GDPR e la scuola: quando si deve notificare la violazione dei dati?

Tutte le organizzazioni che trattano i dati personali delle persone residenti nell’Unione Europea devono rispettare il GDPR (Regolamento generale sulla protezione dei dati). Questa nuova normativa intende unificare i requisiti di protezione dei dati tra gli stati membri dell’UE ed offrire alle persone un maggiore controllo sul mondo in cui i loro dati vengono utilizzati dalle organizzazioni.

Il GDPR stabilisce che le organizzazioni segnalino alcuni tipi di violazione dei dati all’autorità di vigilanza (Garante Privacy per l’Italia) entro 72 ore dalla sua scoperta. Per le scuole e le università, questa è una delle regole più difficili da rispettare. In questo blog spieghiamo tutto ciò che devono sapere per notificare un eventuale data breach.

Cosa si intende per violazione dei dati?

Il termine “violazione dei dati” è spesso usato come sinonimo di attacco informatico. Tuttavia, non tutti gli attacchi informatici provocano una violazione dei dati, e al contrario, le violazioni non sono sempre il risultato di attacchi informatici.

Per violazione dei dati, o data breach, si intente ogni situazione in cui la riservatezza, l’integrità e la disponibilità delle informazioni sono compromesse. I dati non devono essere necessariamente rubati per essere violati; possono andare persi, essere alterati, modificati o rivelati in modo accidentale.

Qualsiasi tipo di dato può essere oggetto di una violazione, ma il GDPR guarda espressamente a quelle che coinvolgono i dati personali.

Esempi di violazioni di dati per le scuole

  • Accesso non autorizzato: un alunno o un membro del personale non autorizzato trova sbloccato il laptop di un insegnante e lo usa per accedere ai file salvati. L’insegnante potrebbe avere i dettagli di login per la sua casella di posta elettronica o altri account personali salvati automaticamente, il che darebbe accesso ad ulteriori informazioni.
  • Azione deliberata e accidentale (o inazione): un membro del personale manda un vecchio PC alla discarica per essere distrutto ma non cancella il disco rigido. Oppure i registri cartacei che vengono buttati senza essere prima triturati o resi illeggibili.
  • Divulgazione accidentale: un segretario invia un’e-mail contenente i dati personali di uno studente ad un destinatario sbagliato.
  • Alterazione: qualcuno accede al sistema di gestione degli stipendi della scuola ed inserisce informazioni errate sui diversi livelli di retribuzione del personale.
  • Perdita: la scuola subisce un’interruzione di corrente che interrompe l’accesso alle informazioni disponibili solo in formato elettronico.

Non tutte le violazioni devono essere notificate

Il GDPR afferma che le violazioni dei dati personali devono essere segnalate solo se rappresentano un rischio per i diritti e le libertà delle persone fisiche. Ciò si verifica nel caso in cui la violazione rischia di tradursi in:

  1. Discriminazione – quando almeno una delle informazioni seguenti viene violata:
    • Informazioni sugli studenti con bisogni speciali
    • Informazioni sulla salute degli studenti e del personale
    • Registri sulla protezione dei bambini
    • Stipendiario del personale e informazioni sui salari
    • Progressi degli studenti e registro dei risultati
  2. Furto d’identità o frode – quando almeno una delle informazioni seguenti viene violata:
    • Nome, data di nascita e indirizzo (quando violati insieme)
    • Modulo di raccolta dei dati dello studente
  3. Perdita finanziaria – quando almeno una delle informazioni seguenti viene violata:
    • Informazioni bancarie presenti sulle buste paga o moduli di assunzione
    • Software dei pagamenti, informazioni di fatturazione o conti bancari
  4. Danno alla reputazione – quando almeno una delle informazioni seguenti viene violata:
    • Registri di gestione delle prestazioni del personale
    • Registri del comportamento degli studenti
    • Registri sulla protezione dei bambini
  5. Perdita di riservatezza – quando almeno una delle informazioni seguenti viene violata:
      • Registri di gestione delle prestazioni del personale
      • Registri sulla protezione dei bambini
  6. Svantaggio sociale – quando almeno una delle informazioni seguenti viene violata:
    • Informazioni sul libro paga
    • Registro dei premi agli studenti
    • Informazioni sugli studenti che ricevono borse di studio o altro sostegno finanziario

Le violazioni devono essere segnalate anche quando riguardano le seguenti informazioni sensibili:

  • Origine razziale o etnica
  • Opinioni politiche, religiose o convinzioni filosofiche
  • Affiliazioni sindacale
  • Dati genetici
  • Informazioni sulla salute
  • Dati riguardanti la sfera sessuale
  • Condanne penali e reati o misure di sicurezza affini

In una scuola, i dati sensibili sono conservati in molteplici luoghi, per esempio nel sistema di gestione delle informazioni, nei moduli di assunzione del personale e degli alunni, nei moduli di raccolta dei dati, nelle cartelle cliniche del personale e degli alunni, e nei verbali delle riunioni sindacali.

Impara tutto quello che devi sapere sul GDPR

Se non conosci ancora bene la nuova normativa ma devi adeguare l’organizzazione per cui lavori ai suoi obblighi, frequenta un corso di formazione di IT Governance. Scegli tra la modalità Live Online (corso online in cui interagisci con il trainer e gli altri partecipanti) o a distanza (corso a moduli per studiare quando e da dove vuoi).

Corso Live Online

Corso a distanza

Maggiori informazioni >>

Maggiori informazioni >>

 

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.