1. Provvedimenti in materia di contenimento e gestione dell'emergenza epidemiologica da COVID 19

U f f i c i o d e l R e s p o n s a b i l e d e l l a P r o t e z i o n e d e i D a t i

P

Circolare 1/2020 del 17/03/2020

Ai Dirigenti Scolastici degli Istituti

Comprensivo Statale di Bogliasco Pieve Sori Comprensivo Statale di Camogli Recco Uscio Comprensivo Statale “Chiavari II”

Comprensivo Statale di Cicagna Comprensivo Statale di Cogorno

Comprensivo Statale “G.B. Della Torre”

Comprensivo Statale di Santa Margherita Ligure Comprensivo Statale “Val di Vara”

Comprensivo Statale “Valli e Carasco”

Comprensivo Statale di Levanto

Comprensivo Statale “Fabrizio de Andrè”

Comprensivo Statale n. 4 della Spezia Comprensivo Statale di Lavagna Comprensivo Statale di Rapallo

Comprensivo Statale di Rapallo – Zoagli Comprensivo Statale di Sestri Levante d’Istruzione Superiore Statale “Liceti”

d’Istruzione Superiore Statale “Caboto”

Provinciale per l’Istruzione degli Adulti Liceo Artistico “Luzzati”

Liceo Tecnico “Natta – De Ambrosis”

Liceo Tecnico “In Memoria dei Morti per la Patria”

Liceo Scientifico e Classico “Marconi Delpino”

Liceo Classico-Linguistico-Scientifico “da Vigo”

OGGETTO: precisazioni in ordine al trattamento e alla protezione dei dati personali con riferimento ai provvedimenti in materia di contenimento e gestione dell'emergenza epidemiologica da COVID-20 19 nelle pubbliche amministrazioni.

1. Provvedimenti in materia di contenimento e gestione dell'emergenza epidemiologica da COVID–19

L’art. 3 del decreto-legge 23 febbraio 2020, n. 6, ha attribuito al Presidente del Consiglio dei ministri la facoltà di adottare, con propri decreti, misure di contenimento e gestione dell’emergenza al fine di prevenire la diffu- sione dell'epidemia da COVID-19. Tale facoltà è stata esercitata con i DD.P.C.M. del 23 e 25 febbraio 2020 e del 1, 8, 9 e 11 marzo 2020, i quali hanno, fra l’altro, disposto misure straordinarie con effetti sulle attività didattiche delle scuole di ogni ordine e grado, sulle modalità di svolgimento delle prestazioni lavorative in forma agile del personale dipendente e su taluni obblighi gravanti sulle persone a maggior rischio epidemio- logico. In talune delle materie sono altresì intervenute le norme di cui al decreto-legge 2 marzo 2020, n. 9.

Il complesso delle disposizioni sopra richiamate ha un non lieve riflesso sulle attività di trattamento dei dati personali e sulle relative misure di protezione, talché è necessario coordinarne l’applicazione con le più gene- rali norme dettate dal Regolamento (UE) 2016/679, dal D. Lgs. 196/2003 e dalle specifiche normative di set- tore. Tale coordinamento è necessario per scongiurare, a un tempo, sia che le norme poste a tutela della

protezione dei dati personali siano disattese in nome di un loro malinteso superamento per effetto della situa- zione emergenziale sia che le medesime siano impiegate in modo ultroneo, cagionando un inutile appesanti- mento delle procedure amministrative talora necessarie talora opportune per l’esercizio delle funzioni di pub- blico interesse nel perdurare dell’emergenza epidemiologica.

2. Base giuridica e modalità dei trattamenti connessi alle attività didattiche e formative a distanza ero- gate durante il periodo di sospensione delle attività didattiche in presenza

L’art. 4, primo comma, lettera (d), del D.P.C.M. 1 marzo 2020 già aveva disposto che “i dirigenti scolastici delle scuole nelle quali l’attività didattica sia stata sospesa per l'emergenza sanitaria, possono attivare, sentito il collegio dei docenti, per la durata della sospensione, modalità di didattica a distanza avuto anche riguardo alle specifiche esigenze degli studenti con disabilita” e successivamente l’art. 2, primo comma, lettera (m), del D.P.C.M. 8 marzo 2020, ha finalmente disposto che “i dirigenti scolastici attivano, per tutta la durata della sospensione delle attività didattiche nelle scuole, modalità di didattica a distanza avuto anche riguardo alle specifiche esigenze degli studenti con disabilità”. Tale ultima disposizione ha cagionato talune difficoltà interpretative in ordine alla base giuridica di legittimazione dei trattamenti conse- guenti.

Va innanzitutto premesso che, a prescindere dall’emanazione delle disposizioni emergenziali sopra richiamate, in condizioni ordinarie la base giuridica per l’effettuazione di attività didattiche e formative a distanza non può determinarsi in modo univoco e aprioristico, ma solo come conseguenza, per ciascuna istituzione scolastica, della specifica e formale programmazione dell’attività didattica. Infatti, laddove le attività didattiche e forma- tive a distanza siano inserite come strumento ordinario di erogazione e valutazione negli atti di programma- zione di cui all’art. 3 del D.P.R. 8 marzo 1999, n. 275 nonché coerentemente adottate ai sensi dell’art. 4, comma 5, del medesimo decreto, nel rispetto delle competenze del consiglio d’Istituto e del collegio dei docenti come definite dagli artt. 7 e 8 del Decreto Legislativo 16 aprile 1994, n. 297, allora i trattamenti ad esse relativi sarebbero legittimati dalla base giuridica prevista dall’art. 6, primo paragrafo, lettera (e) e terzo paragrafo, lettera (b), del Regolamento (UE) 679/2016, che opera quando “il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento”. Invece, in assenza di tale esplicita e formale programmazione e adozione, i trattamenti conse- guenti ad attività didattiche a distanza comunque poste in essere sono di regola soggetti al preventivo consenso degli interessati o di chi esercita su di essi la responsabilità genitoriale, ai sensi dell’art. 6, primo paragrafo, lettera (a) e dell’art. 7 del Regolamento (UE) 679/2016, in quanto classificabili come attività meramente ausi- liarie e facoltative.

Ciò è diretta conseguenza di quanto disposto dall’art. 2 ter del D. Lgs. 196/2003 come novellato dal D. Lgs.

101/2018, che dispone che: “La base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”.

Venendo ora al dispositivo del D.P.C.M. 8 marzo 2020, per determinare quale base giuridica debba applicarsi alla previsione di cui al relativo art. 2, primo comma, lettera (m), occorre innanzitutto esaminare la posizione del decreto de quo nella gerarchia delle fonti del diritto e se esso abbia natura tale da essere ricompreso nelle previsioni di cui all’art. 2 ter del D. Lgs. 196/2003. Dal punto di vista squisitamente formale, esso non avrebbe le caratteristiche di atto di natura regolamentare, in quanto non adottato con le formalità di cui all’art. 17 della legge 23 agosto 1988, n. 400, recante «disciplina dell’attività di Governo e ordinamento della Presidenza del Consiglio dei ministri». Tuttavia, “secondo un criterio sostanziale (recepito dalla giurisprudenza assoluta- mente prevalente), il potere normativo dell’Amministrazione si distingue da quello provvedimentale per essere caratterizzato dalla natura astratta e generale delle relative disposizioni, in quanto tali innovative dell’ordi- namento giuridico, a differenza della natura concreta e particolare tipica dei provvedimenti amministrativi (sul punto, Cons. Stato, VI, n.6411/2011)” (¹) e quindi, non “è necessario tener conto del nomen iuris attribuito dall’Amministrazione all’atto e del procedimento che ha dato luogo alla sua adozione” (²); ancorché, infatti,

“tutti i regolamenti devono recare la denominazione di «regolamento» ed essere sottoposti al visto e alla registrazione della Corte dei Conti; sono, quindi, inseriti nella Raccolta ufficiale degli atti normativi della

1 MASSIMILIANO DI PIRRO, Manuale di diritto amministrativo – Le fonti del diritto amministrativo, Gruppo Editoriale Simone, Vol. 4 – Ed. XXX, p. 6

2 Ibidem

Repubblica italiana, pubblicati sulla Gazzetta Ufficiale ed entrano in vigore dopo un periodo di vacatio di quindici giorni dalla pubblicazione (salva l’indicazione di un termine più breve). Viene, però, fatto notare che la scelta legislativa operata dalla L.400/1988 ha comportato un deciso aumento degli atti ministeriali emanati al di fuori delle suindicate regole procedurali, indotto dalla volontà dell’organo politico di sottrarsi ai mag- giori condizionamenti che esse comportano” (³). Secondo tale interpretazione dottrinale, pertanto, si ha che

“più in generale, la categoria delle fonti secondarie comprende tutti gli atti espressione del potere normativo della pubblica amministrazione statale o di altri enti pubblici, trattandosi di atti formalmente amministrativi, ma sostanzialmente normativi” (⁴). Pertanto, sotto il profilo sostanziale e fino ad eventuali contrarie pronunce del giudice amministrativo, il D.P.C.M. 8 marzo 2020 deve essere considerato come un atto regolamentare esecutivo e di attuazione della norma primaria in quanto dotato delle necessarie caratteristiche di astrattezza, di innovatività dell’ordinamento e di adozione in esecuzione di un atto avente forza di legge.

Conseguentemente, sempre secondo tale prevalente interpretazione sostanziale, la previsione dell’attivazione da parte del dirigente scolastico, per tutta la durata della sospensione delle attività didattiche, delle modalità di didattica a distanza (art. 2, primo comma, lettera m, del D.P.C.M. 8 marzo 2020) ha natura di disposizione normativa regolamentare ed è pertanto ex se sufficiente a legittimare (art. 2 ter del D. Lgs. 196/2003) il relativo e occorrente trattamento dei dati come “necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento”. Non è pertanto necessario acquisire il consenso da parte degli interessati, se maggiorenni, o di chi esercita la responsabilità genitoriale su di essi, se minorenni, ancorché la modalità di didattica a distanza non sia stata previamente adottata dagli organi collegiali competenti ai sensi degli artt. 3 e 4 del D.P.R. 8 marzo 1999, n. 275.

La non necessità del consenso non fa venir meno gli obblighi posti in capo al titolare del trattamento di fornire le informazioni di cui agli artt. 13 e 14 del Regolamento (UE) 679/2016, tuttavia ciò non comporta che si debba fornire una nuova specifica informativa per la didattica a distanza, ma solo che debba essere eventualmente aggiornata e integrata l’informativa già a suo tempo resa agli interessati – o a chi per essi – per i trattamenti istituzionali. In questo caso essa potrà essere nuovamente resa agli interessati avvalendosi per esempio degli strumenti di comunicazione e diffusione telematica incorporati nelle stesse piattaforme di didattica a distanza ovvero in quelle cosiddette di comunicazione «scuola/famiglia» o mediante la pubblicazione nelle apposite sezioni del sito istituzionale. In molti casi l’aggiornamento potrebbe solamente consistere nell’aggiornamento dell’elenco dei responsabili del trattamento, come verrà più avanti chiarito.

Non vi è dubbio alcuno, invece, che ove per l’attivazione delle attività di didattica o formazione a distanza le istituzioni scolastiche ritengano di avvalersi di piattaforme in cloud fornite da aziende e organizzazioni del settore, sussista imprescindibilmente l’obbligo di designare tali aziende o organizzazioni quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento (UE) 679/2016, mediante un atto giuridico di natura contrat- tuale o equivalente. A questo proposito, deve essere rispettato quanto previsto dal primo paragrafo del già citato art. 28 e cioè che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato”. Per la specificità del servizio reso, tra le garanzie che debbono essere fornite vi è quella del possesso da parte del fornitore della qualificazione quale Cloud Service Provider presso l’Agenzia per l’Italia Digitale, in ottemperanza a indicato nelle circolari n. 2/2018 e 3/2018 della stessa Agenzia, e quindi, operativamente e concretamente, la sua inclusione nell’elenco dei servizi cloud abilitati, pubblicamente accessibile sul sito https://cloud.italia.it/it/qualificazioni/

Tanto la necessità di fornire accurate informazioni agli interessati su chi tratterà i loro dati, da un lato, quanto la necessità di designare formalmente i fornitori delle piattaforme sulla base di specifiche garanzie, dall’altro, impongono che siano scoraggiate le autonome – seppur lodevoli – iniziative dei singoli docenti tese a reperire e poi impiegare operativamente strumenti teledidattici variamente offerti o resi disponibili sul web, che po- trebbero difettare dei requisiti per un corretto e sicuro trattamento dei dati personali o persino rivelarsi degli strumenti suscettibili di raccogliere e impiegare illecitamente i dati raccolti. Sarà invece opportuno che gli

3 E. CASETTA, Manuale di diritto amministrativo, Milano, 2002, p.333

4 P. ACCARDI et aliis, Dalla centralità del Parlamento alla centralità del Governo: l’evoluzione della forma di Governo a Costituzione invariata, Ministero dell’Interno – Scuola Superiore dell'Amministrazione dell'Interno – XXV Corso di formazione dirigenziale, Roma, p. 44

strumenti effettivamente impiegati siano formalmente scelti dopo una finale valutazione sia di efficacia sia di sicurezza da parte del dirigente scolastico e che questi costituiscano gli unici strumenti operativamente impie- gati, anche a salvaguardia degli stessi docenti, che potrebbero altrimenti essere chiamati in causa in qualità di diretti titolari dei trattamenti da loro posti in essere autonomamente.

Infine, è sempre e comunque necessario applicare il principio della «minimizzazione dei dati» di cui all’art. 5 del Regolamento (UE) ovvero evitare che siano posti in essere trattamenti e siano impiegati dati personali eccedenti e non pertinenti la specifica finalità che si intende conseguire. Per evitare indebite e involontarie diffusioni e comunicazioni di dati personali è raccomandabile, ogni qualvolta sia possibile, ricorrere alla pseu- donimizzazione in sostituzione dei dati anagrafici in chiaro, per esempio utilizzando numeri di matricola asse- gnati ai discenti, ed evitare, con opportune misure tecniche, che gli strumenti di telecomunicazione insiti nelle piattaforme di didattica a distanza consentano la ricezione o trasmissione rispettivamente da o verso terzi non facenti parte della comunità scolastica.

3. Astensione da autonome iniziative tese a monitorare o a rilevare, al di fuori dei casi previsti dall’or- dinamento, l’esistenza vera o presunta di situazioni personali di maggior rischio epidemiologico.

I decreti e le ordinanze emanate dalle autorità centrali dello Stato e dai governatori delle Regioni hanno stabilito taluni obblighi di comunicazione alle persone che per ragioni attinenti al loro stato di salute o per i luoghi di soggiorno o provenienza si trovano in condizioni di maggior rischio con riguardo all’emergenza epidemiolo- gica. In particolare, i Decreti del Presidente del Consiglio dei ministri hanno costantemente individuato nei Dipartimenti di prevenzione dell'azienda sanitaria competente per territorio, nel proprio medico di medicina generale ovvero nel pediatra di libera scelta, i soggetti competenti a ricevere tali comunicazioni, disponendo inoltre che gli operatori di sanità pubblica provvedano alle conseguenti azioni di monitoraggio, prevenzione e contenimento; comprese anche le comunicazioni al datore di lavoro. Tali individuazioni costituiscono la base giuridica per i relativi trattamenti e debbono essere considerate tassative, quindi al di fuori degli operatori di sanità, delle circostanze e dei casi previsti da norme di legge o regolamentari, non è in generale lecito ad altri soggetti, ancorché nell’esercizio di pubbliche funzioni tuttavia non comprese nell’ambito sanitario o della pub- blica sicurezza, raccogliere informazioni o sollecitare dichiarazioni inerenti agli spostamenti o allo stato di salute proprio o dei familiari dei dipendenti o degli utenti di pubblici servizi. A tale proposito il Garante per la protezione dei dati personali ha formulato specifiche raccomandazioni, di seguito riportate testualmente:

“L’Ufficio sta ricevendo numerosi quesiti da parte di soggetti pubblici e privati in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di preven- zione dal contagio. Analogamente, datori di lavoro pubblici e privati hanno chiesto al Garante la possibilità di acquisire una «autodichiarazione» da parte dei dipendenti in ordine all’assenza di sintomi influenzali, e vicende relative alla sfera privata.

Al riguardo, si segnala che la normativa d’urgenza adottata nelle ultime settimane prevede che chiunque negli ultimi 14 gg abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, debba comunicarlo alla azienda sa- nitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario.

I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e gene- ralizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.

La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.

L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al si- stema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

Resta fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pe- ricolo per la salute e la sicurezza sui luoghi di lavoro. Al riguardo, il Ministro per la pubblica amministrazione ha recentemente fornito indicazioni operative circa l’obbligo per il dipendente pubblico e per chi opera a vario titolo presso la P.A. di segnalare all’amministrazione di prove- nire da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati; permangono altresì i compiti del datore di lavoro relativi alla necessità di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” de- rivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.

Nel caso in cui, nel corso dell’attività lavorativa, il dipendente che svolge mansioni a contatto con il pubblico (es. URP, prestazioni allo sportello) venga in relazione con un caso sospetto di Coronavirus, lo stesso, anche tramite il datore di lavoro, provvederà a comunicare la circostanza ai servizi sanitari competenti e ad attenersi alle indicazioni di prevenzione fornite dagli operatori sanitari interpellati.

Le autorità competenti hanno, inoltre, già previsto le misure di prevenzione generale alle quali ciascun titolare dovrà attenersi per assicurare l’accesso dei visitatori a tutti i locali aperti al pubblico nel rispetto delle disposizioni d’urgenza adottate.

Pertanto, il Garante, accogliendo l’invito delle istituzioni competenti a un necessario coordina- mento sul territorio nazionale delle misure in materia di Coronavirus, invita tutti i titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.” (⁵)

4. Sicurezza dei trattamenti connessi alle modalità di lavoro agile.

L’art. 1, primo comma, numero (6), del D.P.C.M. 11 marzo 2020 ha stabilito che “le pubbliche amministra- zioni, assicurano lo svolgimento in via ordinaria delle prestazioni lavorative in forma agile del proprio per- sonale dipendente, anche in deroga agli accordi individuali e agli obblighi informativi di cui agli articoli da 18 a 23 della legge 22 maggio 2017, n. 81 e individuano le attività indifferibili da rendere in presenza”. Tale previsione del lavoro agile come modalità ordinaria di svolgimento della prestazione lavorativa nelle pubbliche amministrazioni è inoltre attesa come previsione legislativa nel decreto-legge approvato dal Consiglio dei mi- nistri il 16 marzo 2020 e in corso di pubblicazione sulla Gazzetta Ufficiale.

L’adozione delle modalità del lavoro agile non richiede ex se alcuna adempimento di natura informativa agli interessati aggiuntivo o diverso rispetto a quelli già resi ordinariamente, mentre richiede senz’altro una mag- giore attenzione agli aspetti legati alla sicurezza dei trattamenti. Da un punto di vista macroscopico, esso infatti ha in generale la caratteristica di ampliare la cosiddetta superficie di attacco sotto il profilo della sicurezza, sia per la maggiore esposizione di servizi sulle reti dati pubbliche sia per l’impiego di un numero maggiore di apparati non tutti o non del tutto sotto il controllo del titolare del trattamento per quanto riguarda le misure di sicurezza.

Sotto il profilo strettamente tecnologico l’infrastruttura necessaria, almeno per quanto riguarda l’attività delle segreterie degli istituti scolastici, può essere di due tipi, non necessariamente alternativi. Il primo di essi, che potrebbe essere considerato d’elezione, è quello di far un uso il più ampio possibile degli strumenti forniti dalle cosiddette «segreterie digitali», le quali sono già lo strumento operativo individuato dal codice per l’ammini- strazione digitale per l’archiviazione e il trattamento dei documenti digitali, sono generalmente accessibili in cloud essendo sviluppati come Software as a Service (SaaS) e sono naturalmente dotate delle necessarie fun- zionalità di autenticazione, autorizzazione e tracciamento; a tale strumento si accompagnano gli applicativi di tipo amministrativo quando disponibili come SaaS in cloud, l’impiego delle caselle di posta personali fornite dal ministero a tutti i dipendenti dell’amministrazione e accessibili attraverso interfaccia web e infine gli

5 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117

applicativi direttamente forniti dalla pubblica amministrazione centrale, quali per esempio SIDI e altri. Il se- condo tipo di tecnologia infrastrutturale è invece quello che consente di utilizzare da remoto direttamente gli strumenti disponibili presso l’ufficio, realizzando pertanto un più tradizionale telelavoro. Questo tipo di mo- dalità operativa è soprattutto utile quando la gran parte dell’archivio documentale, ancorché digitale, non abbia trovato collocazione nello spazio delle «segreterie digitali».ma sia ancora archiviato su server documentali fisicamente collocati presso le sedi di lavoro oppure quando gli applicativi utilizzati non siano disponibili all’istituto nella modalità cloud ma solo nella tradizionale architettura client/server. Dal punto di vista infra- strutturale questa modalità operativa comporta l’utilizzo di apposite apparecchiature atte ora a consentire ora a impedire e in generale a regolare l’accesso telematico dall’esterno alla rete interna dell’istituto e l’impiego di almeno un apposito computer server destinato sia ad accogliere le sessioni di lavoro degli operatori autoriz- zati che si collegano dall’esterno sia a trasferire loro il medesimo ambiente operativo che essi sono usi trovare quando fisicamente presenti nella sede di lavoro. Sia che si utilizzi la prima tecnologia sia la seconda o en- trambe, sarà necessario che gli operatori da remoto siano dotati di un personal computer – di tipo desktop o laptop – e di una connessione alla rete pubblica Internet, non necessariamente a larga banda.

Quali che siano le tecnologie che si prevede di impiegare, le misure di sicurezza che dovrebbero essere adottate sono almeno le seguenti:

a) per i servizi SaaS in cloud, in perfetta analogia a quanto indicato supra per le piattaforme didattiche, si dovrà verificare il possesso da parte dei fornitori della qualificazione quale Cloud Service Provider presso l’Agenzia per l’Italia Digitale ed effettuare l’obbligatoria designazione di ciascun fornitore quale respon- sabile esterno del trattamento;

b) per i servizi SaaS in cloud che lo prevedano deve essere abilitata l’autenticazione a due fattori, ovvero per esempio la necessità – per accedere ad essi – di sapere non solo le credenziali, ma anche di possedere un dispositivo personale (cellulare, smartphone etc.) previamente registrato sul quale ricevere ogni volta una cosiddetta One Time Password (OTP);

c) per qualunque servizio accessibile devono essere stabilite delle credenziali caratterizzate da password di lunghezza non inferiore a 12 caratteri, prive di senso compiuto e costituite, a un tempo di lettere, cifre e simboli;

d) le password delle credenziali debbono essere sostituite frequentemente e debbono essere sempre al più presto disabilitati gli operatori per i quali venga meno la necessità di accedere ai servizi; l’elenco degli operatori abilitati dovrà sempre essere accuratamente verificato prima di rendere disponibile un servizio;

e) per l’accesso da remoto alla rete dell’istituto si dovranno utilizzare esclusivamente tunnel cifrati costituenti una cosiddetta Virtual Private Network (VPN) tra l’operatore remoto e il punto di accesso (VPN gateway) alla rete interna dell’istituto, evitando nella maniera più assoluta di esporre direttamente i servizi sulla rete Internet, ancorché essi siano protetti da credenziali;

f) per qualunque tipo di servizio accessibile o canale di connessione, deve essere predeterminato un arco orario di disponibilità e una programmazione settimanale, al di fuori dei quali sia del tutto precluso l’ac- cesso al servizio o al canale;

g) sui dispositivi personali in uso agli operatori remoti non dovrebbe di regola essere memorizzato alcun documento o archivio contenente dati personali o informazioni riservate; ove la memorizzazione debba necessariamente avvenire per poterli trattare, allora se il trattamento è temporaneo essi dovranno essere rimossi dal dispositivo personale al termine di esso; se il trattamento è prolungato o ripetitivo essi dovranno essere memorizzati in modalità cifrata;

h) la cifratura e la pseudonimizzazione dovrà essere sempre impiegata per conservare o trasportare informa- zioni su dispositivi rimovibili;

i) i dispositivi personali in uso agli operatori remoti dovranno essere dotati di un software anti-malware che dovrà essere configurato per l’automatico aggiornamento;

j) gli operatori debbono astenersi dal memorizzare sui dispositivi le credenziali di accesso ai servizi e ai canali di accesso;

k) in analogia a quanto raccomandato per le piattaforme didattiche, dovranno essere scoraggiate le iniziative personali e autonome tese a reperire, sperimentare e poi utilizzare servizi e applicativi variamente dispo- nibili sul web al fine di instaurare connessioni di telelavoro o al fine di archiviare documenti digitali su spazi cloud di non provata affidabilità.

Questo ufficio è in ogni momento disponibile a valutare e validare, secondo le specificità delle mansioni e delle attività che dovranno essere attivate in modalità agile, le soluzioni tecniche e le misure di sicurezza più appropriate da utilizzarsi.

5. Considerazioni generali sulla sicurezza

Come è costantemente avvenuto in tutti i casi in cui sono state introdotte su larga scala tecnologie digitali ancora non del tutto ben comprese da molti dei loro stessi destinatari, talune organizzazioni criminali o singoli individui specializzati nel crimine informatico ne hanno ampiamente approfittato per condurre le loro azioni criminose. Lo sforzo straordinario che gli tutti gli operatori della scuola stanno compiendo e compiranno per garantire l’operatività dei pubblici servizi e l’analogo sforzo richiesto ai discenti e alle loro famiglie per fruirne esporranno purtroppo gli uni e gli altri al rischio di divenire vittime di crimini informatici di ogni genere. È pertanto fondamentale mettere in guardia tutta la comunità scolastica di tale rischio, invitando tutti a conside- rare con particolare cautela i messaggi e-mail che dovessero sollecitare all’invio o alla conferma di credenziali o che proponessero di compiere questa o quella azione al fine di superare un blocco nell’accesso ai servizi o a prevenirlo, ancorché esse dichiarino di provenire dall’istituto o da autorità centrali o periferiche della pubblica amministrazione.

Il Responsabile della Protezione dei Dati Dott. Ing. Andreino Garibaldi