Il seguente articolo con titolo “Siti web sicuri per le scuole: ecco come farli bene” è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 15 luglio 2022: https://www.agendadigitale.eu/scuola-digitale/siti-web-sicuri-per-le-scuole-ecco-i-principali-aspetti-da-considerare


Negli ultimi mesi le istituzioni si sono mosse per spingere le scuole a creare siti web aggiornati e in linea con le indicazioni dell’Agenzia per l’Italia Digitale.

Oggi, infatti, tutti gli istituti sono dotati di un sito web per comunicare con l’esterno e rendere partecipe la comunità scolastica delle attività svolte e dei progetti realizzati, ma non sempre i portali istituzionali sono chiari, accessibili e facilmente navigabili da parte degli utenti.

Spesso capita di imbattersi in siti web obsoleti e non conformi ai modelli più recenti, sia per quanto riguarda il design, che per l’usabilità e la sicurezza.

Restyling dei siti web delle scuole: il progetto PA digitale 2026

Vista l’indispensabilità dello strumento e la necessità di creare portali più moderni e sicuri, il Ministro dell’Istruzione e il Ministro per l’innovazione tecnologica e la transizione digitale hanno recentemente reso disponibili per gli istituti i fondi del PNRR per la realizzazione dei nuovi siti web, richiedibili fino al 23 settembre 2022.

Lo scopo è quello di creare scuole più moderne ed efficienti tramite portali al passo con l’innovazione e la sicurezza, e strutturati su un modello standard che migliori l’esperienza digitale di genitori, studenti e dell’intera comunità scolastica.

Come detto, l’aspetto legato alla protezione dei dati personali è prioritario, e incide sul valore della piattaforma che ciascun istituto sceglie di utilizzare.

Vediamo dunque quali sono gli elementi a cui prestare maggiore attenzione per garantire ai visitatori del sito il massimo livello di sicurezza.

Informativa privacy

Per prima cosa tutti i siti devono essere dotati di un’informativa privacy, in quanto la scuola attraverso il portale istituzionale tratta una grande quantità di dati personali.

Pensiamo alle informazioni raccolte di default dal server (indirizzo IP, dati di navigazione) nel suo normale funzionamento, oppure ai dati comunicati direttamente dall’utente quando compila un modulo online (come ad esempio quelli per l’invio e ricezione delle MAD, o per le richieste di contatto).

La scuola deve perciò fornire agli utenti le informazioni sui dati raccolti dal sito e sui relativi trattamenti ai sensi degli artt. 12 e 13 del GDPR.

Una buona pratica è quella di rendere disponibile l’informativa tramite un link posto nel footer della pagina.

È infatti preferibile che l’informativa sia consultabile da ogni sezione del sito, e non solo dall’homepage.

Inoltre, per un più efficiente adempimento dell’obbligo di intelligibilità, è opportuno fare precedere o seguire i diversi punti di raccolta di dati personali/moduli da un’informativa contenente le informazioni direttamente riferibili alla raccolta stessa.

Cookie policy

Ad oggi sono ancora molte le scuole che devono adeguarsi alle “Linee guida cookie e altri strumenti di tracciamento” approvate dal Garante per la Protezione dei Dati Personali (provvedimento n. 231 del 10 giugno 2021).

Capita perciò spesso di notare, navigando in rete, come molti siti siano sprovvisti di banner per l’accettazione di cookie di terze parti, o come vi siano cookie policy non aggiornate.

Di solito i cookie di terze parti derivano dalla presenza nel sito di elementi incorporati da piattaforme esterne (come video di YouTube o Vimeo, mappe di Google, ecc), oppure da plugin di social media, news feed o funzionalità simili.

Relativamente ai sistemi di tracciamento, l’Autorità si è da poco pronunciata sul caso Google Analytics, invitando “tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali”.

È importante infine ricordare come la cookie policy non debba essere “copiata” da altri siti (seppur con attività simili), poiché non è detto che i sistemi di tracciamento siano gli stessi.

Protocollo HTTPS

Per tutti i siti si consiglia di adottare un protocollo HTTPS (Hyper Text Transfer Protocol Secure), che garantisce che le informazioni scambiate tra il browser dell’utente e il portale web siano crittografate.

L’ HTTPS viene utilizzato principalmente per proteggere le transazioni online e i dati altamente confidenziali, ma anche i siti delle scuole sono spesso dotati di un’area riservata in cui vengono trasmesse informazioni personali.

Inoltre, un sito creato semplicemente in HTTP mostra l’indicazione “non sicuro” nella barra degli indirizzi, e questo a livello di “percezione” è quanto di peggio si possa trovare navigando in rete.

Oltre al vantaggio della sicurezza e della cifratura delle informazioni, l’utilizzo di un protocollo HTTPS consente al sito dell’istituto di posizionarsi in cima alla lista dei risultati dei principali motori di ricerca.

Google, ad esempio, penalizza i siti non HTTPS (e infatti un sito HTTP, anche a parità di qualità di contenuti e autorevolezza, viene mostrato più in basso nei risultati rispetto a un sito che usa il protocollo HTTPS).

Scelta del fornitore

Altro aspetto fondamentale è quello della sicurezza del fornitore del “web hosting”, che dev’essere un soggetto qualificato presente sul Cloud Marketplace di AgID (come SCUOLASTICO), e che ha il compito di informare preventivamente il titolare del sito sulla locazione del server e su altri aspetti.

Il fornitore va nominato dall’istituto “responsabile esterno del trattamento”, in quanto i dati che transitano sul sito vengono visualizzati anche da terzi, ed è perciò fondamentale definire i ruoli per essere certi di ottemperare al principio di accountability che determina le responsabilità del titolare rispetto alle informazioni raccolte.

Accessibilità

La scuola deve verificare costantemente l’accessibilità del proprio sito web, cioè la possibilità per utenti diversi, in differenti contesti, di accedere all’interfaccia grafica e ai contenuti.

Rendere un sito accessibile significa consentire l’accesso alle informazioni anche a persone con disabilità fisiche di diverso tipo, e a chi dispone di strumenti hardware e software limitati.

Pubblicazione dei contenuti e delle informazioni personali

Tutti i documenti e le informazioni che vengono pubblicati sul sito (e perciò anche quelli divulgati per finalità di trasparenza e pubblicità) devono rispettare la privacy degli interessati.

Le scuole, come tutti gli enti pubblici, hanno il dovere di prestare la massima attenzione nella scelta dei dati personali da utilizzare, soprattutto in merito alle categorie di dati particolari e ai dati relativi a condanne penali e reati.

Il Garante qualche anno fa ha pubblicato le Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, per fornire precise indicazioni a tutte le P.A.

Tramite tale orientamento l’Autorità ha definito gli obblighi di pubblicazione sul web, e specificato, in merito alle categorie di dati particolari e ai dati relativi a condanne penali e reati, che tali dati “sono protetti da un quadro di garanzie particolarmente stringente che prevede la possibilità per i soggetti pubblici di diffondere tali informazioni solo nel caso in cui sia previsto da una espressa disposizione di legge e di trattarle solo nel caso in cui siano in concreto “indispensabili” per il perseguimento di una finalità di rilevante interesse pubblico come quella di trasparenza; ossia quando la stessa non può essere conseguita, caso per caso, mediante l’utilizzo di dati anonimi o di dati personali di natura diversa”.

I dati particolari e i dati relativi a condanne penali e reati possono quindi essere pubblicati solo in caso sia previsto da una espressa disposizione di legge e regolamento, e solo se siano in concreto “indispensabili”, ossia se la finalità di trasparenza non possa essere conseguita con dati anonimi o dati personali di natura diversa.

In questi casi devono inoltre essere adottate specifiche misure tecniche per impedire l’indicizzazione dei dati da parte dei motori di ricerca e il loro riutilizzo.

Come ricorda anche il Garante italiano nelle FAQ “Trasparenza online della P.A. e privacy, prima di procedere alla pubblicazione di contenuti sul sito web di documenti, ogni P.A. deve:

  • Individuare se esiste un presupposto di legge o di regolamento che legittima la diffusione del documento o del dato personale
  • Verificare, caso per caso, se ricorrono i presupposti per l´oscuramento di determinate informazioni
  • Sottrarre all´indicizzazione (cioè alla reperibilità sulla rete da parte dei motori di ricerca) i dati sensibili e giudiziari, come ricordati al punto precedente.

Ogni istituto ha perciò il dovere di pubblicare online solo informazioni la cui diffusione risulti realmente necessaria, in maniera proporzionata alla finalità di trasparenza perseguita e prevista dalle norme.

Inoltre, qualora la scuola intenda pubblicare dati personali ulteriori rispetto a quelli obbligatori ai fini della trasparenza, deve procedere prima all’anonimizzazione delle informazioni, evitando soluzioni che consentano l’identificazione, anche indiretta o a posteriori, dell’interessato.

Diritti d’autore

Prima di pubblicare sul sito qualsiasi contenuto è necessario accertarsi che il materiale sia liberamente riproducibile oppure acquisire il consenso dell’autore.

Relativamente alle risorse reperite in rete, si consiglia di consultare sempre con attenzione le note legali.

Solo in caso si leggano frasi come “tutti i diritti liberi”, o “materiale liberamente utilizzabile”, è possibile pubblicare il contenuto senza richiedere nulla al suo autore.

In ogni caso, quando si utilizzano materiali di terzi occorre altresì indicare la fonte da cui è stata ricavata la risorsa (o il sito di provenienza, in caso di immagini).

Conclusioni

In base a quanto detto, il sito web assume un ruolo centrale a livello comunicativo, in quanto consente alla scuola di raggiungere una vasta platea di utenti.

Ciascun istituto dovrebbe perciò redigere un regolamento interno affinché il portale ottemperi alle prescrizioni AgID e del Garante, rispetti la privacy degli interessati, sia accessibile, facilmente consultabile e costantemente aggiornato, e rispecchi l’immagine della scuola, promuovendo un rapporto partecipativo e organizzativo tra i membri della comunità.