IperTesto Unico IperTesto Unico

Ricerca norme

Inserire alcuni estremi del documento e fare click su cerca. Verranno forniti un massimo di 50 risultati.

Numero

Natura

Data

Inserire i termini da cercare e fare click su cerca. Verranno forniti un massimo di 50 risultati.

Non hai i permessi per visualizzare questo contenuto

Nota M.I.M. 04.04.2025, prot. n. 2773

Indicazioni alle Istituzioni scolastiche ed educative statali in merito alle modalità di gestione del registro elettronico.

Con la presente nota, il Ministero dell'Istruzione e del Merito (a seguire, anche «Ministero») intende fornire alle Istituzioni scolastiche ed educative statali (a seguire, anche «Istituzioni Scolastiche» o «Istituzioni») indicazioni operative (a seguire, anche «Indicazioni Operative» o «Indicazioni») in merito alle modalità di gestione dei registri scolastici online di cui all'art. 7, comma 31, del D.L. n. 95/2012 (a seguire, anche «Registro/i») e degli eventuali rapporti di fornitura con operatori economici (a seguire, anche «Fornitori»).

In via preliminare, si evidenzia che il Registro presenta particolari profili di delicatezza, essendo strettamente connesso all'espletamento di funzioni pubbliche essenziali proprie delle Istituzioni Scolastiche, con conseguente coinvolgimento di molteplici dati personali di studentesse e studenti, genitori, dirigenti scolastici e personale scolastico, come anche precisato dal Garante per la Protezione dei Dati Personali all'interno del Vademecum «La scuola a prova di privacy», Ed. 2023[1]. I Registri in questione, pertanto, devono essere esclusivamente orientati al soddisfacimento delle finalità di organizzazione e gestione delle attività educative nel pieno rispetto della normativa vigente.

Ferma restando l'autonomia delle Istituzioni Scolastiche, si riportano a seguire alcuni aspetti di particolare rilevanza, previsti dalla normativa e dalle buone prassi di settore, dei quali se ne raccomanda la puntuale adozione.

L'utilizzo del Registro è previsto dal citato art. 7, comma 31, del D.L. n. 95/2012, il quale dispone che «A decorrere dall'anno scolastico 2012-2013 le istituzioni scolastiche e i docenti adottano registri on line e inviano le comunicazioni agli alunni e alle famiglie in formato elettronico».

In particolare, il Registro consente:

(i) la gestione delle attività didattiche da parte dei docenti (i.e., assenze, voti, giudizi, annotazioni sulle lezioni);

(ii) la presa visione dell'attività scolastica svolta dalle studentesse e dagli studenti da parte delle famiglie (i.e., compiti, lezioni, assenze, voti);

(iii) la trasmissione di comunicazioni istituzionali da parte del Ministero e delle Istituzioni alle famiglie, alle studentesse e agli studenti, anche alla luce della Nota MIM n. 788 del 31 gennaio 2025.

Il Registro non deve, pertanto, contenere servizi o attività non aderenti rispetto alla finalità di cui sopra quali, a titolo esemplificativo e non esaustivo: (i) svolgimento di iniziative commerciali o di marketing, (ii) trasferimento di dati a soggetti terzi, salvi i casi in cui ciò sia strettamente connesso al funzionamento del Registro (i.e., servizi cloud), (iii) messa a disposizione di contenuti non essenziali (i.e., mini-games, oroscopo, chat), (iv) esposizione di banner pubblicitari o rinvio a siti di terze parti contenenti proposte commerciali di qualunque categoria merceologica (i.e. acquisto di libri, di materiale scolastico, etc.).

Si coglie questa occasione per fornire nuovamente alcune importanti istruzioni e indicazioni, di pronta consultazione, in merito alle modalità di identificazione e di autenticazione, di integrazione, di interoperabilità, di data-protection, di sicurezza dei dati e di trasferibilità dei dati contenuti nel Registro (Allegato 1).

Le indicazioni operative fornite potranno essere periodicamente aggiornate dal Ministero alla luce delle evoluzioni normative e tecnologiche rilevanti per le questioni trattate.

Con riferimento all'uso del Registro, si ricorda, infine, la nota 11 luglio 2024, prot. n. 5274, avente ad oggetto "Disposizioni in merito all'uso degli smartphone e del registro elettronico nel primo ciclo di istruzione", e le raccomandazioni in merito alla necessità "di accompagnare la notazione sul registro elettronico delle attività da svolgere a casa con la notazione giornaliera sui diari/agende personali", in modo tale che "ciascun alunno potrà acquisire una crescente autonomia nella gestione degli impegni scolastici, senza dover ricorrere necessariamente all'utilizzo del registro elettronico".

In caso di quesiti è possibile richiedere assistenza scrivendo al supporto «Help Desk Amministrativo Contabile» (HDAC), accedendo al seguente link: istruzione.it/hdac.

L'occasione è gradita per porgere cordiali saluti.

-----

[1] Il Vademecum «La scuola a prova di privacy», Ed. 2023, è reperibile al seguente link Scuola - Garante Privacy. Con riferimento al trattamento dei dati personali nell'ambito delle Istituzioni Scolastiche, si riporta a seguire il link delle FAQ elaborate dal Garante per la Protezione dei Dati Personali FAQ - Scuola e privacy - Garante Privacy.

Allegato 1 - Vademecum registro elettronico

1) Procedura di identificazione e autenticazione

In coerenza con quanto previsto dall'art. 24, comma 4, del D.L. n. 76/2020 e dall'art. 64 del CAD, l'accesso al Registro deve avvenire esclusivamente mediante l'utilizzo di identità digitali (i.e., SPID, CIE, eIDAS).

Tali modalità di accesso, infatti, consentono di garantire un adeguato livello di sicurezza, impedendo o limitando l'accesso al Registro medesimo a soggetti non autorizzati. A tal fine è importante che, progressivamente, l'identità digitale diventi la preponderante modalità di accesso al registro.

Si ricorda inoltre che, al fine di semplificare gli adempimenti tecnico-amministrativi, il Ministero ha messo a disposizione delle Istituzioni Scolastiche e dei Fornitori che implementano pacchetti software una piattaforma di autenticazione c.d. «Gateway delle identità» o «eID Gateway», che agevola l'integrazione con i sistemi «Entra con SPID», «Entra con CIE» e «Login with eIDAS», facilitando l'accesso alle applicazioni con cui le Istituzioni medesime erogano servizi a studentesse e studenti, genitori, docenti e personale scolastico.

Ai fini di cui sopra, il suddetto «Gateway delle identità» supporta anche l'utilizzo dello SPID Minori, consentendo agli alunni e agli studenti minorenni di poter utilizzare i servizi sia tramite SPID che CIE.

2) Interoperabilità e integrazione con gli ulteriori servizi resi disponibili dal Ministero

Ai sensi di quanto previsto dagli artt. 12 e 64-bis del CAD, il Registro deve essere interoperabile con le applicazioni digitali del Ministero, al fine di assicurare la qualità, la continuità e la condivisione dei servizi offerti dal Ministero medesimo nei confronti di studentesse e studenti, genitori, dirigenti scolastici e personale scolastico.

In particolare, il Registro deve consentire l'interoperabilità con il Sistema Informativo dell'Istruzione (SIDI), utilizzato per monitorare, gestire e fornire servizi legati al mondo della scuola e con le principali applicazioni in uso quali ad esempio, l'Anagrafe Nazionale degli Studenti (ANS), la Piattaforma Unica, il servizio Pago In Rete.

3) Accessibilità

Il Registro deve garantire il rispetto delle previsioni in materia di accessibilità dei siti web e delle applicazioni mobili per le persone con disabilità, al fine di erogare Servizi fruibili, senza discriminazioni, nei confronti dell'intera platea di utenti (i.e., Legge del 9 gennaio 2004, n. 4, recante «Disposizioni per favorire e semplificare l'accesso degli utenti e, in particolare, delle persone con disabilità agli strumenti informatici»; D.Lgs. n. 106/2018, recante «Attuazione della direttiva (UE) 2016/2102 relativa all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici»; Linee Guida sull'accessibilità degli strumenti informatici, adottate dall'Agenzia per l'Italia Digitale, da ultimo aggiornate il 29 maggio 2023, che definiscono i requisiti tecnici per l'accessibilità degli strumenti informatici, ivi inclusi i siti web e le applicazioni mobili).

4) Data Protection

Le Istituzioni Scolastiche, in relazione ai trattamenti effettuati per il tramite del Registro, ricoprono la funzione di Titolari del trattamento dei dati personali, in quanto, ai sensi dell'art. 4, par. 1, n. 7, del GDPR, determinano le finalità e i mezzi del trattamento di dati personali. Per tale motivo, devono garantire che i Servizi affidati siano rispettosi dei principi in materia di protezione dei dati personali come riportati all'interno dell'art. 5 del GDPR ossia:

(i) liceità, correttezza e trasparenza nel trattamento dei dati personali dell'interessato, (ii) limitazione della finalità;

(iii) minimizzazione dei dati, (iv) esattezza dei dati, (v) limitazione della conservazione, (vi) integrità e riservatezza nel trattamento dei dati e (vii) responsabilizzazione.

Tra i principali adempimenti che le Istituzioni Scolastiche, nell'ambito della propria autonomia didattica e organizzativa, sono tenute ad eseguire in qualità di Titolari, si segnalano i seguenti:

(i) esecuzione di una valutazione di impatto sul trattamento dei dati personali (DPIA), al fine di individuare i rischi connessi al trattamento eseguito (artt. 35 e ss. del GDPR);

(ii) rilascio agli interessati di un'idonea informativa sul trattamento dei dati personali, ai sensi degli artt. 13 e 14 del GDPR;

(iii) nomina dei soggetti autorizzati al trattamento dei dati personali (art. 29 del GDPR e art. 2-quaterdecies del D.Lgs. n. 196/2003).

Per adempiere a tali attività, le Istituzioni Scolastiche possono opportunamente coinvolgere anche i rispettivi «Data Protection Officer».

Le Istituzioni Scolastiche nominano, inoltre, all'interno di uno specifico contratto o altro atto giuridico, i Fornitori quali Responsabili del trattamento dei dati, che ai sensi dell'art. 28 del GDPR, a titolo esemplificativo, provvedono a:

(a) trattare i dati personali per le sole finalità specificate e nei limiti dell'esecuzione delle prestazioni contrattuali;

(b) garantire la riservatezza dei dati personali trattati nell'ambito del contratto e verificare che le persone autorizzate a trattare i dati personali in virtù del contratto: (i) si impegnino a rispettare la riservatezza o siano sottoposti a un obbligo legale appropriato di segretezza, (ii) ricevano la formazione necessaria in materia di protezione dei dati personali e (iii) trattino i dati personali osservando le istruzioni impartite dal Titolare;

(c) informare il Titolare tempestivamente e, in ogni caso senza ingiustificato ritardo dall'avvenuta conoscenza, di ogni violazione di dati personali (cd. data breach), ai sensi degli artt. 33 e 34 del GDPR.

5) Sicurezza dei dati trattati

Tenuto conto della natura, dell'oggetto, del contesto e delle finalità del trattamento, gli atti con i quali si procede all'affidamento del Registro devono prevedere che l'operatore economico adotti, in qualità di Responsabile, tutte le opportune misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 del GDPR) quali, ad esempio:

(a) misure di «Business continuity», che hanno lo scopo di mantenere la continuità delle operazioni essenziali, qualora si verifichino situazioni di crisi o incidenti di sicurezza che causino l'indisponibilità dei sistemi per un certo lasso di tempo;

(b) misure di «Disaster Recovery», che garantiscono la capacità di ripristinare i sistemi compromessi nel modo più rapido e sicuro possibile;

(c) adozione di soluzioni cloud rispondenti alla specifica normativa di settore, ivi compresa la disciplina contenuta all'interno del «Regolamento per le Infrastrutture digitali e per i servizi cloud per la Pubblica Amministrazione, ai sensi dell'articolo 33-septies, comma 4, del Decreto-Legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla Legge 17 dicembre 2012, n. 211», adottato con Decreto Direttoriale dell'Agenzia per la cybersicurezza nazionale n. 21007 del 27 giugno 2024.

6) Trasferibilità dei dati contenuti nel Registro

I dati contenuti nel Registro devono essere pienamente e facilmente trasferibili ad altri Registri e/o applicazioni rispetto a specifiche esigenze delle Istituzioni scolastiche.