Le istituzioni scolastiche devono porre particolare attenzione al trattamento dei darti personali e alla loro divulgazione. Per farlo, devono seguire le regole del GDPR che è il regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Recentemente il MIM ha dato riscontro alle richieste di supporto in merito alla valutazione di conformità al GDPR del trattamento e trasferimento extra UE di dati personali degli utenti delle Istituzioni scolastiche attraverso determinati servizi PEO e piattaforme ICT.
Nel farlo, ha trasmesso alcune indicazioni tecniche cui le scuole dovranno attenersi, con particolare riferimento al trasferimento dei dati tra Europa e Stati Uniti.
Innanzitutto, il MIM invita a verificare che i servizi ICT in uso siano conformi al “GDPR” attraverso i relativi accordi di servizio, che costituiscono base giuridica del trattamento ai sensi dell’art. 28 del GDPR. In particolare, invita a verificare se tali accordi di servizio prevedano ed autorizzino trasferimenti internazionali dei dati e se questi avvengano sulla base delle garanzie indicate all’art. 46 del GDPR.
Relativamente a Microsoft e Google, al fine di agevolare la verifica di conformità del trattamento dei dati personali al GDPR, che le istituzioni scolastiche hanno la responsabilità di condurre in qualità di titolari del trattamento, il Ministero segnala alcuni documenti utili ad una prima valutazione (che andrà poi verificata secondo lo specifico contratto sottoscritto e dei dati trattati).