Contenuto

Lo sportello per l'utilizzo e la protezione dei dati fornisce un supporto a queste domande e genera, quindi, per lo spazio formativo digitale svizzero, una base di conoscenza collettiva. Elaboriamo le risposte collaborando con degli specialisti. Le nostre risposte tengono conto delle prospettive etiche e delle condizioni quadro della politica dell'educazione, nonché dell'idoneità alla pratica educativa e della connettività con i componenti esistenti del sistema. Le domande seguenti sono state poste dalle direzioni scolastiche, dal corpo insegnante e dall'amministrazione dell'educazione. I temi saranno completati man mano che ci giungeranno le richieste.

Domande? Contattateci!

Avete domande sull'utilizzo e la protezione dei dati che non trovano risposta qui? Inviateci la vostra richiesta.

Trasmissione dei dati personali

Come scuola vorremmo impiegare una nuova applicazione digitale di apprendimento per le lezioni di matematica. Il fornitore richiede i seguenti dati personali per la creazione dei conti utente:

  • Nome e cognome

  • Indirizzo e-mail

  • Numero di telefono cellulare (autenticazione a due fattori)

  • Nome utente

  • Scuola

  • Età

  • Data di nascita

  • Sesso

Siamo autorizzati a trasmettere questi dati al fornitore?

Le direzioni scolastiche hanno la responsabilità della conformità alla protezione dei dati delle applicazioni di apprendimento che vengono utilizzate. Quando si decide se è permesso o meno trasmettere dati personali ai fornitori, bisogna prendere in considerazione numerosi aspetti relativi alla legge sulla protezione dei dati.

I dati personali possono essere trattati unicamente nell’ambito delle finalità della scuola (come stabilite dalla legge della scuola dell'obbligo). Il trattamento deve essere conforme ai principi della legge cantonale in vigore sulla protezione dei dati. In linea di massima si applica il principio di destinazione vincolata. Ad esempio, i dati non possono essere trasmessi a servizi online privati. L'età, la data di nascita e il sesso spesso non sono necessari per l'esecuzione dell'ordine da parte del fornitore e per questo motivo possono anche non essere trasmessi.

Per la trasmissione di dati a terzi vale come principio fondamentale quello della proporzionalità. Questo significa che possono essere trasmesse solamente le informazioni necessarie per l'adempimento del rispettivo compito.

A causa delle diverse condizioni, nella comunicazione delle informazioni scolastiche bisogna distinguere tra:

  • la trasmissione interna,
  • la comunicazione esterna,
  • il tipo di informazione,
  • l'organo di divulgazione,
  • il destinatario dei dati.

La trasmissione di dati personali a fornitori è una comunicazione esterna. Le informazioni a terzi in un contesto di diritto pubblico possono essere trasmesse solo in presenza di un consenso esplicito dei genitori o per l'adempimento di un obbligo legale (nei confronti della polizia, dell'ufficio della migrazione, dei servizi di sostegno pedagogico, ecc.).

Se una direzione scolastica decide di utilizzare un'applicazione di apprendimento, le allieve e gli allievi o rispettivamente i loro tutori legali devono essere informati adeguatamente sull'applicazione in questione. Sono incluse anche le informazioni sulle possibili impostazioni della protezione dei dati.

Edulog

Su mandato dei cantoni, Edulog offre una soluzione semplice, sicura e mobile. Edulog semplifica e standardizza l’accesso ai servizi online durante la scolarizzazione e la formazione alle allieve e agli allievi, alle studentesse e agli studenti, e al personale delle istituzioni scolastiche.

Edulog non memorizza alcuna informazione. Queste ultime rimangono sotto il controllo dei fornitori d'identità (cantone, comune o scuola). Quando si esegue il login, Edulog trasmette solamente i dati essenziali necessari per l'autorizzazione al servizio. Edulog determina in un contratto quali informazioni sono trasmesse a un servizio. Le e gli utenti hanno a disposizione un pannello di controllo. Nel pannello di controllo è possibile verificare in qualsiasi momento quali informazioni Edulog ha trasmesso a quale servizio durante il processo di login. Inoltre Edulog mette in pratica tutti i provvedimenti tecnici e organizzativi concernenti la protezione dei dati (TOM). Edulog analizza costantemente a quali nuovi rischi sono potenzialmente esposti i dati e ne migliora la protezione.

Negli ultimi mesi la segreteria della nostra scuola ha ricevuto un numero crescente di richieste da parte di genitori e tutori legali che desiderano sapere quali sono i dati in possesso della scuola sulle loro figlie e sui loro figli, e come questi dati sono utilizzati o eventualmente anche trasmessi. Le richieste concernono soprattutto il passaggio al livello secondario I.
Vorremmo sapere se e in quale forma dobbiamo rispondere a tali richieste. Queste domande rappresentano per noi un notevole dispendio di tempo e desideriamo ricevere raccomandazioni concrete sulle azioni da intraprendere. 

La sua domanda riguarda il diritto d'accesso, che fa parte dei diritti della persona interessata (art. 25 e seguenti della Legge federale sulla protezione dei dati o le disposizioni di legge cantonali corrispondenti sulla protezione dei dati). Esso fornisce alla persona interessata gli strumenti che necessita affinché possa far valere i propri diritti secondo la Legge sulla protezione dei dai nei confronti del titolare del trattamento. Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento. Il diritto d'accesso garantisce un trattamento trasparente dei dati. Per i minorenni i diritti della persona interessata sono conferiti ai rispettivi tutori legali. Se in una scuola i diritti della persona interessata sono regolarmente rivendicati, vale la pena implementare dei processi interni e dei modelli di risposta. Ciò presuppone che la scuola sia a conoscenza di tutti i trattamenti di dati e quindi sappia quali dati personali vengono trattati. A questo scopo un registro dei trattamenti oppure un sistema di gestione della protezione dei dati (DSMS) possono essere delle valide soluzioni.

Il registro delle attività di trattamento deve includere nello specifico:

  1. l’identità del titolare del trattamento
  2. lo scopo del trattamento
  3. la durata di conservazione
  4. la descrizione delle misure tecniche e organizzative per la sicurezza dei dati (TOM), per le quali è meglio fare riferimento alle linee guida interne sulla sicurezza informatica.

Il diritto all'accesso può essere esercitato in qualsiasi momento e in linea di principio senza alcuna motivazione. Di norma la domanda d'accesso deve essere presentata per iscritto. Le informazioni devono essere fornite gratuitamente entro 30 giorni.

Il Cantone di San Gallo fornisce un modello di risposta alla domanda d'accesso (in tedesco). Ulteriori informazioni sul diritto d'accesso sono disponibili in tedesco nel lessico dell'Incaricato della protezione dei dati del Cantone Zurigo, sul sito web dell'Incaricato federale della protezione dei dati e della trasparenza e nelle linee guida sulla protezione dei dati nelle scuole del Cantone di Basilea Campagna (disponibili in tedesco).

 

Una scuola valuta la possibilità di rendere disponibili informazioni come gli elenchi delle classi, gli orari e i contatti del corpo insegnante su un portale destinato ai genitori. È compatibile dal punto di vista della protezione dei dati e a cosa bisogna prestare attenzione?

La domanda se e in che misura informazioni come gli elenchi delle classi debbano essere pubblicate e rese disponibili ai genitori deve essere considerata in modo critico. Qui di seguito sono elencati i punti più importanti da osservare per garantire un trattamento conforme alla protezione dei dati.

Ottenere il consenso: bisogna ottenere in anticipo il consenso di tutte le persone coinvolte e comunicare nella maniera più chiara e trasparente possibile chi ha l'accesso completo al portale. Il consenso deve essere aggiornato regolarmente e documentato con precisione.

Limitazione della pubblicazione: se viene effettuata una pubblicazione sul portale della scuola (anche se è necessario un login), per quanto possibile questa dovrebbe essere limitata al gruppo della classe.

Destinazione vincolata e minimizzazione dei dati: laddove non è possibile evitare una pubblicazione accessibile a tutte le classi, è importante garantire il rispetto della destinazione vincolata e della proporzionalità. Questo significa che la scuola deve informare chiaramente qual è lo scopo per cui necessita i dati. I dati personali possono essere trattati esclusivamente per lo scopo originariamente preposto e per il periodo necessario a realizzarlo. In seguito devono essere cancellati o resi in forma anonima.

Trasparenza: le persone coinvolte devono sapere come, dove e perché i propri dati sono trattati. Questo presuppone che tutte le informazioni a riguardo del trattamento dei dati personali sono chiare, accessibili, comprensibili e intelligibili.

Consensi diversi per scopi diversi: se i dati personali vengono raccolti per scopi diversi, per esempio per i servizi scolastici o le escursioni, è necessario un consenso separato per ogni scopo. Di norma, i consensi generalizzati non soddisfano i requisiti di legge.
 

Un organizzatore di campi estivi desidera ottenere dalla scuola i nomi e gli indirizzi di posta elettronica o postale degli allievi, per poter inviare loro delle informazioni e degli opuscoli sul campo estivo di quest'anno. In qualità di segretaria/o della scuola, può fornire questi dati?

Per la sua organizzazione, la scuola ha il diritto di raccogliere e di trattare i dati personali, quali i nomi e gli indirizzi degli allievi, conformemente alla legge sulla scuola dell'obbligo cantonale. Tuttavia, non vi è un'autorizzazione a utilizzare questi dati per altri scopi e a trasmetterli a terzi. La pubblicità per un campo estivo extrascolastico non rientra negli scopi della scuola previsti dalla legge della scuola dell'obbligo. È possibile, ad esempio, consentire al responsabile del campo estivo di affiggere all'albo della scuola una locandina del campo estivo o di mettere a disposizione gli opuscoli per chi lo desidera. È pure possibile che il corpo insegnante divulghi (di sua spontanea volontà) le informazioni e gli opuscoli, se la proposta è compatibile con gli scopi della scuola.

Per quanto concerne il trattamento dei dati personali, le scuole pubbliche sottostanno alla legge cantonale sulla protezione dei dati.

Delle studentesse e degli studenti hanno condiviso sui social informazioni personali che mi riguardano. Cosa posso fare?

Innanzitutto, è necessario sapere di che tipo di informazioni si tratta: informazioni false, informazioni di libero accesso, insulti, video o altro? Come prima cosa, è raccomandabile di chiedere agli allievi coinvolti di eliminare il contenuto.

Se, in qualità di insegnante, desidera che, un testo o una foto che la concernono, siano rimossi dai social, perché violano i suoi diritti personali, può segnalarlo alla piattaforma interessata. Il provider esaminerà, secondo i suoi standard, la segnalazione e adotterà le misure appropriate.

Se la pubblicazione viola i diritti della persona (ad esempio con rappresentazioni negative o inesatte), si applica la tutela dei diritti della persona ai sensi dell'articolo 28 del Codice Civile (CC). In tal caso, è quindi possibile intentare presso il tribunale civile un'azione per la cessazione o la rimozione. Tuttavia, i procedimenti civili richiedono molte prove e hanno costi elevati.

In alcune circostanze, potrebbe anche trattarsi di una lesione dell'onore ai sensi dell'articolo 173 del Codice penale (CP) (diffamazione), ovvero, se lei, in qualità di insegnante, appare come una persona ignominiosa a causa del post sui social. In tal caso, dovrà presentare, entro tre mesi, una denuncia penale. Tuttavia, non tutte le affermazioni, che vengono percepite come diffamatorie, costituiscono un reato.

Archiviazione dei dati nel cloud

Come direttrice o direttore di una scuola, a cosa devo prestare attenzione se gli elenchi delle classi, le note, le schede con i dati per le emergenze, ecc. sono archiviati in un cloud, ad esempio su Microsoft Office 365 Education?

Anche nel caso di esternalizzazione a un cloud, la scuola è pienamente responsabile del trattamento dei dati. Si tratta di un'esternalizzazione di dati personali, in quanto la scuola affida il trattamento dei dati a una terza parte. Non tratta (esclusivamente) i dati in prima persona.

La scuola deve assicurarsi che il fornitore di cloud sia in grado di garantire la sicurezza dei dati. I rischi che esistono nei vari ambiti con le soluzioni cloud, devono essere esclusi dalla scuola, mediante misure appropriate o almeno ridotti a un livello gestibile.

Al momento della trasmissione, i dati devono essere crittografati secondo lo stato attuale della tecnica. Quando i dati vengono elaborati dal fornitore di cloud, la privacy deve essere adeguatamente protetta da misure adeguate. Per ulteriori informazioni, può consultare la scheda informativa di privatim sui rischi e le misure specifiche della tecnologia cloud (francese).

Il trasporto e l'archiviazione dei dati sono già crittografati in Microsoft 365 e Microsoft ne detiene la chiave. Per la crittografia nel cloud, esistono diversi approcci, come l'elaborazione integrata in Microsoft 365 con sovranità sulle chiavi utilizzate dalla scuola (questa soluzione è tecnicamente impegnativa e costosa), la crittografia tramite una soluzione di un fornitore terzo, la crittografia manuale tramite una soluzione utilizzata localmente o tramite un servizio di un fornitore terzo (vedere la guida Microsoft 365 per il settore dell'educazione, punto 4 del responsabile dei dati del Canton Zurigo; tedesco). Per l'applicazione specifica, può anche essere utile chiedere consiglio all'autorità cantonale competente per il controllo della protezione dei dati.

Utilizzo di dispositivi personali per scopi scolastici (BYOD)

Nella nostra scuola c'è il sospetto che si verifichino atti di bullismo attraverso i dispositivi a finanziamento misto. Come scuola, siamo autorizzati a esaminare i messaggi sui dispositivi? E cos'altro possiamo fare per affrontare il problema?

Qualsiasi sospetto di bullismo deve essere preso sul serio e richiede un'azione immediata. Prima di chiedere di esaminare i dispositivi digitali, si deve cercare il dialogo con le alunne e gli alunni interessati. La gravità della situazione deve essere valutata attentamente. Per esempio, è necessario chiarire le seguenti questioni: il sospetto di bullismo è giustificato? Ci sono minacce? Quali sono i segni concreti? Questi episodi stanno diventando più frequenti?

Se il sospetto è confermato, è possibile verificare l'accesso ai dispositivi. A volte i diritti di licenza del software utilizzato consentono l'accesso ai contenuti. Ad esempio, una licenza scolastica per MS Teams può dare alla scuola diritti di accesso specifici.

Occorre verificare se i genitori, al momento della messa in funzione dei dispositivi, hanno firmato una dichiarazione di consenso che include il diritto di visionare tutte le applicazioni. In questo modo la direzione della scuola si riserva il diritto di accedere ai dispositivi di allieve e allievi in casi particolari.

È importante che prendere visione sia possibile prima di una cancellazione. Se il concedente di licenza e i genitori dispongono del diritto di visionare, ciò è possibile. Inoltre tutte le prove pertinenti presenti sui dispositivi a finanziamento misto devono essere salvate. Può trattarsi di messaggi di testo, immagini o altri tipi di comunicazione digitale.

Se sussiste il sospetto che il contenuto in questione sia penalmente rilevante e la scuola non dispone di mezzi legali per intervenire, è necessario coinvolgere la polizia. Questo può accadere, per esempio, nel caso di minacce, coercizione o traffico di droga.

La maggior parte delle leggi scolastiche o formative e i rispettivi regolamenti prevedono che delle misure disciplinari possano essere prese nei confronti di studentesse e studenti. In determinate circostanze i dispositivi possono anche essere confiscati. Le norme di comportamento si trovano anche nei regolamenti scolastici o comunali.

I nostri allievi utilizzano in classe apparecchiature informatiche, alcune delle quali sono finanziate privatamente. C'è qualcosa di particolare di cui dobbiamo essere consapevoli a questo proposito?

Se i dispositivi (in parte) di proprietà privata (smartphone, portatili, tablet) sono utilizzati per svolgere compiti scolastici, le informazioni devono essere protette da misure tecniche e organizzative adeguate (TOM).

Sono necessarie almeno le seguenti misure:

  • Protezione con password o PIN
  • Installazione di una protezione antivirus
  • Un firewall aggiornato
  • Aggiornamenti regolari
  • Crittografia per l'archiviazione e la trasmissione di dati sensibili

Anche le apparecchiature finanziate interamente dalla scuola devono essere protette in conformità alle linee guida della scuola o dell'autorità locale per l'uso di hardware e software.

Diritti d'autore delle immagini, dei testi e della musica

La nostra scuola utilizza ChatGPT in vari contesti d'applicazione come strumento di supporto durante le lezioni. Ultimamente si legge spesso che il diritto d'autore deve essere rispettato quando si utilizza l'intelligenza artificiale (IA). Come dovrebbe procedere la nostra scuola per assicurarsi di non violare la legge svizzera sul diritto d'autore?

La Legge federale sul diritto d’autore e sui diritti di protezione affini disciplina in particolare la protezione delle autrici e degli autori di opere letterarie e artistiche. Utilizzando l'IA la legge sul diritto d'autore è toccata in modi diversi. Da un lato, i sistemi di IA raccolgono ed elaborano una grande quantità di dati, in alcuni casi anche dati provenienti da opere protette dal diritto d'autore. Dall'altro lato, possono essere create nuove opere potenzialmente protette dal diritto d'autore. Di conseguenza emergono le seguenti domande:

L'uso dei sistemi di IA è di per sé legale per quanto concerne la legge sul diritto d'autore?
Come devono essere trattati dal punto di vista del diritto d'autore i nuovi risultati generati dai sistemi di IA?

Il diritto d'autore è interessato dall'uso dell'IA durante la «raccolta e la diffusione di dati» e «l'uso concreto di questi dati per l'addestramento di un'IA». La raccolta di dati mediante copia, senza l'indicazione delle fonti, e la loro conservazione non sono consentite dalla legge svizzera sul diritto d'autore. Ciononostante l'utilizzo di questi dati per la distribuzione di dati o per l'addestramento di un sistema di IA è legale per il seguente motivo: alcune prassi giuridiche ritengono che il concetto di riproduzione tecnica o duplicazione sia attualmente orientato a processi di copia tecnica a lungo termine. Nel contesto del recupero di file e dell'utilizzo di software in generale, i processi di copia sono spesso di breve durata. L'addestramento dell'IA in sé non costituirebbe quindi un atto di riproduzione rilevante ai sensi della legge sul diritto d'autore. Se tuttavia dovesse verificarsi un atto di riproduzione, si potrebbe invocare un'eccezione (ad esempio, la riproduzione temporanea o la riproduzione per motivi tecnici a fini di ricerca scientifica).

Nella prassi giuridica non esiste un consenso sul fatto che l'addestramento di un'IA costituisca o meno un trattamento rilevante dal punto di vista del diritto d'autore. Un chiarimento giudiziario non è ancora stato fatto. Inoltre, dipende in larga misura dalla legge sul diritto d'autore specificamente applicabile.

Per il momento si può presupporre che l'uso di strumenti di IA e l'accesso a opere protette dal diritto d'autore o altri risultati di lavoro non violano la legge svizzera sul diritto d'autore in vigore. Dal punto di vista del diritto d'autore, ChatGPT può pertanto legalmente essere utilizzato in classe.

Per quanto riguarda i risultati generati dall'IA, non è possibile stabilire definitivamente se questi siano in linea di principio opere di nuova creazione protette dal diritto d'autore. In ogni caso, si raccomanda di indicare che un nuovo contenuto è stato generato da un'IA e di indicare la data in cui è stato generato (per esempio: ChatGPT di OpenAI, 14.6.2024). In questo modo, per quanto riguarda le nuove opere, vengono rispettati i requisiti della legge sul diritto d'autore, se applicabili.


Fonti: 

 

Una fotografa e i genitori hanno fatto foto e video durante uno spettacolo teatrale a scuola. Il docente di classe vorrebbe mettere il filmato dello spettacolo a disposizione di ogni bambina e bambino su un supporto di memoria. Anche i genitori hanno fatto foto e video, e li hanno pubblicati sui social media. I genitori di un allievo che compare nei filmati si sono lamentati. Come deve essere valutata la registrazione e la pubblicazione di immagini da parte della scuola? In che misura la scuola è responsabile delle registrazioni?

Dal punto di vista del diritto d'autore, occorre fare una distinzione tra la registrazione e la fornitura (pubblicazione) di materiale fotografico. Dal punto di vista del diritto d'autore, il consenso della persona interessata non è necessario per la registrazione in quanto tale, ma è necessario per la pubblicazione.

Bisogna inoltre distinguere tra le diverse persone che scattano le fotografie (genitori, corpo insegnante, fotografa/fotografo). Lo stesso vale per lo scopo rispettivamente della fotografia o del filmare, siccome questo è importante per la successiva valutazione dello scopo previsto. A seconda di chi fotografa o filma e per quale scopo, esistono diversi requisiti giuridici (basi legali, consenso).

Di norma, la legge della scuola vigente è sufficiente come fondamento giuridico per proiettare il film in classe o renderlo disponibile su un supporto di memoria per ogni bambina e bambino. Per ulteriori pubblicazioni è obbligatorio il consenso esplicito dei tutori legali e delle alunne e degli alunni coinvolti. Nel caso di pubblicazioni da parte della scuola è importante ottenere il consenso possibilmente in anticipo all'inizio dell'anno scolastico. La dichiarazione di consenso deve includere lo scopo della produzione o dell'elaborazione delle immagini. A seconda della situazione è necessario ottenere un nuovo consenso per il caso corrente e specifico. I genitori e la bambina o il bambino possono ritirare il loro consenso in qualsiasi momento senza dover dare spiegazioni.

La pubblicazione sui social media da parte dei genitori non è una responsabilità della scuola. Nell'interesse della prevenzione e della sensibilizzazione, la scuola potrebbe avvisare prima di uno spettacolo teatrale che i genitori non sono autorizzati a scattare fotografie dei bambini o a pubblicarle sui social media.

Sul sito internet della nostra scuola vorremmo presentare la scuola in un breve videoclip. La musica di Herbert Grönemeyer dovrebbe essere riprodotta in sottofondo. Come possiamo utilizzare legalmente la musica scelta?

I diritti d'autore della musica appartengono a Herbert Grönemeyer o, eventualmente, alla sua casa di produzione. Poiché il sito internet della scuola è pubblico, non è possibile utilizzare la musica senza una licenza. È perciò necessario dichiarare l'uso della musica e ottenere quindi una licenza. In Svizzera, ciò avviene tramite la SUISA, la quale rappresenta i diritti d'autore delle creatrici e dei creatori di musica, come pure le editrici e gli editori, in tutta la Svizzera. La SUISA garantisce che le compositrici e i compositori, le autrici e gli autori di testi, come pure le editrici e gli editori ricevano gli introiti dei diritti d'autore quando la loro opera è utilizzata in pubblico. È possibile richiedere alla SUISA una licenza per la messa a disposizione e la registrazione di file audio su un server, che va dunque pagata.

Questa soluzione potrebbe essere troppo costosa per una scuola, che sceglie, ad esempio, una canzone di Grönemeyer. In tal caso, è possibile optare per della musica libera da diritti d'autore o produrre voi stessi una musica di sottofondo.

Troverete numerose informazioni su l'utilizzo di opere musicali protette dal diritto d'autore nelle scuole sul sito della SUISA.

Nel corso della sua carriera nella nostra scuola, un professore ha creato per le sue lezioni di fisica uno script. Al momento di lasciare la scuola, non intende però metterlo a disposizione, esigendo i diritti d'autore. Il diritto d'autore si applica anche al materiale didattico?

La legge sul diritto d'autore (LDA) si applica anche al materiale didattico. Le insegnanti e gli insegnanti sono assunti, e remunerati, per creare e mettere a disposizione del materiale didattico. I diritti d'autore, dell'utilizzo del materiale scolastico, sono dunque regolarmente trasferiti alla scuola, secondo la legge sul personale, il regolamento scolastico e il contratto di lavoro. Di norma, la scuola può, dunque, decidere il riutilizzo di materiali didattici creati dal corpo insegnante, come gli script e simili.

Ci sono delle eccezioni per le opere create a titolo privato e nel tempo libero. In questo caso il diritto d'utilizzo dell'autore rimane all'insegnante, che decide se e dove l'opera sarà riutilizzata.

Sicurezza dell'informazione e dei dati a scuola e nell'azienda formatrice

Come scuola siamo interessati a un'applicazione conforme al Regolamento generale sulla protezione dei dati (RGPD). Vorremmo essere sicuri che questa copra anche la legislazione svizzera. Possiamo partire dal presupposto che se un'applicazione è conforme al diritto dell'Unione europea, rispetta anche la legge svizzera, oppure dobbiamo fare ulteriori chiarimenti giuridici?

Per prima cosa è importante sapere che le scuole pubbliche sono soggette alla legge cantonale sulla protezione dei dati, non alla Legge federale sulla protezione dei dati (LPD). Tuttavia facciamo riferimento alle disposizioni della LPD, poiché sono spesso incluse nelle norme cantonali vigenti.

La legge svizzera sulla protezione dei dati non coincide con il regolamento europeo generale sulla protezione dei dati (RGPD). La nuova legge sulla protezione dei dati spesso si spinge meno lontano, ed è meno formalistica o meno dettagliata. In alcuni casi, tuttavia, la legge svizzera sulla protezione dei dati stabilisce requisiti più severi. Se un'applicazione è conforme al RGPD, si può verificare senza troppi sforzi se l'applicazione è anche conforme alla legge federale (o cantonale) sulla protezione dei dati.

Le differenze pratiche si riscontrano nelle seguenti aree:

  • Obbligo di informare: per adempiere all'obbligo di informare e nell'interesse della trasparenza, secondo la LPD, quando una scuola comunica dei dati all'estero, dovrebbe informare le persone interessate sul paese che riceve questi dati. Un'altra possibilità è che sia già la legge della scuola a prevedere la trasmissione di dati all'estero.
  • Trattamento dei dati su commissione: se le aziende o le autorità federali commissionano un trattamento dei dati (ad esempio l'esternalizzazione su cloud), il fornitore di questo servizio deve essere in grado di garantire la sicurezza dei dati allo stesso modo del mandante. Le disposizioni per la commissione del trattamento dei dati della LPD sono meno estese di quelle previste dal RGPD. Di conseguenza i contratti con gli incaricati del trattamento devono essere adattati alla LPD solo a livello redazionale, ad esempio facendo riferimento agli articoli pertinenti.
  • Notifica di una violazione della sicurezza dei dati: secondo la LPD una violazione della sicurezza dei dati deve essere notificata meno rapidamente e in base a criteri leggermente diversi rispetto al RGPD. Tuttavia i dati personali degni di particolare protezione sono definiti nella LPD in maniera meno specifica in confronto al RGPD. Queste differenze possono rivestire un ruolo diverso a seconda della scuola e dell'applicazione.

Nei nostri contributi «Conseguenze per le scuole della nuova legge sulla protezione dei dati» e «Conseguenze della nuova legge sulla protezione dei dati per i privati e gli organi federali» abbiamo rilevato le principali modifiche della nuova legge svizzera sulla protezione dei dati.

La gestione delle password delle alunne e degli alunni rappresenta una sfida per la nostra scuola. In particolare la procedura corretta per gestire le password «dimenticate» comporta molto lavoro amministrativo per il corpo insegnante e la segreteria scolastica. Anche le autorizzazioni di accesso del corpo insegnante e dell'amministrazione scolastica alle password di alunne e alunni non sono chiare. La nostra gestione delle password deve essere sicura e conforme alla protezione dei dati e deve facilitare la vita scolastica di tutti i giorni. Qual è il modo migliore di procedere?

È possibile adottare diversi provvedimenti tecnici e organizzativi (TOM) per garantire una gestione delle password sicura e conforme alla protezione dei dati nelle scuole. I possibili provvedimenti includono:

  • Sviluppo di un concetto di ruolo e di autorizzazione: è consigliabile definire per le rispettive applicazioni quali persone hanno bisogno dell'accesso alla documentazione delle password (per es. la direzione scolastica, la segreteria, il personale informatico, il corpo insegnante).
  • Redazione di una direttiva sulle responsabilità: una direttiva scritta deve indicare chiaramente le responsabilità, i diritti e i doveri delle persone autorizzate all'accesso e deve essere firmata da queste ultime.
  • Limitazione di accesso: l'accesso alla documentazione delle password deve essere limitato al gruppo di persone definito nel concetto di ruolo e di autorizzazione. Ciò può essere fatto tramite la concessione dei diritti per l'archivio dei file, oppure attraverso la cifratura della documentazione delle password.
  • Amministrazione delle password da parte del corpo insegnante: un'altra opzione è la gestione delle password da parte del corpo insegnante. Anche in questo caso è meglio creare un concetto di ruolo e di autorizzazione.
  • Gestione delle password tramite un servizio separato: le password possono essere amministrate tramite un servizio separato, online o locale. I gestori di password offrono una buona panoramica delle password e delle opzioni di amministrazione.

Grazie all'implementazione di questi provvedimenti è possibile garantire un'amministrazione delle password sicura e conforme alla protezione dei dati nelle scuole. Inoltre, a seconda del servizio, la password può essere reimpostata in maniera indipendente. Questo dipende dalle possibilità tecniche.

L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) fornisce una Guida ai provvedimenti tecnici e organizzativi concernenti la protezione dei dati. L'incaricato della protezione dei dati del Cantone di Zurigo affronta nella guida di Microsoft 365 per il settore dell'educazione il tema del concetto di ruolo e di autorizzazione (cfr. sezione 3.4.4) e fornisce informazioni sui gestori di password (guida e informazioni disponibili in tedesco). Microsoft 365 fornisce una panoramica sulla reimpostazione della password.

Come può una scuola garantire che i dispositivi come computer e tablet vengano smaltiti correttamente e nel rispetto delle norme sulla protezione dei dati? Cos'altro bisogna considerare se si vuole cedere i dispositivi ad altri istituti?

Anche durante lo smaltimento di vecchi dispositivi, soprattutto se li si cede a terzi, bisogna garantire la protezione dei dati.

Di norma i dispositivi vengono smaltiti tramite Swico, un sistema senza fini di lucro per il ritiro di apparecchi elettrici ed elettronici dismessi provenienti dai settori informatica, elettronica di consumo, materiali da ufficio, comunicazione, industria grafica, sistemi di rilevamento e tecnologia medica.

Le scuole possono far ritirare gratuitamente i vecchi apparecchi a partire da un peso di 250 chilogrammi o gli apparecchi di grandi dimensioni con un'altezza minima di 80 centimetri. Tutti i partner contrattuali di Swico sono obbligati a proteggere i dati memorizzati sui dispositivi consegnati da letture non autorizzate. Ulteriori informazioni sono disponibili sul sito web di Swico.

Per garantire la protezione dei dati, indipendentemente dalla società di smaltimento, si consiglia di stabilire la procedura in un contratto o almeno per iscritto, idealmente prima di effettuare l'ordine. Dopo lo smaltimento è inoltre necessario richiedere un verbale corrispondente.

Il tipo di eliminazione dipende dal tipo di dispositivo e dal sistema operativo. Le istruzioni gratuite su come effettuare questa operazione sono disponibili online su portali di media informatici affidabili. L'uso di programmi di cancellazione comporta comunque in parte un rischio, dato che alcune parti della memoria potrebbero non essere cancellate. Per questo motivo si raccomanda di smontare e smaltire tutta la memoria prima di consegnare i dispositivi.

Questo non solo garantisce la protezione dei dati, ma impedisce anche il trasferimento indesiderato di licenze software personali. Anche se è il corpo insegnante a utilizzare i dispositivi per scopi professionali, è compito della scuola assicurarsi che i dati sul dispositivo vengano cancellati in sicurezza.

Se i dispositivi devono essere ceduti o rivenduti per motivi di sostenibilità, è consigliabile collaborare con un'azienda specializzata nella rivendita di dispositivi informatici per garantire che i dispositivi vengano cancellati in modo corretto e ceduti nel rispetto delle norme sulla protezione dei dati.

Il 1. settembre 2023, con l'introduzione della nLPD, cosa cambierà per la mia scuola? Devo occuparmene io come direttrice/direttore della scuola oppure interviene un altro organo?

Il 1. settembre 2023 è entrata in vigore la nuova legge federale sulla protezione dei dati (nLPD). La legge si applica alle autorità federali e alle persone fisiche, ma non agli organi cantonali e comunali, come nel caso delle scuole pubbliche. Per queste ultime, in primo luogo, si applica la legge cantonale sulla protezione dei dati.

Si consiglia di verificare a livello comunale se una scuola deve adattare qualcosa (ad esempio la dichiarazione dei dati del sito)  (si veda anche il nostro articolo «Conseguenze per le scuole della nuova legge sulla protezione dei dati»).

Come scuola privata, quali sono i principali cambiamenti di cui dobbiamo tener conto in base alla nuova legge sulla protezione dei dati?

Il 1. settembre 2023 è entrata in vigore la nuova legge federale sulla protezione dei dati. Questa si applica solo agli organi federali e ai privati (comprese le aziende). Le seguenti modifiche si applicano essenzialmente alle autorità federali e ai privati (si veda anche il nostro articolo «Conseguenze della nuova legge sulla protezione dei dati per i privati e gli organi federali»):

  • Estensione dell'obbligo d'informazione: in particolare è necessario redigere una dichiarazione di protezione dei dati, che specifichi le finalità del trattamento e la persona responsabile, con i relativi dati di contatto.
  • È pure previsto l'obbligo di tenere un registro del trattamento dei dati (con alcune eccezioni).
  • Le sanzioni sono state aumentate, con multe fino a CHF 250'000.
  • In caso di violazione della sicurezza dei dati, che possa comportare un rischio elevato per la personalità o i diritti fondamentali dell'interessato, la scuola privata (ad esempio, tramite la direzione della scuola o la persona responsabile) deve informare il prima possibile l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

Come insegnante, vorrei utilizzare l'intelligenza artificiale (AI) per valutare i lavori dei miei allievi. A cosa devo fare attenzione dal punto di vista legale?

Se, come insegnante, intende utilizzare l'AI per valutare i compiti, deve rispettare non solo le norme sulla protezione dei dati, ma anche quelle riguardanti il diritto d'autore. Questo significa che, ad esempio, non è consentito inserire nella ChatGPT dati provenienti dalle produzioni delle studentesse e degli studenti. Inoltre, i sistemi dell'intelligenza artificiale non possono essere utilizzati come unico strumento di valutazione. Come insegnante, deve pure verificare i risultati in base alla griglia di valutazione.

Il Digital Learning Hub del Canton Zurigo fornisce delle informazioni complete sull'AI/ChatGPT. In particolare ha redatto delle guide e delle raccomandazioni (tedesco) per le scuole, gli allievi e il corpo insegnante riguardanti l'utilizzo dell'AI nei lavori di approfondimento e finali.

Cyberbullismo

Un'alunna della nostra scuola è vittima di bullismo da circa tre mesi. Le compagne e i compagni di classe hanno diffuso commenti offensivi su TikTok. Sono inoltre state pubblicate delle foto scattate all'interno del perimetro scolastico che mostrano l'alunna in situazioni imbarazzanti, con alcune delle foto modificate e falsificate. Quali opzioni legali ha a disposizione l'alunna e cosa possiamo fare noi come scuola per combattere il cyberbullismo?


L'alunna può invocare la legge sulla protezione dei dati (LPD). La legge protegge la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento. La manipolazione di immagini in cui sono raffigurate persone costituisce un trattamento di dati personali.

L'alunna è anche protetta dalla disposizione penale sul furto d'identità (art. 179decies Codice penale svizzero). Si tratta dell'utilizzo dell'identità di un'altra persona senza il suo consenso con l’intento di nuocerle o di procurare a un terzo un vantaggio illecito. Potrebbe anche trattarsi di un reato di diffamazione.

Si consiglia all'alunna di avviare un procedimento penale. A differenza di un procedimento civile, che richiede un anticipo sulle spese, una denuncia penale può di norma essere presentata gratuitamente. Inoltre si applica la massima d'ufficio, che significa che le autorità penali indagano d'ufficio.

Infine è possibile invocare una violazione della personalità di diritto civile ai sensi dell'art. 28 del Codice civile svizzero. È possibile far valere la rimozione della violazione, la pubblicazione della sentenza e, all'occorrenza, il risarcimento dei danni e le rivendicazioni finanziarie. Tuttavia il procedimento civile è notevolmente più complesso di quello penale. È più costoso per l'attrice e richiede da lei più prove. Oltre a ciò l'imputato deve essere conosciuto.

Diversi cantoni, l'Associazione mantello delle insegnanti e degli insegnanti in Svizzera (LCH) e altri servizi specializzati offrono informazioni dettagliate sulle procedure concrete e sulla prevenzione del cyberbullismo nelle scuole. Ecco un elenco di alcuni materiali disponibili sul tema del cyberbullismo: