Ciao Andrea, grazie innanzitutto per aver "rivitalizzato" la lista con il tuo quesito :-)
Il mio personale suggerimento è questo: dal momento che parliamo di scuole e le scuole rientrano comunque nella P.A., ti inviterei a tenere monitorati i progetti (e il procurement) che la P.A. italiana sta facendo in ambito cloud. La stessa UE, infatti, nell'ambito del FP7 sta sviluppando dei progetti cloud ad hoc per le publiche amministrazioni nei quali - si presuppone - tutti i requisiti di legge saranno rispettati. Vedi in particolare il progetto Coco Cloud (http://www.agid.gov.it/notizie/avviato-il-progetto-europeo-coco-cloud). Puoi trovare qualche indicazione qui http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cloud-computing Mentre queste sono le linee guida (purtroppo datate) per l'applicazione del cloud nella P.A. http://www.agid.gov.it/sites/default/files/linee_guida/sistemi_cloud_pa.pdf In linea di massima, in futuro, credo che i servizi cloud si acquisteranno tramite fornitori accreditati sulla piattaforma CONSIP al pari del resto. Cari saluti, Pierluigi Il 17/02/17 22:39, Andrea Canesi ha scritto: > Saluti a tutti, ho un quesito che spero interessante per qualcuno di voi. > > Mi sto occupando della formazione di più di un centinaio di docenti > liguri che intendono adottare nelle scuole una serie di servizi cloud > (nello specifico G Suite for Education) e una delle domande ricorrenti è > se sia possibile trattare dati sensibili con tale mezzo (ad esempio dati > che riguardano alunni disabili o con bisogni educativi specifici). Non > intendo discutere nello specifico della suite di Google e delle sue > norme sulla privacy, ma più in generale del fatto che, quando si ha a > che fare con IaaS, SaaS, PaaS, etc. è praticamente impossibile nominare > un incaricato del trattamento esterno dei dati che, per quanto ne so, è > ancora un obbligo (Io con Google ci ho provato in più modi, ma al > massimo ho ottenuto qualche risata...). L'unico documento che ho trovato > è una guida del Garante sul cloud del 2012 > (http://194.242.234.211/documents/10160/2052659/CLOUD+COMPUTING+-+Vademecum+pagina+doppia+%28anno+2012%29.pdf) > che descrive le attenzioni che occorre avere nell'adozione di tali > servizi, dice che il Titolare "deve procedere a designare il fornitore > dei servizi cloud 'responsabile del trattamento'" e subito dopo spiega: > " Questo significa che il cliente dovrà sempre prestare molta attenzione > a come saranno utilizzati e conservati i dati personali caricati sulla > 'nuvola': in caso di violazioni commesse dal fornitore, anche il > titolare sarà chiamato a rispondere dell’eventuale illecito."... Quindi, > devo nominarlo o semplicemente citarlo nei metodi di trattamento dei dati? > > La cosa non riguarda solo Google e non solo le scuole, i servizi cloud > sono sempre più utilizzati anche a livello aziendale, e il problema è lo > stesso. Per quanto ne so legge italiana non ha fatto grandi passi dal > 2003 ad oggi, ed anche in Europa mi sembra tutto fermo, ma sono un > informatico, non un uomo di legge... Quindi, essendo più materia di un > avvocato che si intende di informatica piuttosto che di un informatico > che si arrangia con le norme, chiedo lumi a Voi esperti. > > Grazie in anticipo a chi vorrà rispondere. > > Andrea Canesi > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
