Le scuole devono verificare che i servizi ICT da loro utilizzati siano conformi al GDPR, in particolare verificando se gli accordi di servizio con i provider prevedono il trasferimento dei dati e, nel caso fosse così, che questo sia svolto in accordo alla normativa europea.
Con questa indicazione, contenuta nella circolare del 20 marzo chiamata “Approfondimenti tecnici di supporto per le istituzioni scolastiche”, il Ministero dell’Istruzione e del Merito porta all’attenzione delle scuole il tema dell’adeguamento al regolamento europeo, con particolare enfasi sull’aspetto del trasferimento dei dati che non sempre è chiaro ai non addetti ai lavori e rappresenta un terreno di possibili errori.
Un tema spesso foriero di dubbi operativi, soprattutto in relazione alle conseguenze della sentenza Schrems II e della dichiarazione di invalidità del Privacy shield, come commenta l’avvocato Andrea Lisi “la verità è che si tratta di una questione particolarmente spinosa che spero si risolva a breve politicamente con un accordo sensato tra UE e USA”.
Indice degli argomenti
Scuole e trasferimento dati, cosa chiede il Ministero dell’istruzione
Ricordando il capo V dell’articolo 44 del GDPR, il Ministero spiega alle scuole che “preme sottolineare l’importanza di verificare il luogo di stabilimento del fornitore di servizi ICT e l’ubicazione dei data center coinvolti nel trattamento ai fini di valutare l’applicabilità o meno delle garanzie previste per il trasferimento dei dati personali verso Paesi terzi“. L’ente poi ha ricordato la sentenza Schrems II della Corte di giustizia UE, in merito all’invalidità del Privacy shield e sottolineando che ” il responsabile del trattamento può comunque trasferire dati personali verso gli Stati Uniti, solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi” oltre al fatto che la Corte ha disposto la responsabilità in capo al titolare del trattamento di verifica di ogni singolo flusso transfrontaliero dei dati.
Alla luce di ciò, il Ministero ha invitato le scuole a verificare attraverso gli accordi di servizio che i servizi informatici in uso agli istituti siano conformi al GDPR. Nel caso emergesse poi che tali accordi di servizio prevedono e consentono il trasferimento di dati, le scuole dovranno sincerarsi che questo avvenga nel rispetto del GDPR, in particolare delle disposizioni dell’articolo 46.
La verifica di conformità di Microsoft e Google
Il Ministero poi nella circolare suggerisce alcuni documenti che possono tornare utili alle scuole per svolgere la verifica di conformità relativa ai servizi forniti da Microsoft e Google, al fine di semplificare le operazioni per gli istituti scolastici. In particolare, il Ministero indica il DPA di Microsoft del gennaio 2023, chiedendo inoltre particolare attenzione alla versione di Office 365 utilizzata.
Riguardo a Google, il Ministero sottolinea alle scuole che il fornitore tratta i dati “dei clienti dei servizi Google Cloud Platform, Google Workspace e Cloud Identity sulla base del Cloud Data Processing Addendum (CDPA)” e che nel caso il trasferimento dei dati venga disposto verso un Paese che non rientra in una decisione di adeguatezza, verranno applicate le clausole contrattuali tipo come da articolo 46 del GDPR.
Poiché la natura di queste verifiche è tecnica, il Ministero ha raccomandato alle scuole di svolgere le operazioni coinvolgendo i referenti informatici e il proprio DPO.
Il caso delle richieste di MonitoraPA
Secondo Lisi “la risposta del Ministero dell’istruzione e del merito non può sorprendere per la sua inevitabile genericità. Nella logica del GDPR – che è pervasa dal principio di accountability – sono i titolari a dover ragionare con attenzione sui rischi per i diritti e le libertà degli interessati e quindi provvedere a minimizzarli applicando adeguate misure di sicurezza”.
Dunque “alla fin fine, il Ministero ben avrebbe potuto evitare di pubblicare quella nota, lasciando i vari istituti scolastici ad arrovellarsi nel dover fornire complicate risposte a MonitoraPA che continua a bersagliare le malcapitate PA italiane con richieste massive di accesso (effettuate quindi con procedure automatizzate) relative alla nota questione dei trattamenti transfrontalieri di dati personali che possono presuntivamente determinarsi nel momento in cui si scelgono provider che devono conformarsi a normative extra UE non compliant con la normativa europea”.
Scuole e migrazione al cloud
A proposito di ciò, Lisi ha evidenziato che “come ricordato tra le righe nella stessa nota, è stato il nostro Sistema Paese a indicare la strada della qualificazione di tali provider per poter avvalersi delle logiche ‘cloud oriented’ consigliate nello stesso PNRR. E sarebbe singolare poi che il nostro stesso Stato si rimangi la parola normativamente data“.
Infatti nella circolare il Ministero ha ricordato che le misure previste dal PNRR in tema di migrazione al cloud possono essere utili strumenti per tutelare l’uso corretto dei dati di studenti e personale scolastico, attraverso servizi implementati su cloud qualificati o disponibili in aree riservate sui siti delle scuole.