IperTesto Unico IperTesto Unico

Nota M.I. 03.09.2020, n. 11600

Didattica Digitale Integrata e tutela della privacy: indicazioni generali.

A seguito dell'adozione delle Linee guida sulla Didattica digitale integrata con Decreto del Ministro dell'Istruzione n. 89 del 7 agosto u.s., a supporto delle istituzioni scolastiche, si trasmette il documento in allegato, predisposto da un Gruppo di lavoro congiunto tra Ministero dell'istruzione e l'Ufficio del Garante per la protezione dei dati personali, al fine di fornire linee di indirizzo comuni e i principi generali per l'implementazione della didattica digitale integrata, con particolare riguardo ai profili di sicurezza e protezione dei dati personali, sulla base di quanto previsto dal Regolamento (UE) 2016/679.

Si ringrazia per la consueta e fattiva collaborazione.

 

Allegato - Didattica Digitale Integrata e tutela della privacy: Indicazioni generali

I principali aspetti della disciplina in materia di protezione dei dati personali nella Didattica Digitale Integrata

Premessa

Tenuto conto del carattere fortemente innovativo che caratterizza la didattica digitale integrata (DDI) e della necessità di guidare le scuole nell'implementazione di questo nuovo strumento, il Ministero dell'istruzione ritiene di accompagnare le Linee guida sulla DDI, adottate con D.M. n. 89 del 7 agosto 2020, con specifiche indicazioni, di carattere generale, sui profili di sicurezza e protezione dei dati personali sulla base di quanto previsto dal Regolamento (UE) 2016/679 (Regolamento).

A tale scopo, è stato predisposto il presente documento da parte del Gruppo di lavoro congiunto Ministero dell'istruzione-Ufficio del Garante per la protezione dei dati personali, di cui al Decreto del Capo di Gabinetto prot. n. 1885 del 5 giugno 2020, con il fine di fornire alle istituzioni scolastiche linee di indirizzo comuni e principi generali per l'implementazione della DDI con particolare riguardo agli aspetti inerenti alla sicurezza in rete e alla tutela dei dati personali.

Si premette che spetta alla singola istituzione scolastica, in qualità di titolare del trattamento, la scelta e la regolamentazione degli strumenti più adeguati al trattamento dei dati personali di personale scolastico, studenti e loro familiari per la realizzazione della DDI. Tale scelta è effettuata del Dirigente scolastico, con il supporto del Responsabile della protezione dei dati personali (RPD), sentito il Collegio dei Docenti.

I criteri che orientano l'individuazione degli strumenti da utilizzare tengono conto sia dell'adeguatezza rispetto a competenze e capacità cognitive degli studenti sia delle garanzie offerte sul piano della protezione dei dati personali. In generale, nella scelta degli strumenti tecnologici e dei relativi servizi è necessario tenere conto delle specifiche caratteristiche, anche tecniche, degli stessi, prediligendo quelli che, sia nella fase di progettazione che di sviluppo successivo, abbiano proprietà tali da consentire ai titolari e ai responsabili del trattamento di adempiere agli obblighi di protezione dei dati fin dalla progettazione e di protezione per impostazione predefinita (privacy by design e by default, cfr. "Considerando" (78) e art. 25 del Regolamento). Tale scelta, in merito alle tecnologie più appropriate per la DDI, va effettuata anche sulla base delle indicazioni fornite dal RPD, il quale dovrà essere tempestivamente coinvolto affinché fornisca il necessario supporto tecnico-giuridico.

Per questo motivo il Dirigente scolastico incaricherà il RPD, ai sensi di quanto previsto dall'art. 39, par. 1, lett. a) del Regolamento, di fornire consulenza rispetto alle principali decisioni da assumere, ad esempio, in merito alla definizione del rapporto con il fornitore della piattaforma prescelta e alle istruzioni da impartire allo stesso, all'adeguatezza delle misure di sicurezza rispetto ai rischi connessi a tale tipologia di trattamenti e alle misure necessarie affinché i dati siano utilizzati solo in relazione alla finalità della DDI e alle modalità per assicurare la trasparenza del trattamento mediante l'informativa a tutte le categorie di interessati. Ciò, in particolare, suggerendo il ricorso a piattaforme che eroghino servizi rivolti esclusivamente alla didattica, ovvero, nei casi in cui siano preferite quelle più complesse e generaliste, raccomandando di attivare i soli servizi strettamente necessari alla DDI, verificando che dati di personale scolastico, studenti e loro familiari non vengano trattati per finalità diverse e ulteriori che siano riconducibili al fornitore.

Risulta fondamentale che l'istituzione scolastica, coinvolga nell'attività di verifica sul monitoraggio del corretto trattamento dei dati personali nella DDI tutti gli attori (personale scolastico, famiglie, studenti) di questo processo, anche attraverso specifiche iniziative di sensibilizzazione atte a garantire la massima consapevolezza nell'utilizzo di strumenti tecnologici e nella tutela dei dati personali al fine di evitare l'utilizzo improprio e la diffusione illecita dei dati personali trattati per mezzo delle piattaforme e il verificarsi di accessi non autorizzati e di azioni di disturbo durante lo svolgimento della didattica.

In ogni caso l'istituzione scolastica dovrà fornire al personale autorizzato al trattamento dei dati attraverso la piattaforma (personale docente e non docente) adeguate istruzioni (art. 4, par. 10, 29, 32, par. 4 del Regolamento; art. 2 quaterdecies del Decreto legislativo 30giugno 2003, n.196, recante il "Codice in materia di protezione dei dati personali", in seguito Codice).

Figure previste dal Regolamento e principali attori coinvolti nella DDI

• Il Titolare del Trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4. par. 1, n. 7 del Regolamento). Nell'ambito dell'istituzione scolastica questa figura è identificata nella persona del Dirigente scolastico.

• Il Responsabile della Protezione dei Dati personali (RPD), figura prevista dall'art.37 del Regolamento, assicura l'applicazione della normativa in materia di protezione dei dati personali in relazione ai trattamenti svolti dal titolare del trattamento. Nell'ambito dell'istituzione scolastica il RPD, individuato internamente o all'esterno sulla base di un contratto, è appositamente designato dal Dirigente scolastico. Nello specifico tale figura, per l'implementazione della DDI, collabora con il Dirigente scolastico nelle seguenti attività, assicurando:

- consulenza in ordine alla necessità di eseguire la valutazione di impatto;

- supporto nella scelta delle tecnologie più appropriate per la DDI;

- consulenza nell'adozione delle misure di sicurezza più adeguate;

- supporto nella predisposizione del contratto o altro atto giuridico con il fornitore dei servizi per la DDI;

- supporto nella designazione del personale autorizzato al trattamento dei dati personali;

- supporto nelle campagne di sensibilizzazione rivolte al personale autorizzato e agli interessati sugli aspetti inerenti alla tutela dei dati personali e sull'uso consapevole delle tecnologie utilizzate per la DDI.

- Le persone autorizzate al trattamento (art. 4, n. 10, del Regolamento) effettuano operazioni sui dati personali sotto l'autorità del titolare del trattamento e sulla base di istruzioni fornite dallo stesso. Nell'ambito dell'istituzione scolastica questa figura è rappresentata dal personale scolastico in relazione al quale le istruzioni dovranno essere integrate, ove già non previsto, con indicazioni relative all'utilizzo delle piattaforme di erogazione della DDI.

- Il Responsabile del trattamento è la persona fisica, giuridica, pubblica amministrazione o ente che tratta i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 del Regolamento). Pertanto, il responsabile del trattamento è un soggetto terzo che tratta dati personali per conto del titolare, mettendo in atto misure di sicurezza adeguate di tipo tecnico ed organizzativo. Nell'ambito dell'istituzione scolastica questa figura è identificata nei fornitori delle piattaforme o dei servizi per la DDI.

Base giuridica del trattamento

Come chiarito dal Garante nel Provvedimento del 26 marzo 2020, n. 64 (doc web n. 9300784 "Didattica a distanza: prime indicazioni"), in relazione alla attività di DDI, il trattamento dei dati personali da parte delle istituzioni scolastiche è necessario in quanto collegato all'esecuzione di un compito di interesse pubblico di cui è investita la scuola attraverso una modalità operativa prevista dalla normativa, con particolare riguardo anche alla gestione attuale della fase di emergenza epidemiologica.

Il consenso dei genitori, che non costituisce una base giuridica idonea per il trattamento dei dati in ambito pubblico e nel contesto del rapporto di lavoro, non è richiesto perché l'attività svolta, sia pure in ambiente virtuale, rientra tra le attività istituzionalmente assegnate all'istituzione scolastica, ovvero di didattica nell'ambito degli ordinamenti scolastici vigenti. Pertanto, le istituzioni scolastiche sono legittimate a trattare tutti i dati personali necessari al perseguimento delle finalità collegate allo svolgimento della DDI nel rispetto dei principi previsti dalla normativa di settore.

Principio di trasparenza e correttezza nei confronti degli interessati

In base alle disposizioni contenute negli artt. 13 e 14 del Regolamento UE 2016/679, le Istituzioni scolastiche devono informare gli interessati in merito ai trattamenti dei dati personali effettuati nell'ambito dell'erogazione dell'offerta formativa. Poiché attraverso l'utilizzo della piattaforma per l'erogazione della DDI sono trattati sia dati degli studenti che dei docenti e, in taluni casi, anche dei genitori, è opportuno che le scuole forniscano a tutte queste categorie di interessati, di regola all'inizio dell'anno scolastico, anche nell'ambito di una specifica sezione dell'informativa generale o in un documento autonomo, tutte le informazioni relative a tali trattamenti.

Tale informativa dovrà essere redatta in forma sintetica e con un linguaggio facilmente comprensibile anche dai minori e dovrà specificare, in particolare, i tipi di dati e le modalità di trattamento degli stessi, i tempi di conservazione e le altre operazioni di trattamento, specificando che i dati raccolti saranno trattati esclusivamente per l'erogazione di tale modalità di didattica, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale.

In tale sezione devono essere puntualmente indicati i soggetti dai quali saranno trattati i dati nell'ambito della DDI, specificando le diverse modalità di fruizione (App, Piattaforma web, ...), informando sull'eventuale utilizzo di tecnologie in cloud e precisando se queste comportano un trasferimento di dati al di fuori dell'Unione Europea.

Inoltre, le istituzioni scolastiche che facciano ricorso a nuove piattaforme per l'erogazione della DDI, laddove non abbiano già provveduto, dovranno provvedere ad aggiornare l'informativa rilasciata agli interessati al momento dell'iscrizione o, nel caso del personale scolastico, al momento della stipula del contratto di lavoro, indicando gli eventuali nuovi fornitori del servizio che, in qualità di responsabili del trattamento, trattano i dati per conto dell'istituzione stessa.

Principio di limitazione della conservazione dei dati

In relazione alla conservazione dei dati personali, prevista dall'art.5, lettera e) del regolamento, il titolare del trattamento è chiamato ad assicurare che i dati non siano conservati più a lungo del necessario, ad esempio, disponendo che i dati siano cancellati al termine del progetto didattico. Pertanto, il Dirigente scolastico, coadiuvato dal RPD, dovrà assicurarsi che il sistema scelto per l'erogazione della DDI preveda il rispetto del termine per la conservazione e la successiva cancellazione dei dati, tenendo altresì conto, nella definizione del limite temporale della conservazione dei dati nell'ambito della DDI, della molteplicità e della quantità di soggetti coinvolti e del numero delle attività di trattamento connesse.

Ruolo dei fornitori

In qualità di titolare del trattamento dei dati personali, l'istituzione scolastica, che riterrà opportuno ricorrere a un soggetto esterno per la gestione dei servizi per la DDI che comportino il trattamento di dati di personale scolastico, studenti e/o dei loro familiari per conto della scuola stessa, è tenuta a nominare tale soggetto come responsabile del trattamento con contratto o altro atto giuridico (art. 28 del Regolamento), indicando conseguentemente tale circostanza nel registro dei trattamenti (art. 30 del Regolamento).

Attraverso tale atto, l'istituzione scolastica circoscriverà l'ambito, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, ricorrendo a fornitori che presentino garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate agli specifici trattamenti posti in essere per conto dell'istituzione stessa. In particolare, le istituzioni scolastiche dovranno assicurarsi che i dati trattati per loro conto siano utilizzati solo per la DDI, senza l'introduzione di ulteriori finalità estranee all'attività scolastica. Sarà, pertanto, necessario prevedere, nell'atto che disciplina il rapporto con il responsabile del trattamento, specifiche istruzioni sulla conservazione dei dati, sulla cancellazione o sulla restituzione dei dati al temine dell'accordo tra scuola e fornitore, nonché sulle procedure di gestione di eventuali violazioni di dati personali, secondo quanto disposto dal Regolamento.

Qualora le istituzioni scolastiche dovessero avvalersi di piattaforme o strumenti per la DDI offerti da operatori che già forniscono alla scuola altri servizi (es. registro elettronico, altri applicativi di gestione, ecc.), le stesse possono procedere - a seconda dei casi - disciplinando le ulteriori attività di DDI con una integrazione del contratto di fornitura già esistente.

Anche nel caso di utilizzo per la DDI di una piattaforma disponibile a titolo gratuito dovrà essere disciplinato in ogni caso il rapporto con il fornitore con riguardo al trattamento di dati personali attraverso un contratto o altro atto giuridico ai sensi dell'art. 28 del Regolamento.

Diversamente, nei casi in cui le istituzioni scolastiche facciano ricorso a strumenti e piattaforme per la DDI gestite in via autonoma, senza il ricorso a soggetti esterni, non è richiesto alcun atto di nomina a responsabile del trattamento.

Laddove l'istituzione scolastica ritenga opportuno ricorrere a piattaforme più complesse che includono una più vasta gamma di servizi, anche non rivolti esclusivamente alla didattica, sarà necessario verificare, con il supporto del RPD, come già evidenziato, che siano attivati solo i servizi strettamente correlati con la DDI configurando i servizi in modo da minimizzare i dati personali da trattare sia in fase di attivazione dei servizi sia durante l'utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).

Si fa presente che il tipo di misure e condizioni va calibrato sulle categorie di dati trattati e sulle modalità di trattamento da parte del responsabile del trattamento.

In particolare, nel suddetto atto dovrà essere specificato che, nel caso in cui il fornitore dei servizi per la DDI si avvalga di altro fornitore per il trattamento dei dati, dovrà essere esplicitamente autorizzato per iscritto dall'istituzione scolastica a designarlo sub-responsabile, in maniera specifica o generale, rendendo disponibile al titolare del trattamento l'elenco di tali soggetti (art. 28, par. 2 del Regolamento). Il sub-responsabile dovrà attenersi agli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra l'istituzione scolastica e il primo responsabile. Il fornitore che si avvalga di sub-responsabili risponde direttamente nei confronti dell'istituzione scolastica in relazione ad eventuali inadempimenti o violazioni della propria catena di subfornitura.

Misure tecniche e organizzative legate alla sicurezza

L'istituzione scolastica, sulla base di quanto previsto dal Regolamento, anche avvalendosi della consulenza offerta dal proprio RPD, deve adottare, anche per mezzo dei fornitori designati responsabili del trattamento, misure tecniche e organizzative adeguate sulla base del rischio. Pertanto, il Dirigente scolastico dovrà assicurarsi che i dati vengano protetti da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o da danni accidentali.

A tal fine si esemplificano alcune misure:

• adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti;

• utilizzo di robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione;

• definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati;

• definizione di password policy adeguate (es. regole di composizione, scadenza periodica, ecc.);

• conservazione delle password degli utenti, mediante l'utilizzo di funzioni di hashing

allo stato dell'arte (es. PBKDF2, bcrypt, ecc.) e di salt di lunghezza adeguata;

• utilizzo di canali di trasmissione sicuri tenendo conto dello stato dell'arte;

• adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery);

• utilizzo di sistemi di protezione perimetrale, adeguatamente configurati in funzione del contesto operativo;

• utilizzo di sistemi antivirus e anti malware costantemente aggiornati;

• aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità;

• registrazione degli accessi e delle operazioni compiute in appositi file di log, ai fini della verifica della correttezza e legittimità del trattamento dei dati;

• definizione di istruzioni da fornire ai soggetti autorizzati al trattamento;

• formazione e sensibilizzazione degli utenti.

In caso di utilizzo di tecnologie in cloud risulta necessaria la verifica del rispetto della normativa in materia di protezione dati personali da parte del fornitore del servizio designato come responsabile del trattamento. Inoltre, nel caso sia previsto che le informazioni vengono trasferite fuori dall'Unione Europea (UE), occorre verificare che sussistano tutti i presupposti giuridici richiesti dalla disciplina per assicurare un adeguato livello di protezione.

Infine, particolare attenzione va rivolta alla configurazione dei siti e delle App messe a disposizione dell'istituzione scolastica per la fruizione dei materiali e per l'erogazione delle attività didattiche a distanza, nel rispetto del principio di privacy by design e by default previsto dal Regolamento. In particolare, nell'uso di tali strumenti, è necessario evitare l'inserimento di tracker e analytics, notifiche push (per le App), font resi disponibili da terze parti, advertising o in-appurchasing, o altri elementi che possono peraltro comportare il trasferimento di dati fuori dall'Unione Europea e/o il monitoraggio delle attività degli utenti.

Con riferimento a questi aspetti il Dirigente scolastico, sentito il RPD, dovrà richiedere al fornitore dei servizi per DDI che vengano assicurate, inserendo specifici obblighi anche nel contratto o altro atto giuridico di cui all'art. 28 del Regolamento, le necessarie garanzie legate all'utilizzo di tecnologie in cloud, alla progettazione e alla configurazione dei siti, delle App e delle piattaforme utilizzate per la didattica.

Per quanto riguarda le misure organizzative interne alla scuola, occorrerà verificare che il sistema utilizzato per la DDI preveda che i diversi utenti autorizzati (personale docente e non docente), possano accedere solo alle informazioni e funzioni di competenza per tipologia di utenza sulla base delle specifiche mansioni assegnate (art. 4, par. 10, 29, 32, par. 4 del Regolamento; art. 2 quaterdecies del Codice). I soggetti autorizzati al trattamento dei dati personali sono tenuti a conformare i trattamenti a loro assegnati alla normativa in materia di protezione dei dati personali e alle istruzioni ricevute. Le istruzioni operative impartite a tali soggetti da parte delle istituzioni scolastiche dovranno riguardare principalmente l'utilizzo e la custodia delle credenziali di accesso, il divieto di condivisione delle stesse, il divieto di far accedere alla piattaforma persone non autorizzate, la protezione da malware e attacchi informatici, nonché i comportamenti da adottare durante la DDI e le conseguenze in caso di violazione di tali istruzioni.

Occorre inoltre sensibilizzare, più in generale, anche gli altri soggetti intestatari di utenze, come gli studenti e i genitori, sul corretto utilizzo del proprio account, fornendo specifiche istruzioni da declinare con un linguaggio chiaro e comprensibile in ragione delle fasce di età degli utenti.

L'utilizzo degli strumenti e la tutela dei dati

Le istituzioni scolastiche, con il supporto del RPD, dovranno verificare che, in applicazione dei principi generali del trattamento dei dati e nel rispetto delle disposizioni nazionali che trovano applicazione ai rapporti di lavoro (art. 5 e 88 del Regolamento), le piattaforme e gli strumenti tecnologici per l'erogazione della DDI consentano il trattamento dei soli dati personali necessari alla finalità didattica, configurando i sistemi in modo da prevenire che informazioni relative alla vita privata vengano, anche accidentalmente, raccolte e da rispettare la libertà di insegnamento dei docenti.

In ragione del fatto che le piattaforme e gli strumenti tecnologici impiegati per la didattica possono comportare il trattamento di informazioni associate in via diretta o indiretta ai dipendenti, con possibilità di controllarne a distanza l'attività, dovrà essere verificata, sempre con il supporto del RPD, la sussistenza dei presupposti di liceità stabiliti dell'art. 4 della l. 20 maggio 1970, n. 300 cui fa rinvio l'art.114 del Codice, valutando, in via preliminare, se, tenuto conto delle concrete caratteristiche del trattamento, trovi applicazione il comma 1 o il comma 2 dello stesso articolo. Nel rispetto del principio di responsabilizzazione, l'istituzione scolastica dovrà adottare le misure tecniche e organizzative affinché il trattamento sia conforme alla richiamata normativa di settore, fornendo a tal fine le necessarie indicazioni al fornitore del servizio (cfr. artt. 24 e 25 del Regolamento).

A riguardo il Garante, nel Provvedimento del 26 marzo u.s. - "Didattica a distanza: prime indicazioni", - ha, infatti, precisato che "nel trattare i dati personali dei docenti funzionali allo svolgimento della didattica a distanza, le scuole e le università dovranno rispettare presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo (artt. 5 e 88, par. 2, del Regolamento, art. 114 del Codice in materia di protezione dei dati personali e art. 4 della legge 20 maggio 1970, n. 300) limitandosi a utilizzare quelli strettamente necessari, comunque senza effettuare indagini sulla sfera privata (art. 113 del citato Codice) o interferire con la libertà di insegnamento."

Atteso che lo svolgimento delle videolezioni in modalità telematica rientra nell'ambito dell'attività di DDI ed è, pertanto, riconducibile alle funzioni di formazione istituzionalmente svolte dagli istituti scolastici, occorre precisare che l'utilizzo della webcam deve in ogni caso avvenire nel rispetto dei diritti delle persone coinvolte e della tutela dei dati personali.

Nel contesto della didattica digitale, l'utilizzo della webcam durante le sessioni educative costituisce la modalità più immediata attraverso la quale il docente può verificare se l'alunno segue la lezione, ma spetta in ogni caso alle istituzioni scolastiche stabilire le modalità di trattamento dei dati personali e in che modo regolamentare l'utilizzo della webcam da parte degli studenti che dovrà avvenire esclusivamente, come sopra precisato, nel rispetto dei diritti delle persone coinvolte.

A tal fine è opportuno ricordare a tutti i partecipanti, attraverso uno specifico "disclaimer", i rischi che la diffusione delle immagini e, più in generale, delle lezioni può comportare, nonché le responsabilità di natura civile e penale. In generale, anche attraverso specifiche campagne di sensibilizzazione rivolte ai docenti, studenti e famiglie, va evidenziato che il materiale caricato o condiviso sulla piattaforma utilizzata per la DDI o in repository, in locale o in cloud, sia esclusivamente inerente all'attività didattica e che venga rispettata la tutela della protezione dei dati personali e i diritti delle persone con particolare riguardo alla presenza di particolari categorie di dati.

La valutazione di impatto (DPIA)

La valutazione di impatto deve essere effettuata solo se e quando ricorrono i presupposti dell'articolo 35 del Regolamento. Occorre precisare innanzitutto che, poiché l'istituzione scolastica, in genere, non effettua trattamenti di dati personali su larga scala, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).

La valutazione di impatto va effettuata, infatti, nel caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, l'istituzione scolastica per individuare i trattamenti da sottoporre a valutazione di impatto dovrà verificare se il trattamento in questione:

1. rientra nei casi previsti dall'art.35, par. 3 del Regolamento (trattamento automatizzato, profilazione, trattamento su larga scala di categorie particolari di dati personali, ecc.), tenendo conto sempre del contesto in cui il trattamento stesso si colloca;

2. comporta la compresenza di almeno di due criteri individuati come indici sintomatici del "rischio elevato" dal Gruppo di lavoro ex articolo 29 delle Linee guida in materia di valutazione d'impatto sulla protezione dei dati (trattamenti valutativi o di scoring), compresa la profilazione, processo decisionale automatizzato, monitoraggio sistematico, dati sensibili o dati aventi carattere altamente personale, trattamento di dati su larga scala espressi in percentuale della popolazione di riferimento, creazione di corrispondenze o combinazione di insiemi di dati, dati relativi a interessati vulnerabili, uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, trattamento che in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto".

Indipendentemente dalle scelte effettuate nel contesto dell'emergenza nel corso del precedente anno scolastico, a seconda delle caratteristiche delle piattaforme utilizzate, è opportuno che, se sussistono i requisiti sopra indicati, la scuola verifichi nuovamente, con l'assistenza del RPD, che è tenuto a fornire il proprio parere al riguardo, l'esigenza dell'effettuazione di una valutazione di impatto.

In questa attività il fornitore del servizio, in qualità del responsabile del trattamento, è tenuto ad assistere l'istituzione scolastica e a fornire ogni elemento utile nello svolgimento della valutazione d'impatto e delle analisi relative alla valutazione del rischio in riferimento alla protezione dei dati.

Per ulteriori informazioni sulla valutazione di impatto è possibile accedere all'infografica messa a disposizione sul sito del Garante Privacy.