il Ministero proprio in data 5 dicembre 2023 ha chiarito che l’atto de quo è rinvenibile sulla piattaforma (allegato A alla nota n. 0003594 del 5/12/2023). Di tale atto va presa visione e nel contempo va sottoscritta la privacy policy di cui all’Allegato B della medesima nota;

- infine, SOGEI S.p.A., “in quanto affidataria dei servizi infrastrutturali, di gestione e sviluppo applicativo del sistema informativo del Ministero”, agisce, in particolare, “ai sensi dell’articolo 28 del GDPR, quale […] Responsabile del Trattamento rispetto alle finalità di cui al comma 2” (comma 7). In questo caso è il Ministero il titolare di riferimento;

- l’accesso ai Dati personali è consentito ai soggetti autorizzati e appositamente istruiti da titolari e responsabili del trattamento, ciascuno limitatamente alle proprie attribuzioni (comma 8). Bisogna, pertanto, integrare le autorizzazioni e le istruzioni fornite al personale.

Nel disciplinare le misure a garanzia dei diritti e delle libertà degli interessati, il decreto prevede che il Ministero implementi garanzie e misure di sicurezza appropriate e specifiche, tenendo conto in special modo dei rischi presentati dal trattamento; tali misure saranno periodicamente aggiornate e verificate anche a fronte dello stato dell’arte tecnologico. Inoltre, posto che la Piattaforma, con riferimento ai singoli servizi, “acquisisce i Dati di volta in volta indispensabili alla fruizione”, viene specificato che nel suo ambito “sono trattati i soli Dati comuni degli Utenti e non è richiesto il conferimento di Dati riconducibili alle categorie particolari di cui agli articoli 9 e 10 del GDPR.

L'eventuale conferimento di tali Dati, da parte degli Utenti, può avvenire esclusivamente su base volontaria, all'interno dei campi di testo a compilazione libera specificamente indicati nell'Allegato Tecnico”, e che i titolari del trattamento “forniscono informative agli interessati, in conformità agli articoli 13 e 14 del GDPR, circa il Trattamento dei Dati Personali effettuato nell’ambito della Piattaforma e dei singoli Servizi Digitali” (art. 9).

Pertanto, oltre alle informative del Ministero, già presenti su Unica, saranno le istituzioni scolastiche a richiamare nell’informativa generale, o in apposita informativa, le indicazioni sulle modalità e finalità di trattamento dei Datiparticolari inseriti in Unica nei casi in cui le stesse rivestono il ruolo di Titolare del trattamento.

È inoltre previsto che i Dati personali caricati direttamente dagli Utenti siano conservati “per il periodo di tempo strettamente necessario a perseguire gli scopi per i quali sono stati raccolti e trattati, […] secondo le tempistiche e le modalità indicate all’interno dell’Allegato” (art. 10).

Lo schema di decreto è corredato da un allegato tecnico che descrive, in relazione ai singoli servizi digitali erogati dalla Piattaforma (allo stato, “E-Portfolio”, “Docente Tutor” e “Gite Scolastiche”): le tipologie di Dati trattati, anche con riferimento alle sezioni di cui sono composti; le fonti di provenienza di tali Dati e i relativi flussi; gli utenti autorizzati ad accedere alla Piattaforma per ciascuna tipologia di Dati indicati; le modalità di gestione; i tempi di conservazione, nella Piattaforma, dei Dati caricati dagli utenti, considerato che quelli presenti in banche Dati preesistenti e interconnessi con la Piattaforma non sono oggetto di conservazione nell’ambito della medesima. L’allegato prevede, infine, misure di sicurezza tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

Il Garante ha osservato come tale Piattaforma presenta rischi elevati, in quanto comporta il trattamento di Dati personali su larga scala (sia in termini di numerosità degli interessati che di estensione geografica), riferiti a interessati vulnerabili (in particolare studenti prevalentemente minori, ma anche lavoratori nel contesto scolastico), anche potenzialmente appartenenti a categorie particolari di Dati personali.

Ciò rende, pertanto, necessaria l’adozione di adeguate misure a garanzia degli interessati, che devono essere individuate attraverso la valutazione d’impatto ai sensi dell’art. 35 del Regolamento – che il Ministero ha trasmesso all’Autorità nell’ambito della richiesta di parere in esame.

Il Garante, dunque, ha espresso parere favorevole sullo schema di decreto del Ministro dell’istruzione e del merito concernente “la disciplina sul trattamento dei Dati personali effettuato dal Ministero dell’Istruzione e del Merito e dalle Istituzioni Scolastiche ed Educative Statali nell’ambito della Piattaforma famiglie e studenti”, a condizione che esso sia integrato con l’indicazione dei tipi di Dati che possono essere trattati, delle operazioni eseguibili e delle misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato, come stabilito dall’art. 2-sexies del Codice, da individuarsi sulla base di un’adeguata valutazione dei rischi elevati che presenta il trattamento.

Nelle informative pubblicate su Unica vengono date tutte queste informazioni, anche se, come in ogni trattamento di Dati personali, occorre verificarne sempre la completezza ed eventualmente integrarle.

Anna Armone

http://revistarapi.imap.curitiba.pr.gov.br/akun-pro-jepang/https://www.remap.ugto.mx/pages/slot-luar-negeri-winrate-tertinggi/https://journals.ecotas.org/akun-pro-kamboja/https://journal.mdpip.com/starlight-princess-1000/https://journal.uhe.edu.pk/sweet-bonanza-xmas/https://journals.zu.edu.ly/gates-of-gatot-kaca/https://mdpip.com/akun-pro-kamboja/https://sayangibu.sch.id/bonanza-gold/https://ppdb.sayangibu.sch.id/lucky-neko/http://balazing-wild-megaways.solarbotics.net/http://rtpliveslot.solarbotics.net/http://mahjongpanda.solarbotics.net/http://gatesofolympus.solarbotics.net/https://pit.org.pl/sweet-bonanza/http://eproceedings.umpwr.ac.id/-/starlight-princess/http://revista.imap.curitiba.pr.gov.br/blazing-wilds/https://ediciones.uautonoma.cl/pages/slot-thailand/https://www.sa-ijas.org/gates-of-olympus/https://www.sa-ijas.org/sweet-bonanza/https://rovedar.com/akun-pro-kamboja/https://ists.knu.ua/-/akun-pro-vietnam/https://karir.pdamindramayu.co.id/sugar-rush/https://revistaeletronica.iedi.edu.br/aztec-gems/https://mitrasmart.co.id/sugar-rush/https://www.sa-ijas.org/mahjong-ways-2/https://admin.berjasa.co.id/akun-pro-kamboja/https://admin.berjasa.co.id/gates-of-olympus/https://learning.modernland.co.id/storage/-/akun-pro-kamboja/https://learning.modernland.co.id/gates-of-olympus/https://pcdn.edu.pl/link-terbaik/https://pcdn.edu.pl/sweet-bonanza/https://pythononlinecompiler.com/sigmaslot/https://www.sa-ijas.org/products/mahjong-wins/https://revistaeletronica.iedi.edu.br/products/pyramid-bonanza/https://learning.modernland.co.id/products/pt2/http://niaksha-academic.ac.id/rekomendasi-link/https://member.aosa.org/storage/products/platinum/https://pointer.ternatekota.go.id/assets/products/mpo/https://tapchi.hce.edu.vn/slot-hoki/http://skpipm.id/products/zeus-vs-hades/https://pcdn.edu.pl/products/slot-luar-negeri/https://tapchi.hce.edu.vn/link-situs/https://jazindia.com/products/treasures-of-aztec/https://transbahasa.co.id/products/rujak-bonanza/https://journal.uhe.edu.pk/demo-gratis/https://library.binawan.ac.id/products/akun-pro-platinum/https://www.sa-ijas.org/pasarantogel2/https://seer.anafe.org.br/products/zeus-vs-hades/https://vokasi.ui.ac.id/products/idn/https://vokasi.ui.ac.id/products/luar-negeri/https://pcdn.edu.pl/products/pyramid-bonanza/https://revistaeletronica.iedi.edu.br/products/kakek-merah-slot/https://ists.knu.ua/docs/products/mpo/https://www.sa-ijas.org/sigma/https://vokasi.ui.ac.id/products/khmer/https://vokasi.ui.ac.id/products/gacor-malam-ini/https://vokasi.ui.ac.id/vendor/situs-pulsa/https://caribjscitech.com/pyramid/https://vokasi.ui.ac.id/vendor/slot-dana/https://vokasi.ui.ac.id/web/config/https://formationmixte.fr/inscription_pif/gates-of-olympus/https://www.5nivel.com/slot-luar-negeri/https://university.persisca.com/xthai/https://vokasi.ui.ac.id/cklwk/https://uecampus.com/public/luar-negeri/https://university.persisca.com/demo-pragmatic/https://coolval.com/dana/https://institute.vedamrita.com/linkpulsa/https://e-serapan.jombangkab.go.id/public/akun/https://e-serapan.jombangkab.go.id/public/file/pulsa/https://university.persisca.com/akun-pro-jepang/https://www.uninets.com/store/akun-pro-myanmar/https://lms.3kode.com/akun-pro/https://journal.uhe.edu.pk/gacor-resmi/https://journal.uhe.edu.pk/akun-pro-vietnam/https://journal.uhe.edu.pk/slot-myanmar/https://pointer.ternatekota.go.id/paling-gacor/https://edmclaren.com/public/akun-pro-jepang/https://tapchi.hce.edu.vn/akun-pro-jepang/https://www.sa-ijas.org/akun-pro-malaysia/https://www.sa-ijas.org/lucky-neko/https://askantech.com/wp-content/data-macau/https://www.sa-ijas.org/depo25-bonus25/https://askantech.com/wp-content/gates-of-olympus/https://stephclairesmith.com.au/passwordhttps://theairdgroup.com.au/password/https://podcastmerch.com/password/https://tinylumber.com/password/https://stephclairesmith.com.au/password/https://fanzstore.com/password/https://houseplantshop.ca/password/https://vokasi.ui.ac.id/web/wp-content/uploads/pt2/https://eejpl.vnu.edu.ua/freespin/demo-pragmatic-x500/https://jpp.polije.ac.id/elearning/concrete/http://workload.cmp.ubu.ac.th/dir/pulsa/http://workload.cmp.ubu.ac.th/PortFolio/InnerCollAct/joker123/http://workload.cmp.ubu.ac.th/PortFolio/InnerCollAct/kakek-merah/http://www.rms.rbru.ac.th/images/dir/slot-pulsa/http://www.rms.rbru.ac.th/uploads/products/slot-server-luar-gacor-hari-ini/http://www.rms.rbru.ac.th/uploads/products/rujak-bonanza/http://ojs.redfundamentos.com/slot-pulsa/https://revistas.natura.unsa.edu.ar/schemas/dana/https://rmta.ru/sdana/http://ovo-terbaru.spatialys.com/https://iqtisodiyot.tsue.uz/sites/default/dana/https://www.redfundamentos.com/imgs/pulsa/https://vokasi.ui.ac.id/web/wp-content/power-of-ninja/