In tema di protezione dei dati personali, il mondo della sanità è forse il settore più vulnerabile, seguito da quello scolastico.
Negli ultimi anni, infatti, sono stati moltissimi gli studenti colpiti da violazioni dei dati. Secondo gli esperti finanziari e di sicurezza informatica, alcune delle informazioni violate possono essere vendute sul mercato nero e possono creare danni finanziari significativi agli studenti. Ad esempio, uno studente che ha raggiunto la maggiore età e che desidera attivare un proprio profilo finanziario potrebbe essere gravemente penalizzato dalla diffusione di informazioni che lo riguardano.
Ma, chi viola i dati? Non sempre è opera dei criminali informatici; la maggior parte delle volte la violazione è opera degli studenti stessi e del personale scolastico, che più volte è rimasto coinvolto, seppur senza intento criminoso.
Oggi, nell’attuale contesto della didattica a distanza imposta dalla pandemia in corso, questa considerazione è estremamente importante. L’utilizzo di apparati informatici da parte degli studenti è cresciuto in maniera esponenziale, aumentando in modo altrettanto esponenziale tutti i rischi connessi a un utilizzo improprio. Per questa ragione tutti gli esperti di sicurezza informatica raccomandano agli istituti scolastici e agli studenti, di proseguire nell’attività di didattica a distanza assumendo, però, ogni possibile cautela contro possibili problemi informatici, le cui conseguenze sono difficilmente prevedibili ed altrettanto difficilmente mitigabili.
Il GDPR stabilisce che le organizzazioni segnalino alcuni tipi di violazione dei dati all’autorità di vigilanza (Garante Privacy per l’Italia) entro 72 ore dalla sua scoperta. Per le scuole e le università, questa è una delle regole più difficili da rispettare. Le violazioni dei dati personali devono essere segnalate solo se rappresentano un rischio per i diritti e le libertà delle persone fisiche.
Ciò si verifica nel caso in cui la violazione rischia di tradursi in:
- Discriminazione:
- Informazioni sugli studenti con bisogni speciali;
- Informazioni sulla salute degli studenti e del personale;
- Registri sulla protezione dei bambini;
- Stipendiario del personale e informazioni sui salari;
- Progressi degli studenti e registro dei risultati;
- Furto d’identità o frode:
- Nome, data di nascita e indirizzo (quando violati insieme);
- Modulo di raccolta dei dati dello studente;
- Perdita finanziaria:
- Informazioni bancarie presenti sulle buste paga o moduli di assunzione;
- Software dei pagamenti, informazioni di fatturazione o conti bancari;
- Danno alla reputazione:
- Registri di gestione delle prestazioni del personale;
- Registri del comportamento degli studenti;
- Registri sulla protezione dei bambini;
- Perdita di riservatezza:
- Registri di gestione delle prestazioni del personale;
- Registri sulla protezione dei bambini;
- Svantaggio sociale:
- Informazioni sul libro paga;
- Registro dei premi agli studenti;
- Informazioni sugli studenti che ricevono borse di studio o altro sostegno finanziario.
Le violazioni devono essere segnalate anche quando riguardano informazioni sensibili:
- Origine razziale o etnica;
- Opinioni politiche, religiose o convinzioni filosofiche;
- Affiliazioni sindacale;
- Dati genetici;
- Informazioni sulla salute;
- Dati riguardanti la sfera sessuale;
- Condanne penali e reati o misure di sicurezza affini.
In una scuola, i dati sensibili sono conservati in molteplici luoghi, per esempio nel sistema di gestione delle informazioni, nei moduli di assunzione del personale e degli alunni, nei moduli di raccolta dei dati, nelle cartelle cliniche del personale e degli alunni, e nei verbali delle riunioni sindacali. Le famiglie e gli studenti hanno il diritto di conoscere le informazioni trattate e di chiederne la rettifica.