Informativa Privacy
ai sensi dell'articolo 13 Regolamento (UE) 2016/679 ("GDPR")
PRIVACY POLICY – Informativa relativa al trattamento dei dati personali
1. Titolare del Trattamento dei Dati
Scuola IIS Almerico Da Schio nella persona del Dirigente por tempore
Codice meccanografico: VIIS01600R
Sede: Via Baden Powell, 33 - 36100 Vicenza
C.F. 80014290243
Mail: VIIS01600r@istruzione.it
Dati del Responsabile della protezione del Dato: Skytekne srls – via Ticino 31 – 36072 Altavilla Vic.na – VI nella persona fisica dell’Avv. Giovanni Bonato mail dpodaschio@skytekne.it
2. Tipologie di Dati raccolti
Fra i Dati Personali raccolti da questo Sito, in modo autonomo o tramite terze parti, ci sono: Cookie e Dati di utilizzo.
Altri Dati Personali raccolti potrebbero essere indicati in altre sezioni di questa privacy policy o mediante testi informativi visualizzati contestualmente alla raccolta dei Dati stessi.
I Dati Personali possono essere inseriti volontariamente dall’Utente, oppure raccolti in modo automatico durante l’uso di questo Sito.
L’eventuale utilizzo di Cookie – o di altri strumenti di tracciamento – da parte di questo Sito o dei titolari dei servizi terzi utilizzati da questo Sito, ove non diversamente precisato, ha la finalità di identificare l’Utente e registrare le relative preferenze per finalità strettamente legate all’erogazione del servizio richiesto dall’Utente.
Il mancato conferimento da parte dell’Utente di alcuni Dati Personali potrebbe impedire a questo Sito di erogare i propri servizi.
L’Utente si assume la responsabilità dei Dati Personali di terzi pubblicati o condivisi mediante questo Sito e garantisce di avere il diritto di comunicarli o diffonderli, liberando il Titolare da qualsiasi responsabilità verso terzi.
3. Finalità del Trattamento dei Dati raccolti
I Dati dell’Utente sono raccolti per consentire al Titolare di fornire i propri servizi, così come per le seguenti finalità: Statistiche di navigazione e Contattare l’Utente.
Le tipologie di Dati Personali utilizzati per ciascuna finalità sono indicati nelle sezioni specifiche di questo documento.
4. Modalità di trattamento
Il Titolare tratta i Dati Personali degli Utenti adottando le opportune misure di sicurezza volte ad impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzate dei Dati Personali.
Il trattamento viene effettuato mediante strumenti informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate. Oltre al Titolare, in alcuni casi, potrebbero avere accesso ai Dati categorie di incaricati coinvolti nell’organizzazione del sito (personale amministrativo, commerciale, marketing, legali, amministratori di sistema) ovvero soggetti esterni (come fornitori di servizi tecnici terzi, corrieri postali, hosting provider, società informatiche, agenzie di comunicazione) nominati anche, se necessario, Responsabili del Trattamento da parte del Titolare. L’elenco aggiornato dei Responsabili potrà sempre essere richiesto al Titolare del Trattamento.
Questo sito è in hosting presso Aruba S.p.a. e per la privacy policy del fornitore si demanda al sito www.aruba.it.
5. Durata del trattamento
I dati necessari per la consultazione e l’utilizzo del sito vengono trattati solo per la durata della connessione.
I dati forniti dall’utilizzatore del sito vengono trattati fino all’assolvimento del motivo di riferimento.
I dati statistici anonimizzati sono consultati per una finestra temporale di 90 giorni.
6. Ulteriori informazioni sul trattamento
I Dati Personali dell’Utente possono essere utilizzati per la difesa da parte del Titolare in giudizio o nelle fasi propedeutiche alla sua eventuale instaurazione, da abusi nell’utilizzo della stessa o dei servizi connessi da parte dell’Utente.
L’Utente dichiara di essere consapevole che il Titolare potrebbe essere richiesto di rivelare i Dati su richiesta delle pubbliche autorità.
6.2 Informative specifiche
Su richiesta dell’Utente, in aggiunta alle informazioni contenute in questa privacy policy, questo Sito potrebbe fornire all’Utente delle informative aggiuntive e contestuali riguardanti servizi specifici, o la raccolta ed il trattamento di Dati Personali.
6.3 Log di sistema e manutenzione
Per necessità legate al funzionamento ed alla manutenzione, questo Sito e gli eventuali servizi terzi da essa utilizzati potrebbero raccogliere Log di sistema, ossia file che registrano le interazioni e che possono contenere anche Dati Personali, quali l’indirizzo IP Utente.
6.4 Informazioni non contenute in questa policy
Maggiori informazioni in relazione al trattamento dei Dati Personali potranno essere richieste in qualsiasi momento al Titolare del Trattamento utilizzando le informazioni di contatto posti all’inizio del documento.
7. Esercizio dei diritti da parte degli Utenti
I soggetti cui si riferiscono i Dati Personali hanno il diritto in qualunque momento di ottenere la conferma dell’esistenza o meno degli stessi presso il Titolare del Trattamento, di conoscerne il contenuto e l’origine, di verificarne l’esattezza o chiederne l’integrazione, la cancellazione, l’aggiornamento, la rettifica, la trasformazione in forma anonima o il blocco dei Dati Personali trattati in violazione di legge, nonché di opporsi in ogni caso, per motivi legittimi, al loro trattamento. Le richieste vanno rivolte al Titolare del Trattamento.
Piattaforma Google Workspace for Education (precedentemente G Suite for Education)
Con la presente si vuole portare alla Vs attenzione la tematica, sollevata da soggetti esterni all’Istituto, relativa alla compatibilità degli strumenti e dei sistemi Google e Microsoft. E’ doveroso premettere che la scelta di ricorrere a tali metodologie didattiche e a tali piattaforme è da ricondurre alle - ben note - esigenze portate dal periodo pandemico. Per la realizzazione della DAD molte scuole hanno deciso di avvalersi della piattaforma Google Workspace for Education (precedentemente G Suite for Education) fornita dalla società Google LCC (di seguito “Google”) e ritenuta idonea a prestare i servizi di didattica a distanza anche dal Ministero dell’Istruzione, che nelle proprie direttive non menzionava l’utilizzo del c.d. software libero. La normativa relativa alla protezione dei dati personali, di matrice europea (Reg. 679/16, GDPR), prevede apposite disposizioni per il trasferimento dei dati in territorio extra UE, al fine di valutare l’adeguatezza del paese terzo ricevente (Capo V - articoli 44 e seguenti del GDPR). In merito alla questione del trasferimento dei dati tra Europa e Stati Uniti, va precisato quanto segue: • La Corte di Giustizia dell’Unione Europea (CGUE) nel caso C 311/18, ha dichiarato l’invalidità della decisione di adeguatezza n. 1250 del 2016 (“Privacy Shield”) con la quale l’Unione Europea aveva validato il contenuto della normativa sul trasferimento dei dati, autorizzando il flusso transfrontaliero tra i Paesi membri dell’Unione Europea e gli Stati Uniti, sulla base del meccanismo previsto dall’art. 45 GDPR; • In mancanza di una nuova decisione di adeguatezza che consenta il trasferimento ai sensi dell’articolo 45 citato, il titolare del trattamento o il responsabile del trattamento può comunque trasferire dati personali verso gli Stati Uniti, solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Possono costituire garanzie adeguate le misure indicate all’art. 46 del GDPR; • La CGUE nella sopra menzionata decisione “Schrems II” ha precisato che ogni titolare del trattamento è responsabile delle verifiche, caso per caso, dei singoli flussi transfrontalieri dei dati, le cui misure di sicurezza devono essere valutate in base alle caratteristiche del trattamento e alle finalità del trasferimento. In sintesi, Corte di Giustizia non ha vietato tutti i trasferimenti tra Europa e Stati Uniti ma più semplicemente annullato la decisione di adeguatezza adottata dalla Commissione europea a valle dell’accordo del cosiddetto Privacy Shield. Il trasferimento di dati personali negli USA – così come in altri Paesi in relazione ai quali, allo stato, non esiste una decisione di adeguatezza – non era vietato prima della Sentenza nota come Schrems II e non è vietato oggi a valle di tale Sentenza. Alla predetta pronuncia hanno fatto seguito alcune decisioni di Garanti Europei, tra i quali il Garante delle Protezione dei dati italiano, il quale ha stabilito che il servizio di Google analytics viola le disposizioni contenute nel Regolamento generale per la protezione dei dati europeo (Gdpr), che vieta esplicitamente il trasferimento dei dati degli utenti europei in paesi privi degli adeguati livelli di protezione, come gli Stati Uniti. La sentenza è arrivata a seguito di quella che è stata definita dall’autorità come una “complessa istruttoria”, avviata sulla base di numerosi reclami e in coordinamento con le altre autorità privacy europee. L’invalidazione del cd. Privacy Shield ha determinato una maggiore accortezza nel rapporto con le predette piattaforme digitali, consigliate dal Ministero. Viste le richieste di chiarimento giunte agli Istituti scolastici sull’utilizzo di tali Piattaforme, il Ministero con nota prot. n. 706 del 20/03/2023 - Riscontro alle richieste di supporto in merito alla valutazione di conformità al GDPR del trattamento e trasferimento extra UE di dati personali degli utenti delle Istituzioni scolastiche attraverso determinati servizi PEO e piattaforme ICT, ripercorso l’iter cronologico sopra riportato, ha confermato che “tanto Microsoft quanto Google, nella documentazione ufficiale caricata sui rispettivi siti internet dichiarano che il trattamento dei dati, ivi incluso gli aspetti dei trasferimenti transfrontalieri degli stessi, risulta essere conforme rispetto alle norme del GDPR.”. Il Ministero ha altresì precisato che: - Google effettua il trattamento dei dati personali dei clienti dei servizi Google Cloud Platform, Google Workspace e Cloud Identity sulla base del Cloud Data Processing Addendum (CDPA). Il suddetto CDPA disciplina i trasferimenti internazionali di dati all’articolo 10, specificando che in caso il trasferimento avvenga verso un paese non coperto da una decisione di adeguatezza, allo stesso si applicano gli SCC, clausole contrattuali tipo, previste dall’articolo 46 GDPR (<
__________________
18 maggio 2023
Per opportuna informazione, si rende noto che il Garante per la Protezione dei Dati Personali ha pubblicato una versione aggiornata del vademecum “La scuola a prova di privacy”, che si invia in allegato e che può essere reperita anche nella pagina tematica del sito del Garante dedicata al mondo della scuola (http://www.gpdp.it/scuola).
Il nuovo documento, che tiene conto delle modifiche introdotte dal Regolamento europeo in materia di protezione dei dati personali (GDPR) e che attualizza e amplia contenuti già presenti nel vademecum diffuso nel 2016, raccoglie anche i casi affrontati dal Garante con maggiore frequenza, in modo da offrire elementi di riflessione e di approfondimento per tutti coloro che interagiscono con l’ambiente scolastico.
Come la precedente, questa guida non sostituisce l’attività di indirizzo e i poteri correttivi del Garante, ma intende offrire un utile strumento per orientare il mondo scolastico nello svolgimento delle attività di trattamento dei dati di competenza e per assicurare la più ampia protezione dei dati delle persone che crescono, studiano e lavorano in tale settore.