Ciao a tutti, sono in mezzo alla questione perché la scuola di mio figlio (scuola media) sta di fatto obbligando tutti i genitori a concedere l'autorizzazione alla creazione di un account g4edu senza la minima informazione ne informativa privacy.
Sto infatti cercando di coinvolgere genitori ed associazioni per creare la consapevolezza su quanto comporta dal punto di vista privacy, profilazione, accesso ad internet di minori, ecc. Tornando all'argomento di discussione, leggendo il contratto, si legge che con la sottoscrizione la scuola nomina google "funzionario scolastico" secondo la definizione del FERPA (family educational rights and privacy act). Non credo che tali norme USA siano applicabili in Italia ne che possa essere equiparato alla figura del responsabile. Qualcuno è interessato a portare avanti l'argomento g4edu, fino ad una segnalazione o reclamo al garante privacy? Il 18/02/2017 11:30, Cesare Gallotti ha scritto: > Ciao, > > da non-legale e non-informatico a informatico, ecco quanto so. > > > > Innanzi tutto, un fornitore si nomina “responsabile”; in inglese “processor”. > > Gli incaricati sono solo persone fisiche. > > Da questo punto di vista, sia il Codice privacy italiano, sia il GDPR sono > molto chiari. > > > > Se usi un servizio cloud, tipo Google, devi guardare cosa dice il loro > contratto. Il nostro Codice privacy è un po’ più blando, mentre il GDPR è > molto preciso. In particolare, il GDPR dice in sostanza una cosa: se il > fornitore fa danni, comunque paga; il titolare potrebbe non pagare se il > contratto è fatto bene. Quindi: se il contratto fa schifo o non c’è, il > titolare (la scuola) ci rimette comunque. > > > > E’ vero che il GDPR andrà in vigore da maggio 2018, ma sappiamo bene che se > non metti a posto le cose subito, poi sono problemi. > > > > Visto che ci ho scritto un post da poco, molto poco elegantemente, te lo > segnalo: > > - > <http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html> > > http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html. > > > > Google non ti dà le giuste garanzie? Eh... se è gratuito un motivo ci sarà. > Sicuramente ci sono in giro delle altre soluzioni, non gratis ma forse > neanche troppo care. > > > > Ci sarebbe anche un trucco non proprio bellissimo: se i singoli caricano i > loro propri dati e poi li mettono a disposizione degli altri, allora sono > essi stessi titolari dei propri dati e quindi la scuola non c’entra. Però, ho > sono tutti d’accordo senza alcuna pressione, oppure ci sono altri rischi che > non voglio neanche immaginare. > > > > Ce > > > > From: Avv. Stefano Aterno [mailto:[email protected]] > Sent: 18 February 2017 09:29 > To: [email protected] > Subject: Re: [lex] Cloud, incaricato del trattamento esterno e 196/03 > > > > Lacune normative non aiutano. Il Regolamento Ue in vigore dal 2018 aiutera' > in minima parte su alcuni dei punti da te esposti. > > Ciao > > Stefano > > > > > > Avv. Stefano Aterno > > Certificato ISO/IEC 27001 LA > > Docente di diritto penale dell'informatica > > > > VIA F. CESI, 72 / 00193 ROMA > > tel.06 32609427 /fax 0656561190 > > www.studioaterno.it <http://www.studioaterno.it> > > > > Le informazioni trasmesse sono da intendersi di esclusiva spettanza > dell'effettivo destinatario. Nel caso in cui le stesse raggiungessero, per > qualunque motivo, soggetti non interessati, questi ultimi vorranno darne > immediata notizia al mittente. Le violazioni saranno perseguibili ai sensi > di legge. > > > > > Il giorno 17 feb 2017, alle ore 22:39, Andrea Canesi <[email protected] > <mailto:[email protected]> > ha scritto: > > Saluti a tutti, ho un quesito che spero interessante per qualcuno di voi. > > Mi sto occupando della formazione di più di un centinaio di docenti liguri > che intendono adottare nelle scuole una serie di servizi cloud (nello > specifico G Suite for Education) e una delle domande ricorrenti è se sia > possibile trattare dati sensibili con tale mezzo (ad esempio dati che > riguardano alunni disabili o con bisogni educativi specifici). Non intendo > discutere nello specifico della suite di Google e delle sue norme sulla > privacy, ma più in generale del fatto che, quando si ha a che fare con IaaS, > SaaS, PaaS, etc. è praticamente impossibile nominare un incaricato del > trattamento esterno dei dati che, per quanto ne so, è ancora un obbligo (Io > con Google ci ho provato in più modi, ma al massimo ho ottenuto qualche > risata...). L'unico documento che ho trovato è una guida del Garante sul > cloud del 2012 > (http://194.242.234.211/documents/10160/2052659/CLOUD+COMPUTING+-+Vademecum+pagina+doppia+%28anno+2012%29.pdf) > che descrive le attenzioni che occorre avere nell'adozione di tali servizi, > dice che il Titolare "deve procedere a designare il fornitore dei servizi > cloud 'responsabile del trattamento'" e subito dopo spiega: " Questo > significa che il cliente dovrà sempre prestare molta attenzione a come > saranno utilizzati e conservati i dati personali caricati sulla 'nuvola': in > caso di violazioni commesse dal fornitore, anche il titolare sarà chiamato a > rispondere dell’eventuale illecito."... Quindi, devo nominarlo o > semplicemente citarlo nei metodi di trattamento dei dati? > > La cosa non riguarda solo Google e non solo le scuole, i servizi cloud sono > sempre più utilizzati anche a livello aziendale, e il problema è lo stesso. > Per quanto ne so legge italiana non ha fatto grandi passi dal 2003 ad oggi, > ed anche in Europa mi sembra tutto fermo, ma sono un informatico, non un uomo > di legge... Quindi, essendo più materia di un avvocato che si intende di > informatica piuttosto che di un informatico che si arrangia con le norme, > chiedo lumi a Voi esperti. > > Grazie in anticipo a chi vorrà rispondere. > > Andrea Canesi > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- Paolo Giardini EUCIP Certified Professional Consulente per la Sicurezza delle Informazioni Professionista Informatico disciplinato ai sensi della legge 4/2013 Iscritto a Associazione Informatici Professionisti al n. 2756 CAT Cracca al Tesoro | AIP/ITCS | CLUSIT | GLUG PG | ILS http://blog.solution.it|Cel.337.652876|Fax 075.93831174|skype pgiardini
signature.asc
Description: OpenPGP digital signature
