Negli ultimi tempi si sono verificati diversi episodi di accessi non autorizzati al registro elettronico scolastico, con modifiche indebite ai voti da parte di studenti. Questi episodi configurano un data breach, ovvero una violazione della sicurezza informatica che comporta accessi abusivi, modifiche o diffusione di dati personali.
Cos’è un Data Breach
Il termine indica una violazione della protezione dei dati, sia essa causata da attacchi esterni (es. hackeraggio) o da comportamenti interni scorretti (uso improprio delle credenziali, negligenza nella gestione degli accessi). Nel contesto scolastico, un data breach può riguardare:
-
alterazione dei voti
-
diffusione non autorizzata di dati su studenti, famiglie o docenti
-
accessi indebiti da parte di personale non autorizzato
Cosa deve fare il Dirigente scolastico
Il Dirigente scolastico, in quanto Titolare del trattamento dei dati, ha precisi obblighi normativi in caso di data breach. Entro 72 ore dalla scoperta della violazione deve:
-
notificare l’evento al Garante per la protezione dei dati personali
-
informare gli interessati (studenti, famiglie, docenti) se sussiste un rischio elevato per i loro diritti
-
registrare l’evento nel “Registro dei Data Breach” della scuola
Questi obblighi sono chiaramente indicati nella nota ministeriale del 2 agosto 2023, in linea con le Linee guida n. 9/2022 del Comitato Europeo per la Protezione dei Dati.
Il ruolo del DPO e del Responsabile del trattamento
Il DPO (Data Protection Officer), figura obbligatoria nelle scuole, deve supportare il Dirigente nella valutazione della gravità del caso. Il Responsabile del trattamento (es. referente informatico) deve invece segnalare immediatamente la violazione al Dirigente, senza compiere valutazioni personali.
Le sanzioni previste
Il Regolamento Europeo GDPR 2016/679 prevede sanzioni amministrative molto severe:
-
fino a 10 milioni di euro per violazioni di sicurezza o mancate notifiche
-
fino a 20 milioni di euro nei casi più gravi (uso illecito dei dati, trasferimenti non autorizzati all’estero)
A queste possono aggiungersi conseguenze disciplinari e contabili per i soggetti coinvolti, incluso il personale scolastico in caso di negligenza nella gestione degli accessi.
E se il problema dipende dal fornitore?
Se la violazione è legata a una falla del sistema del registro elettronico, anche l’azienda fornitrice può essere ritenuta responsabile. In questo caso la scuola ha diritto a richiamare le clausole contrattuali di sicurezza e attivare eventuali azioni legali.
La sicurezza digitale non è solo un tema tecnico, ma una responsabilità organizzativa e normativa. È essenziale che ogni scuola abbia procedure chiare per prevenire violazioni e affrontarle tempestivamente, tutelando i dati e i diritti di tutta la comunità scolastica.
