Domande poste allo sportello per l'utilizzo e la protezione dei dati

Una scuola valuta la possibilità di rendere disponibili informazioni come gli elenchi delle classi, gli orari e i contatti del corpo insegnante su un portale destinato ai genitori. È compatibile dal punto di vista della protezione dei dati e a cosa bisogna prestare attenzione?

La domanda se e in che misura informazioni come gli elenchi delle classi debbano essere pubblicate e rese disponibili ai genitori deve essere considerata in modo critico. Qui di seguito sono elencati i punti più importanti da osservare per garantire un trattamento conforme alla protezione dei dati.

Ottenere il consenso: bisogna ottenere in anticipo il consenso di tutte le persone coinvolte e comunicare nella maniera più chiara e trasparente possibile chi ha l'accesso completo al portale. Il consenso deve essere aggiornato regolarmente e documentato con precisione.

Limitazione della pubblicazione: se viene effettuata una pubblicazione sul portale della scuola (anche se è necessario un login), per quanto possibile questa dovrebbe essere limitata al gruppo della classe.

Destinazione vincolata e minimizzazione dei dati: laddove non è possibile evitare una pubblicazione accessibile a tutte le classi, è importante garantire il rispetto della destinazione vincolata e della proporzionalità. Questo significa che la scuola deve informare chiaramente qual è lo scopo per cui necessita i dati. I dati personali possono essere trattati esclusivamente per lo scopo originariamente preposto e per il periodo necessario a realizzarlo. In seguito devono essere cancellati o resi in forma anonima.

Trasparenza: le persone coinvolte devono sapere come, dove e perché i propri dati sono trattati. Questo presuppone che tutte le informazioni a riguardo del trattamento dei dati personali sono chiare, accessibili, comprensibili e intelligibili.

Consensi diversi per scopi diversi: se i dati personali vengono raccolti per scopi diversi, per esempio per i servizi scolastici o le escursioni, è necessario un consenso separato per ogni scopo. Di norma, i consensi generalizzati non soddisfano i requisiti di legge.
 

Un organizzatore di campi estivi desidera ottenere dalla scuola i nomi e gli indirizzi di posta elettronica o postale degli allievi, per poter inviare loro delle informazioni e degli opuscoli sul campo estivo di quest'anno. In qualità di segretaria/o della scuola, può fornire questi dati?

Per la sua organizzazione, la scuola ha il diritto di raccogliere e di trattare i dati personali, quali i nomi e gli indirizzi degli allievi, conformemente alla legge sulla scuola dell'obbligo cantonale. Tuttavia, non vi è un'autorizzazione a utilizzare questi dati per altri scopi e a trasmetterli a terzi. La pubblicità per un campo estivo extrascolastico non rientra negli scopi della scuola previsti dalla legge della scuola dell'obbligo. È possibile, ad esempio, consentire al responsabile del campo estivo di affiggere all'albo della scuola una locandina del campo estivo o di mettere a disposizione gli opuscoli per chi lo desidera. È pure possibile che il corpo insegnante divulghi (di sua spontanea volontà) le informazioni e gli opuscoli, se la proposta è compatibile con gli scopi della scuola.

Per quanto concerne il trattamento dei dati personali, le scuole pubbliche sottostanno alla legge cantonale sulla protezione dei dati.

Delle studentesse e degli studenti hanno condiviso sui social informazioni personali che mi riguardano. Cosa posso fare?

Innanzitutto, è necessario sapere di che tipo di informazioni si tratta: informazioni false, informazioni di libero accesso, insulti, video o altro? Come prima cosa, è raccomandabile di chiedere agli allievi coinvolti di eliminare il contenuto.

Se, in qualità di insegnante, desidera che, un testo o una foto che la concernono, siano rimossi dai social, perché violano i suoi diritti personali, può segnalarlo alla piattaforma interessata. Il provider esaminerà, secondo i suoi standard, la segnalazione e adotterà le misure appropriate.

Se la pubblicazione viola i diritti della persona (ad esempio con rappresentazioni negative o inesatte), si applica la tutela dei diritti della persona ai sensi dell'articolo 28 del Codice Civile (CC). In tal caso, è quindi possibile intentare presso il tribunale civile un'azione per la cessazione o la rimozione. Tuttavia, i procedimenti civili richiedono molte prove e hanno costi elevati.

In alcune circostanze, potrebbe anche trattarsi di una lesione dell'onore ai sensi dell'articolo 173 del Codice penale (CP) (diffamazione), ovvero, se lei, in qualità di insegnante, appare come una persona ignominiosa a causa del post sui social. In tal caso, dovrà presentare, entro tre mesi, una denuncia penale. Tuttavia, non tutte le affermazioni, che vengono percepite come diffamatorie, costituiscono un reato.

Come direttrice o direttore di una scuola, a cosa devo prestare attenzione se gli elenchi delle classi, le note, le schede con i dati per le emergenze, ecc. sono archiviati in un cloud, ad esempio su Microsoft Office 365 Education?

Anche nel caso di esternalizzazione a un cloud, la scuola è pienamente responsabile del trattamento dei dati. Si tratta di un'esternalizzazione di dati personali, in quanto la scuola affida il trattamento dei dati a una terza parte. Non tratta (esclusivamente) i dati in prima persona.

La scuola deve assicurarsi che il fornitore di cloud sia in grado di garantire la sicurezza dei dati. I rischi che esistono nei vari ambiti con le soluzioni cloud, devono essere esclusi dalla scuola, mediante misure appropriate o almeno ridotti a un livello gestibile.

Al momento della trasmissione, i dati devono essere crittografati secondo lo stato attuale della tecnica. Quando i dati vengono elaborati dal fornitore di cloud, la privacy deve essere adeguatamente protetta da misure adeguate. Per ulteriori informazioni, può consultare la scheda informativa di privatim sui rischi e le misure specifiche della tecnologia cloud (francese).

Il trasporto e l'archiviazione dei dati sono già crittografati in Microsoft 365 e Microsoft ne detiene la chiave. Per la crittografia nel cloud, esistono diversi approcci, come l'elaborazione integrata in Microsoft 365 con sovranità sulle chiavi utilizzate dalla scuola (questa soluzione è tecnicamente impegnativa e costosa), la crittografia tramite una soluzione di un fornitore terzo, la crittografia manuale tramite una soluzione utilizzata localmente o tramite un servizio di un fornitore terzo (vedere la guida Microsoft 365 per il settore dell'educazione, punto 4 del responsabile dei dati del Canton Zurigo; tedesco). Per l'applicazione specifica, può anche essere utile chiedere consiglio all'autorità cantonale competente per il controllo della protezione dei dati.

Nella nostra scuola c'è il sospetto che si verifichino atti di bullismo attraverso i dispositivi a finanziamento misto. Come scuola, siamo autorizzati a esaminare i messaggi sui dispositivi? E cos'altro possiamo fare per affrontare il problema?

Qualsiasi sospetto di bullismo deve essere preso sul serio e richiede un'azione immediata. Prima di chiedere di esaminare i dispositivi digitali, si deve cercare il dialogo con le alunne e gli alunni interessati. La gravità della situazione deve essere valutata attentamente. Per esempio, è necessario chiarire le seguenti questioni: il sospetto di bullismo è giustificato? Ci sono minacce? Quali sono i segni concreti? Questi episodi stanno diventando più frequenti?

Se il sospetto è confermato, è possibile verificare l'accesso ai dispositivi. A volte i diritti di licenza del software utilizzato consentono l'accesso ai contenuti. Ad esempio, una licenza scolastica per MS Teams può dare alla scuola diritti di accesso specifici.

Occorre verificare se i genitori, al momento della messa in funzione dei dispositivi, hanno firmato una dichiarazione di consenso che include il diritto di visionare tutte le applicazioni. In questo modo la direzione della scuola si riserva il diritto di accedere ai dispositivi di allieve e allievi in casi particolari.

È importante che prendere visione sia possibile prima di una cancellazione. Se il concedente di licenza e i genitori dispongono del diritto di visionare, ciò è possibile. Inoltre tutte le prove pertinenti presenti sui dispositivi a finanziamento misto devono essere salvate. Può trattarsi di messaggi di testo, immagini o altri tipi di comunicazione digitale.

Se sussiste il sospetto che il contenuto in questione sia penalmente rilevante e la scuola non dispone di mezzi legali per intervenire, è necessario coinvolgere la polizia. Questo può accadere, per esempio, nel caso di minacce, coercizione o traffico di droga.

La maggior parte delle leggi scolastiche o formative e i rispettivi regolamenti prevedono che delle misure disciplinari possano essere prese nei confronti di studentesse e studenti. In determinate circostanze i dispositivi possono anche essere confiscati. Le norme di comportamento si trovano anche nei regolamenti scolastici o comunali.

I nostri allievi utilizzano in classe apparecchiature informatiche, alcune delle quali sono finanziate privatamente. C'è qualcosa di particolare di cui dobbiamo essere consapevoli a questo proposito?

Se i dispositivi (in parte) di proprietà privata (smartphone, portatili, tablet) sono utilizzati per svolgere compiti scolastici, le informazioni devono essere protette da misure tecniche e organizzative adeguate (TOM).

Sono necessarie almeno le seguenti misure:

• Protezione con password o PIN
• Installazione di una protezione antivirus
• Un firewall aggiornato
• Aggiornamenti regolari
• Crittografia per l'archiviazione e la trasmissione di dati sensibili

Anche le apparecchiature finanziate interamente dalla scuola devono essere protette in conformità alle linee guida della scuola o dell'autorità locale per l'uso di hardware e software.

Una fotografa e i genitori hanno fatto foto e video durante uno spettacolo teatrale a scuola. Il docente di classe vorrebbe mettere il filmato dello spettacolo a disposizione di ogni bambina e bambino su un supporto di memoria. Anche i genitori hanno fatto foto e video, e li hanno pubblicati sui social media. I genitori di un allievo che compare nei filmati si sono lamentati. Come deve essere valutata la registrazione e la pubblicazione di immagini da parte della scuola? In che misura la scuola è responsabile delle registrazioni?

Dal punto di vista del diritto d'autore, occorre fare una distinzione tra la registrazione e la fornitura (pubblicazione) di materiale fotografico. Dal punto di vista del diritto d'autore, il consenso della persona interessata non è necessario per la registrazione in quanto tale, ma è necessario per la pubblicazione.

Bisogna inoltre distinguere tra le diverse persone che scattano le fotografie (genitori, corpo insegnante, fotografa/fotografo). Lo stesso vale per lo scopo rispettivamente della fotografia o del filmare, siccome questo è importante per la successiva valutazione dello scopo previsto. A seconda di chi fotografa o filma e per quale scopo, esistono diversi requisiti giuridici (basi legali, consenso).

Di norma, la legge della scuola vigente è sufficiente come fondamento giuridico per proiettare il film in classe o renderlo disponibile su un supporto di memoria per ogni bambina e bambino. Per ulteriori pubblicazioni è obbligatorio il consenso esplicito dei tutori legali e delle alunne e degli alunni coinvolti. Nel caso di pubblicazioni da parte della scuola è importante ottenere il consenso possibilmente in anticipo all'inizio dell'anno scolastico. La dichiarazione di consenso deve includere lo scopo della produzione o dell'elaborazione delle immagini. A seconda della situazione è necessario ottenere un nuovo consenso per il caso corrente e specifico. I genitori e la bambina o il bambino possono ritirare il loro consenso in qualsiasi momento senza dover dare spiegazioni.

La pubblicazione sui social media da parte dei genitori non è una responsabilità della scuola. Nell'interesse della prevenzione e della sensibilizzazione, la scuola potrebbe avvisare prima di uno spettacolo teatrale che i genitori non sono autorizzati a scattare fotografie dei bambini o a pubblicarle sui social media.

Sul sito internet della nostra scuola vorremmo presentare la scuola in un breve videoclip. La musica di Herbert Grönemeyer dovrebbe essere riprodotta in sottofondo. Come possiamo utilizzare legalmente la musica scelta?

I diritti d'autore della musica appartengono a Herbert Grönemeyer o, eventualmente, alla sua casa di produzione. Poiché il sito internet della scuola è pubblico, non è possibile utilizzare la musica senza una licenza. È perciò necessario dichiarare l'uso della musica e ottenere quindi una licenza. In Svizzera, ciò avviene tramite la SUISA, la quale rappresenta i diritti d'autore delle creatrici e dei creatori di musica, come pure le editrici e gli editori, in tutta la Svizzera. La SUISA garantisce che le compositrici e i compositori, le autrici e gli autori di testi, come pure le editrici e gli editori ricevano gli introiti dei diritti d'autore quando la loro opera è utilizzata in pubblico. È possibile richiedere alla SUISA una licenza per la messa a disposizione e la registrazione di file audio su un server, che va dunque pagata.

Questa soluzione potrebbe essere troppo costosa per una scuola, che sceglie, ad esempio, una canzone di Grönemeyer. In tal caso, è possibile optare per della musica libera da diritti d'autore o produrre voi stessi una musica di sottofondo.

Troverete numerose informazioni su l'utilizzo di opere musicali protette dal diritto d'autore nelle scuole sul sito della SUISA.

Nel corso della sua carriera nella nostra scuola, un professore ha creato per le sue lezioni di fisica uno script. Al momento di lasciare la scuola, non intende però metterlo a disposizione, esigendo i diritti d'autore. Il diritto d'autore si applica anche al materiale didattico?

La legge sul diritto d'autore (LDA) si applica anche al materiale didattico. Le insegnanti e gli insegnanti sono assunti, e remunerati, per creare e mettere a disposizione del materiale didattico. I diritti d'autore, dell'utilizzo del materiale scolastico, sono dunque regolarmente trasferiti alla scuola, secondo la legge sul personale, il regolamento scolastico e il contratto di lavoro. Di norma, la scuola può, dunque, decidere il riutilizzo di materiali didattici creati dal corpo insegnante, come gli script e simili.

Ci sono delle eccezioni per le opere create a titolo privato e nel tempo libero. In questo caso il diritto d'utilizzo dell'autore rimane all'insegnante, che decide se e dove l'opera sarà riutilizzata.

Come può una scuola garantire che i dispositivi come computer e tablet vengano smaltiti correttamente e nel rispetto delle norme sulla protezione dei dati? Cos'altro bisogna considerare se si vuole cedere i dispositivi ad altri istituti?

Anche durante lo smaltimento di vecchi dispositivi, soprattutto se li si cede a terzi, bisogna garantire la protezione dei dati.

Di norma i dispositivi vengono smaltiti tramite Swico, un sistema senza fini di lucro per il ritiro di apparecchi elettrici ed elettronici dismessi provenienti dai settori informatica, elettronica di consumo, materiali da ufficio, comunicazione, industria grafica, sistemi di rilevamento e tecnologia medica.

Le scuole possono far ritirare gratuitamente i vecchi apparecchi a partire da un peso di 250 chilogrammi o gli apparecchi di grandi dimensioni con un'altezza minima di 80 centimetri. Tutti i partner contrattuali di Swico sono obbligati a proteggere i dati memorizzati sui dispositivi consegnati da letture non autorizzate. Ulteriori informazioni sono disponibili sul sito web di Swico.

Per garantire la protezione dei dati, indipendentemente dalla società di smaltimento, si consiglia di stabilire la procedura in un contratto o almeno per iscritto, idealmente prima di effettuare l'ordine. Dopo lo smaltimento è inoltre necessario richiedere un verbale corrispondente.

Il tipo di eliminazione dipende dal tipo di dispositivo e dal sistema operativo. Le istruzioni gratuite su come effettuare questa operazione sono disponibili online su portali di media informatici affidabili. L'uso di programmi di cancellazione comporta comunque in parte un rischio, dato che alcune parti della memoria potrebbero non essere cancellate. Per questo motivo si raccomanda di smontare e smaltire tutta la memoria prima di consegnare i dispositivi.

Questo non solo garantisce la protezione dei dati, ma impedisce anche il trasferimento indesiderato di licenze software personali. Anche se è il corpo insegnante a utilizzare i dispositivi per scopi professionali, è compito della scuola assicurarsi che i dati sul dispositivo vengano cancellati in sicurezza.

Se i dispositivi devono essere ceduti o rivenduti per motivi di sostenibilità, è consigliabile collaborare con un'azienda specializzata nella rivendita di dispositivi informatici per garantire che i dispositivi vengano cancellati in modo corretto e ceduti nel rispetto delle norme sulla protezione dei dati.

Il 1. settembre 2023, con l'introduzione della nLPD, cosa cambierà per la mia scuola? Devo occuparmene io come direttrice/direttore della scuola oppure interviene un altro organo?

Il 1. settembre 2023 è entrata in vigore la nuova legge federale sulla protezione dei dati (nLPD). La legge si applica alle autorità federali e alle persone fisiche, ma non agli organi cantonali e comunali, come nel caso delle scuole pubbliche. Per queste ultime, in primo luogo, si applica la legge cantonale sulla protezione dei dati.

Si consiglia di verificare a livello comunale se una scuola deve adattare qualcosa (ad esempio la dichiarazione dei dati del sito)  (si veda anche il nostro articolo «Conseguenze per le scuole della nuova legge sulla protezione dei dati»).

Come scuola privata, quali sono i principali cambiamenti di cui dobbiamo tener conto in base alla nuova legge sulla protezione dei dati?

Il 1. settembre 2023 è entrata in vigore la nuova legge federale sulla protezione dei dati. Questa si applica solo agli organi federali e ai privati (comprese le aziende). Le seguenti modifiche si applicano essenzialmente alle autorità federali e ai privati (si veda anche il nostro articolo «Conseguenze della nuova legge sulla protezione dei dati per i privati e gli organi federali»):

• Estensione dell'obbligo d'informazione: in particolare è necessario redigere una dichiarazione di protezione dei dati, che specifichi le finalità del trattamento e la persona responsabile, con i relativi dati di contatto.
• È pure previsto l'obbligo di tenere un registro del trattamento dei dati (con alcune eccezioni).
• Le sanzioni sono state aumentate, con multe fino a CHF 250'000.
• In caso di violazione della sicurezza dei dati, che possa comportare un rischio elevato per la personalità o i diritti fondamentali dell'interessato, la scuola privata (ad esempio, tramite la direzione della scuola o la persona responsabile) deve informare il prima possibile l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

Come insegnante, vorrei utilizzare l'intelligenza artificiale (AI) per valutare i lavori dei miei allievi. A cosa devo fare attenzione dal punto di vista legale?

Se, come insegnante, intende utilizzare l'AI per valutare i compiti, deve rispettare non solo le norme sulla protezione dei dati, ma anche quelle riguardanti il diritto d'autore. Questo significa che, ad esempio, non è consentito inserire nella ChatGPT dati provenienti dalle produzioni delle studentesse e degli studenti. Inoltre, i sistemi dell'intelligenza artificiale non possono essere utilizzati come unico strumento di valutazione. Come insegnante, deve pure verificare i risultati in base alla griglia di valutazione.

Il Digital Learning Hub del Canton Zurigo fornisce delle informazioni complete sull'AI/ChatGPT. In particolare ha redatto delle guide e delle raccomandazioni (tedesco) per le scuole, gli allievi e il corpo insegnante riguardanti l'utilizzo dell'AI nei lavori di approfondimento e finali.

Un'alunna della nostra scuola è vittima di bullismo da circa tre mesi. Le compagne e i compagni di classe hanno diffuso commenti offensivi su TikTok. Sono inoltre state pubblicate delle foto scattate all'interno del perimetro scolastico che mostrano l'alunna in situazioni imbarazzanti, con alcune delle foto modificate e falsificate. Quali opzioni legali ha a disposizione l'alunna e cosa possiamo fare noi come scuola per combattere il cyberbullismo?

L'alunna può invocare la legge sulla protezione dei dati (LPD). La legge protegge la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento. La manipolazione di immagini in cui sono raffigurate persone costituisce un trattamento di dati personali.

L'alunna è anche protetta dalla disposizione penale sul furto d'identità (art. 179decies Codice penale svizzero). Si tratta dell'utilizzo dell'identità di un'altra persona senza il suo consenso con l’intento di nuocerle o di procurare a un terzo un vantaggio illecito. Potrebbe anche trattarsi di un reato di diffamazione.

Si consiglia all'alunna di avviare un procedimento penale. A differenza di un procedimento civile, che richiede un anticipo sulle spese, una denuncia penale può di norma essere presentata gratuitamente. Inoltre si applica la massima d'ufficio, che significa che le autorità penali indagano d'ufficio.

Infine è possibile invocare una violazione della personalità di diritto civile ai sensi dell'art. 28 del Codice civile svizzero. È possibile far valere la rimozione della violazione, la pubblicazione della sentenza e, all'occorrenza, il risarcimento dei danni e le rivendicazioni finanziarie. Tuttavia il procedimento civile è notevolmente più complesso di quello penale. È più costoso per l'attrice e richiede da lei più prove. Oltre a ciò l'imputato deve essere conosciuto.

Diversi cantoni, l'Associazione mantello delle insegnanti e degli insegnanti in Svizzera (LCH) e altri servizi specializzati offrono informazioni dettagliate sulle procedure concrete e sulla prevenzione del cyberbullismo nelle scuole. Ecco un elenco di alcuni materiali disponibili sul tema del cyberbullismo:

• La guida LCH sul cyberbullismo: Guida sulla sicurezza dei dati per il corpo insegnante e le direzioni scolastiche (disponibile unicamente in tedesco)
• La piattaforma nazionale per la promozione delle competenze mediali Giovani e media informa sul proprio sito web sul tema del cyberbullismo: Pagina informativa sul cyberbullismo di Giovani e media
• Anche la Prevenzione Svizzera della Criminalità mette a disposizione sul proprio sito web una pagina informativa sul tema del cyberbullismo: Pagina informativa sul cyberbullismo di Prevenzione Svizzera della Criminalità
• La Polizia cantonale del Cantone Ticino offre alcuni consigli sul tema del cyberbullismo e ulteriori link utili sul suo sito web.