Allerta violazione dei dati personali. Il ministero dell’istruzione richiama tutto il personale ad informarsi sulle procedure da seguire in caso di data breach, violazione dei dati personali, e mette in evidenza che scuole e istituti possono delegare al loro Dpo (responsabile della protezione dei dati) la compilazione del registro delle violazioni privacy, la cui tenuta è obbligatoria.

È quanto emerge da una recente nota (n. protocollo 5319) del direttore generale della direzione per la progettazione organizzativa, Antonio Di Liberto, inviata ai dipartimenti del ministero e agli uffici scolastici regionali.

L’occasione della diffusione di questo pressante monito ad alzare la guardia, facendo gioco di squadra, contro i possibili data breach, secondo quanto dichiarato dalla citata nota del 2 agosto 2023, è stata la revisione delle Linee guida n. 9/2022, del Comitato Europeo per la Protezione dei Dati (EDPB), sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679 (versione 2.0).

Peraltro, l’Edpb ha adottato questa seconda versione delle Linee Guida già lo scorso 28 marzo 2023, riproducendo in molte parti la precedente versione, risalente al 6 febbraio 2018. È chiaro, quindi, che la nota ministeriale non ha solo il valore di una informativa di aggiornamento di un documento noto da qualche mese, ma ha soprattutto il significato di una chiamata a raccolta: la protezione dei dati è una cosa seria e tutti i dipendenti devono fare la loro parte, informandosi sui rischi e collaborando a prevenirli e, quando capita un data breach, a minimizzare eventuali danni.

È statisticamente provato, infatti, che il maggior numero di data breach è conseguenza di un errore umano, con la inevitabile conseguenza di una sanzione del Garante della privacy (si veda Italia Oggi del 16/5/2023 e 11/7/2023).

La parte più significativa della nota ministeriale, dunque, è quella in cui gli estensori della stessa chiedono all’intera struttura ministeriale e agli uffici scolastici regionali di invitare, con le modalità ritenute più opportune, tutti i dipendenti in servizio a prendere visione della documentazione relativa alle Linee Guida Edpb e a procedere alla periodica consultazione delle informazioni e dei documenti pubblicati nella sezione “Privacy”, rinvenibile nell’area riservata del sito del Ministero.

Tra queste informazioni, la nota in commento segnala le Linee Guida per la gestione operativa dei data breach del Ministero (ultima versione agosto 2021): sono le linee guida interne, sulla base delle quali gli uffici scolastici regionali hanno costituito le loro unità di presidio regionale per la gestione degli incidenti di sicurezza e la gestione operativa dei data breach sugli archivi digitali e sugli archivi cartacei.

Questo richiamo all’obbligo di aggiornamento del personale implica che vi sia documentazione dell’avvenuta presa di conoscenza da parte del personale degli strumenti informativi messi a disposizione dal ministero. E, anche su questo, i DPO delle scuole dovranno giocare un ruolo sia curando iniziative informative e di consulenza, sia sorvegliando che tutto ciò avvenga, scuola per scuola.

Nella nota, non a caso, si pone l’accento sul fatto che la prevenzione dei data breach passa attraverso appositi programmi di formazione e sensibilizzazione del personale sugli obblighi di privacy e sicurezza. E ciò soprattutto su aspetti pratici. La stessa circolare cita i passaggi delle Linee Guida Edpb sull’opportunità di richiamare periodicamente l’attenzione dei dipendenti sui più comuni errori nel trattamento dei dati e sulle strategie per evitarli. A partire da una serie di buone prassi, riprese dalla nota: il cosiddetto “clean-desk” e cioè ordine nell’organizzazione di file e dei documenti; un’attenta azione di riesame dei file prima dell’invio a mezzo posta elettronica: l’impedimento dell’uso incontrollato di chiavette usb e della funzione di stampa dello schermo; la tempestiva disabilitazione degli account istituzionali nel momento in cui un dipendente lascia l’organizzazione; i sistemi di alert per intercettare insoliti flussi di dati tra server e postazioni di lavoro, allo scopo di gestire con immediatezza i casi di esfiltrazione di dati.

Tornando ai Dpo, la nota in esame, entrando nel merito degli adempimenti, rammenta che in caso di data breach al responsabile della protezione dei dati tocca fornire assistenza e informazione alle scuole, assistendo e, nel contempo, controllando gli uffici nella ricostruzione dell’incidente, nella gestione dello stesso e nella individuazione delle cause.

Al Dpo, inoltre, evidenzia la nota ministeriale, la singola scuola potrà, come indicato dall’ultima versione delle Linee Guida Edpb, affidare l’incarico di tenere il registro delle violazioni (articolo 33 Gdpr): è il registro da usare per annotare e documentare tutti gli incidenti, da esibire al Garante in caso di eventuali verifiche e ispezioni.

A riguardo del registro, la circolare sottolinea che lo stesso deve diventare un elenco molto dettagliato di ogni violazione dei dati personali eventualmente capitata, indipendentemente dall’effettiva gravità della stessa e dai rischi effettivamente patiti dagli interessati