Come scuola siamo costantemente confrontati dal fatto che per il corpo insegnante, per le allieve e gli allievi, come anche per la segreteria scolastica, la gestione delle password costituisce una grossa difficoltà. Quali sono le questioni più importanti da tenere presente per la gestione delle password?

La gestione sicura delle password è di fondamentale importanza nelle scuole. È cruciale proteggere tutti i dati personali, non solo quelli estremamente sensibili, sia del corpo insegnante, sia delle allieve e degli allievi, come anche della segreteria scolastica. I punti più importanti da tenere a mente per la gestione delle password sono i seguenti.

Utilizzo di password forti 
Le password devono essere lunghe almeno 8 caratteri, per quanto 12 siano ancora più sicuri. I caratteri devono includere una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. Sono da evitare password semplici e facili da indovinare come «123456», «password» o nomi di membri della propria famiglia.

Modifica regolare delle password 
Le password devono essere modificate regolarmente per diminuire il rischio di attacco. Inoltre le password vecchie non dovrebbero essere riutilizzate.

Nessun utilizzo multiplo delle password 
La stessa password non deve essere utilizzata per diversi conti utente. In questo modo viene ridotto il rischio che in caso di un attacco di successo a un conto vengano compromessi anche altri conti.

Aiuti per memorizzare le password 
Per facilitare la memorizzazione delle password si può utilizzare un espediente mnemonico oppure una «passphrase». Nell'espediente mnemonico viene utilizzata una frase come base per la password, per esempio «P€r@pr1r€L3mie3M@1l$!». Una passphrase è una catena di caratteri più lunga, composta da parole ed espressioni. Se un sistema richiede una password corta, si possono utilizzare le iniziale delle rispettive parole che compongono la frase. Ad esempio, «Il mio cane ama giocare in giardino» diventa «Imcagig».

Protezione degli account e-mail 
Gli account e-mail devono essere protetti molto bene, poiché possono essere utilizzati per cambiare le password di altri servizi. Password complesse e modifiche ricorrenti sono particolarmente importanti.

Utilizzo dell'autenticazione a due fattori 
Nel limite del possibile deve essere attivata l'autenticazione a due fattori (2FA). Questa esige, oltre alla password, un codice supplementare che è inviato tramite SMS o attraverso un'altra applicazione.

Conservazione in sicurezza delle password 
Le password non dovrebbero essere salvate senza la giusta protezione. I gestori delle password cifrati permettono un'amministrazione securizzata e centralizzata delle password, e offrono la possibilità di concedere autorizzazioni mirate. Bisogna prestare attenzione che l'accesso al gestore delle password sia a sua volta protetto da una password forte.

Sensibilizzazione e formazione 
Il corpo insegnante, le allieve e gli allievi come anche la segreteria scolastica devono essere informati e formati a scadenza regolare in materia di gestione delle password sicura.

L'Ufficio federale della cibersicurezza (UFCS) offre ulteriori consigli sulla protezione degli account da attacchi esterni e sulla sicurezza delle password, mettendo inoltre a disposizione una formazione di base nel settore della sicurezza informatica per le autorità. Per poter valutare cosa è necessario al fine di generare una password sicura si può consultare il Passwortcheck. Quando si utilizza il Passwortcheck, la password che viene data è controllata localmente e non viene mai trasmessa al server.

Un insegnante ha consigliato alle studentesse e agli studenti di utilizzare durante le lezioni dei dati fittizi per registrarsi alle applicazioni digitali, al fine di proteggere i loro dati (ad esempio nomi o date di nascita inventati). Questa pratica è legale, e rispetta le norme della protezione dei dati?

In Svizzera non esiste un diritto esplicito all'anonimato. Al momento non esiste nemmeno una decisione giudiziaria corrispondente. Per questo motivo in questo caso facciamo riferimento al Regolamento europeo sulla protezione dei dati (RGPD), che, come in Svizzera, si basa sul principio di minimizzazione dei dati.

Secondo il Regolamento generale sulla protezione dei dati (Art. 5 par. 1 lett. c RGPD), l'uso tramite pseudonimo dei social media deve essere espressamente consentito, a meno che non siano necessari nomi reali per la prestazione dei servizi. Anche la Corte federale di giustizia (BGH) in Germania si è dichiarata favorevole alla possibilità che le e gli utenti accedano a una piattaforma sotto pseudonimo. Il nome reale deve essere comunicato unicamente al gestore della piattaforma, ad esempio Meta. Se tutti fossero obbligati a comparire sui social media con il loro vero nome, si genererebbero molte più tracce di dati su Internet. Il principio di minimizzazione dei dati è quindi già contrario a un obbligo legale di usare il nome reale. La sentenza del tribunale tedesco riguardava i social media. Tuttavia, può essere applicata anche alle applicazioni digitali.

Anche in Svizzera vige, come sopra menzionato, il principio di minimizzazione dei dati. Questo principio è sancito, ad esempio, dalla Legge federale sulla protezione dei dati (Art. 6 par. 2 LPD) oppure nelle rispettive leggi cantonali sulla protezione dei dati. Considerate la stessa pratica e le stesse circostanze, dovrebbe essere sufficiente anche per la Svizzera che solo l'applicazione digitale o il social media conoscano la vera identità della persona, per prevenire eventuali abusi. In linea di principio sono le e gli utenti a decidere liberamente se vogliono usare uno pseudonimo. Si può dunque presupporre che l'utilizzo di pseudonimi durante la registrazione a un servizio è consentito.

Un'altra soluzione è offerta da Edulog (disponibile in francese e tedesco). Edulog consente l'accesso a svariati servizi online grazie all'aiuto di uno pseudonimo. Questo garantisce un accesso sicuro ai servizi online e protegge le identità digitali.

La nostra scuola sta pianificando di acquistare una nuova applicazione software. Durante il processo di acquisto vogliamo assicurarci che la protezione dei dati sia garantita. Dobbiamo precisare in maniera esplicita che i dati non possono essere elaborati da terzi? Quali altre misure di sicurezza sono necessarie?

Le applicazioni digitali possono elaborare una miriade di dati personali di studentesse e studenti, del corpo insegnante e di collaboratrici e collaboratori scolastici. Soprattutto per le applicazioni acquistate da sé, vale sicuramente la pena informarsi sulla protezione dei dati. È importante essere in grado di valutare i rischi per la protezione dei dati. Nel caso in cui l'applicazione è collegata a Edulog, l'accesso conforme alla protezione dei dati è garantito.

Per assicurarsi che la protezione dei dati sia rispettata, bisogna prima di tutti stabilire quali dati sono trattati da quali persone, in che misura e con quale bisogno di protezione. Per questo scopo è utile stilare un repertorio delle attività di trattamento.

Successivamente si raccomanda di esaminare l'applicazione dal punto di vista della protezione dei dati, del diritto contrattuale, come anche della sicurezza dell'informazione. La nostra lista di controllo delle applicazioni permette alle scuole di individuare velocemente e per tempo potenziali fattori di rischio per la protezione dei dati. Di norma le informazioni necessarie sono disponibili nella dichiarazione sulla protezione dei dati e nelle condizioni generali di vendita (CGV) e d'uso del fornitore.

Se l'analisi rivela pochi o nessun tipo di rischio, nulla ostacola l'utilizzo dell'applicazione. Se però la valutazione riscontra dei rischi medi o elevati, è necessario procedere a dei chiarimenti dettagliati prima di utilizzare la soluzione che si desidera acquistare. A tale scopo si può procedere nei modi seguenti:

Se gli ulteriori chiarimenti confermano che un utilizzo conforme alla protezione dei dati è sostanzialmente permesso, devono essere definiti e attuati dei provvedimenti tecnici e organizzativi (TOM) per diminuire i rischi. Ad esempio, se i diritti e le obbligazioni corrispondenti alle condizioni generali cantonali per la sicurezza dell'informazione e la protezione dei dati (CGV SIPD) sono trasferiti contrattualmente al fornitore, non è più necessario dichiarare esplicitamente che i dati non possono essere elaborati da terzi. (cfr. CGV SIPD del Canton Zurigo e del Canton Berna). Inoltre, è possibile stipulare obblighi di riservatezza, la pubblicità, la legge applicabile e il foro competente.

Queste disposizioni contrattuali costituiscono un primo passo per quanto concerne i provvedimenti tecnici e organizzativi. Su ulteriori misure di sicurezza è difficile fare delle affermazioni generaliste. Ogni applicazione e il relativo campo di applicazione devono essere esaminati caso per caso. L'incaricato cantonale della protezione dei dati del Canton Zurigo propone, per esempio, una guida per la sicurezza dell'informazione e altre informazioni utili per la scuola dell'obbligo (disponibili unicamente in tedesco).

Come scuola siamo interessati a un'applicazione conforme al Regolamento generale sulla protezione dei dati (RGPD). Vorremmo essere sicuri che questa copra anche la legislazione svizzera. Possiamo partire dal presupposto che se un'applicazione è conforme al diritto dell'Unione europea, rispetta anche la legge svizzera, oppure dobbiamo fare ulteriori chiarimenti giuridici?

Per prima cosa è importante sapere che le scuole pubbliche sono soggette alla legge cantonale sulla protezione dei dati, non alla Legge federale sulla protezione dei dati (LPD). Tuttavia facciamo riferimento alle disposizioni della LPD, poiché sono spesso incluse nelle norme cantonali vigenti.

La legge svizzera sulla protezione dei dati non coincide con il regolamento europeo generale sulla protezione dei dati (RGPD). La nuova legge sulla protezione dei dati spesso si spinge meno lontano, ed è meno formalistica o meno dettagliata. In alcuni casi, tuttavia, la legge svizzera sulla protezione dei dati stabilisce requisiti più severi. Se un'applicazione è conforme al RGPD, si può verificare senza troppi sforzi se l'applicazione è anche conforme alla legge federale (o cantonale) sulla protezione dei dati.

Le differenze pratiche si riscontrano nelle seguenti aree:

  • Obbligo di informare: per adempiere all'obbligo di informare e nell'interesse della trasparenza, secondo la LPD, quando una scuola comunica dei dati all'estero, dovrebbe informare le persone interessate sul paese che riceve questi dati. Un'altra possibilità è che sia già la legge della scuola a prevedere la trasmissione di dati all'estero.
  • Trattamento dei dati su commissione: se le aziende o le autorità federali commissionano un trattamento dei dati (ad esempio l'esternalizzazione su cloud), il fornitore di questo servizio deve essere in grado di garantire la sicurezza dei dati allo stesso modo del mandante. Le disposizioni per la commissione del trattamento dei dati della LPD sono meno estese di quelle previste dal RGPD. Di conseguenza i contratti con gli incaricati del trattamento devono essere adattati alla LPD solo a livello redazionale, ad esempio facendo riferimento agli articoli pertinenti.
  • Notifica di una violazione della sicurezza dei dati: secondo la LPD una violazione della sicurezza dei dati deve essere notificata meno rapidamente e in base a criteri leggermente diversi rispetto al RGPD. Tuttavia i dati personali degni di particolare protezione sono definiti nella LPD in maniera meno specifica in confronto al RGPD. Queste differenze possono rivestire un ruolo diverso a seconda della scuola e dell'applicazione.

Nei nostri contributi «Conseguenze per le scuole della nuova legge sulla protezione dei dati» e «Conseguenze della nuova legge sulla protezione dei dati per i privati e gli organi federali» abbiamo rilevato le principali modifiche della nuova legge svizzera sulla protezione dei dati.

La gestione delle password delle alunne e degli alunni rappresenta una sfida per la nostra scuola. In particolare la procedura corretta per gestire le password «dimenticate» comporta molto lavoro amministrativo per il corpo insegnante e la segreteria scolastica. Anche le autorizzazioni di accesso del corpo insegnante e dell'amministrazione scolastica alle password di alunne e alunni non sono chiare. La nostra gestione delle password deve essere sicura e conforme alla protezione dei dati e deve facilitare la vita scolastica di tutti i giorni. Qual è il modo migliore di procedere?

È possibile adottare diversi provvedimenti tecnici e organizzativi (TOM) per garantire una gestione delle password sicura e conforme alla protezione dei dati nelle scuole. I possibili provvedimenti includono:

  • Sviluppo di un concetto di ruolo e di autorizzazione: è consigliabile definire per le rispettive applicazioni quali persone hanno bisogno dell'accesso alla documentazione delle password (per es. la direzione scolastica, la segreteria, il personale informatico, il corpo insegnante).
  • Redazione di una direttiva sulle responsabilità: una direttiva scritta deve indicare chiaramente le responsabilità, i diritti e i doveri delle persone autorizzate all'accesso e deve essere firmata da queste ultime.
  • Limitazione di accesso: l'accesso alla documentazione delle password deve essere limitato al gruppo di persone definito nel concetto di ruolo e di autorizzazione. Ciò può essere fatto tramite la concessione dei diritti per l'archivio dei file, oppure attraverso la cifratura della documentazione delle password.
  • Amministrazione delle password da parte del corpo insegnante: un'altra opzione è la gestione delle password da parte del corpo insegnante. Anche in questo caso è meglio creare un concetto di ruolo e di autorizzazione.
  • Gestione delle password tramite un servizio separato: le password possono essere amministrate tramite un servizio separato, online o locale. I gestori di password offrono una buona panoramica delle password e delle opzioni di amministrazione.

Grazie all'implementazione di questi provvedimenti è possibile garantire un'amministrazione delle password sicura e conforme alla protezione dei dati nelle scuole. Inoltre, a seconda del servizio, la password può essere reimpostata in maniera indipendente. Questo dipende dalle possibilità tecniche.

L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) fornisce una Guida ai provvedimenti tecnici e organizzativi concernenti la protezione dei dati. L'incaricato della protezione dei dati del Cantone di Zurigo affronta nella guida di Microsoft 365 per il settore dell'educazione il tema del concetto di ruolo e di autorizzazione (cfr. sezione 3.4.4) e fornisce informazioni sui gestori di password (guida e informazioni disponibili in tedesco). Microsoft 365 fornisce una panoramica sulla reimpostazione della password.

Come può una scuola garantire che i dispositivi come computer e tablet vengano smaltiti correttamente e nel rispetto delle norme sulla protezione dei dati? Cos'altro bisogna considerare se si vuole cedere i dispositivi ad altri istituti?

Anche durante lo smaltimento di vecchi dispositivi, soprattutto se li si cede a terzi, bisogna garantire la protezione dei dati.

Di norma i dispositivi vengono smaltiti tramite Swico, un sistema senza fini di lucro per il ritiro di apparecchi elettrici ed elettronici dismessi provenienti dai settori informatica, elettronica di consumo, materiali da ufficio, comunicazione, industria grafica, sistemi di rilevamento e tecnologia medica.

Le scuole possono far ritirare gratuitamente i vecchi apparecchi a partire da un peso di 250 chilogrammi o gli apparecchi di grandi dimensioni con un'altezza minima di 80 centimetri. Tutti i partner contrattuali di Swico sono obbligati a proteggere i dati memorizzati sui dispositivi consegnati da letture non autorizzate. Ulteriori informazioni sono disponibili sul sito web di Swico.

Per garantire la protezione dei dati, indipendentemente dalla società di smaltimento, si consiglia di stabilire la procedura in un contratto o almeno per iscritto, idealmente prima di effettuare l'ordine. Dopo lo smaltimento è inoltre necessario richiedere un verbale corrispondente.

Il tipo di eliminazione dipende dal tipo di dispositivo e dal sistema operativo. Le istruzioni gratuite su come effettuare questa operazione sono disponibili online su portali di media informatici affidabili. L'uso di programmi di cancellazione comporta comunque in parte un rischio, dato che alcune parti della memoria potrebbero non essere cancellate. Per questo motivo si raccomanda di smontare e smaltire tutta la memoria prima di consegnare i dispositivi.

Questo non solo garantisce la protezione dei dati, ma impedisce anche il trasferimento indesiderato di licenze software personali. Anche se è il corpo insegnante a utilizzare i dispositivi per scopi professionali, è compito della scuola assicurarsi che i dati sul dispositivo vengano cancellati in sicurezza.

Se i dispositivi devono essere ceduti o rivenduti per motivi di sostenibilità, è consigliabile collaborare con un'azienda specializzata nella rivendita di dispositivi informatici per garantire che i dispositivi vengano cancellati in modo corretto e ceduti nel rispetto delle norme sulla protezione dei dati.

Il 1. settembre 2023, con l'introduzione della nLPD, cosa cambierà per la mia scuola? Devo occuparmene io come direttrice/direttore della scuola oppure interviene un altro organo?

Il 1. settembre 2023 è entrata in vigore la nuova legge federale sulla protezione dei dati (nLPD). La legge si applica alle autorità federali e alle persone fisiche, ma non agli organi cantonali e comunali, come nel caso delle scuole pubbliche. Per queste ultime, in primo luogo, si applica la legge cantonale sulla protezione dei dati.

Si consiglia di verificare a livello comunale se una scuola deve adattare qualcosa (ad esempio la dichiarazione dei dati del sito)  (si veda anche il nostro articolo «Conseguenze per le scuole della nuova legge sulla protezione dei dati»).

Come scuola privata, quali sono i principali cambiamenti di cui dobbiamo tener conto in base alla nuova legge sulla protezione dei dati?

Il 1. settembre 2023 è entrata in vigore la nuova legge federale sulla protezione dei dati. Questa si applica solo agli organi federali e ai privati (comprese le aziende). Le seguenti modifiche si applicano essenzialmente alle autorità federali e ai privati (si veda anche il nostro articolo «Conseguenze della nuova legge sulla protezione dei dati per i privati e gli organi federali»):

  • Estensione dell'obbligo d'informazione: in particolare è necessario redigere una dichiarazione di protezione dei dati, che specifichi le finalità del trattamento e la persona responsabile, con i relativi dati di contatto.
  • È pure previsto l'obbligo di tenere un registro del trattamento dei dati (con alcune eccezioni).
  • Le sanzioni sono state aumentate, con multe fino a CHF 250'000.
  • In caso di violazione della sicurezza dei dati, che possa comportare un rischio elevato per la personalità o i diritti fondamentali dell'interessato, la scuola privata (ad esempio, tramite la direzione della scuola o la persona responsabile) deve informare il prima possibile l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

Come insegnante, vorrei utilizzare l'intelligenza artificiale (AI) per valutare i lavori dei miei allievi. A cosa devo fare attenzione dal punto di vista legale?

Se, come insegnante, intende utilizzare l'AI per valutare i compiti, deve rispettare non solo le norme sulla protezione dei dati, ma anche quelle riguardanti il diritto d'autore. Questo significa che, ad esempio, non è consentito inserire nella ChatGPT dati provenienti dalle produzioni delle studentesse e degli studenti. Inoltre, i sistemi dell'intelligenza artificiale non possono essere utilizzati come unico strumento di valutazione. Come insegnante, deve pure verificare i risultati in base alla griglia di valutazione.

Il Digital Learning Hub del Canton Zurigo fornisce delle informazioni complete sull'AI/ChatGPT. In particolare ha redatto delle guide e delle raccomandazioni (tedesco) per le scuole, gli allievi e il corpo insegnante riguardanti l'utilizzo dell'AI nei lavori di approfondimento e finali.

Ulteriori informazioni nel dossier «L'IA nella formazione» (disponibile in tedesco e francese)

Domande? Contattateci!

Avete domande sull'utilizzo e la protezione dei dati che non trovano risposta qui? Inviateci la vostra richiesta.