Il legislatore europeo, nel GDPR, afferma che i dati devono essere “trattati in maniera da garantire un’adeguata sicurezza… compresa la protezione, mediante misure tecniche e organizzative adeguate”.
Il titolare del trattamento deve pertanto occuparsi di tutti i provvedimenti da adottare per garantire l’integrità dei dati.
Sicurezza e privacy sono due temi strettamente correlati: senza sicurezza non può esserci privacy e senza privacy non può esserci sicurezza.
Perciò, cosa deve fare la scuola?
Il dirigente, in qualità di titolare del trattamento, deve far sì che i dati vengano trattati in modo da garantire un adeguato livello di riservatezza a tutti gli interessati.
Non dimentichiamoci poi che nel mondo della scuola la maggior parte dei soggetti i cui dati vengono trattati sono minori!
Il dirigente deve proteggere questa categoria di utenti da qualsiasi tipo di minaccia e quindi scongiurare la perdita dei loro dati.
La sicurezza non è un tema che si può improvvisare.
Dev’essere programmata fin dal principio, tenendo “conto dello stato dell’arte e dei costi di attuazione”, in base alle proprie capacità e ai propri mezzi.
Ma da dove cominciare? Dall’utilizzo della tecnologia?
L’adozione di moderni sistemi di sicurezza in grado di proteggere le infrastrutture digitali della scuola da attacchi hacking e cracking è fondamentale, ma non basta!
Le nuove tecnologie, da sole, non sono sufficienti a garantire un’adeguata protezione.
L’approccio ideale comprende anche l’educazione e la formazione di coloro i quali trattano informazioni classificate, personali o riservate, affinché adottino comportamenti virtuosi in fase di gestione dei dati.
Questo è il punto di partenza da cui iniziare per ridurre il rischio informatico e prevenire qualsiasi evento che possa determinare la perdita o l’alterazione dei dati.
Il primo investimento è dunque la formazione, anche a livello tecnologico!
Segretari, docenti, collaboratori. Ciascuno di essi ogni giorno tratta un numero considerevole di dati.
Sono loro il vero anello debole della catena!
La formazione legata a una cultura digitale deve necessariamente comprendere anche un’educazione all’uso corretto della tecnologia a disposizione.
Padroneggiare un determinato strumento informatico, infatti, abbatte notevolmente il rischio di incorrere in problemi legati alla dispersione dei dati.
Come fare dunque a garantire un’adeguata formazione?
Il metodo “GDPR Scuola” supporta gli istituti scolastici nel processo di responsabilizzazione del personale interno dell’istituto.
La quarta fase del nostro metodo prevede infatti un piano di formazione, grazie al quale le figure deputate alla gestione dei dati verranno “educate” e responsabilizzate, come indicato dall’art.29 del GDPR.
Gli argomenti da trattare sono molteplici e vanno dai principi sulla protezione dei dati e sul trattamento, fino agli adempimenti in tema di privacy, come l’informativa, il consenso e il registro delle attività di trattamento.
Particolare attenzione dev’essere poi dedicata ai comportamenti da adottare in conseguenza di possibili violazioni di dati, ossia degli episodi di “data breach”.