FAQ - EDT
-
GDPR: quali sono i nuovi obblighi di ciascuno?
Gli obblighi del Dirigente Scolastico
Il regolamento generale sulla protezione dei dati (GDPR) prescrive che "tutto il trattamento dei dati a carattere personale dovrà essere lecito e legale". Il responsabile del trattamento dei dati deve informare le persone coinvolte "dei rischi, regole, garanzie e diritti legati al trattamento" e "garantire una sicurezza e una riservatezza adeguati".
Per questo il Dirigente Scolastico deve tenere un registro dove sono registrate le caratteristiche lecite del trattamento dei dati e le misure prese per garantire la sicurezza dei dati trattati.
In particolare dovrà garantire:
- la sicurezza fisica del server dove il trattamento è effettuato;
- la protezione dei dati che dovranno essere accessibili solo alle persone abilitate;
- la sicurezza dei sistemi di comunicazione informatici ed elettronici;
- la capacità di ripristinare la disponibilità del server in tempi adeguati in caso d'incidente.
Gli obblighi degli editori di software
Il regolamento generale sulla protezione dei dati (GDPR) indica che i software devono essere sviluppati integrando, sin dalla loro ideazione, le nozioni di sicurezza e di protezione dei dati personali.
A tale riguardo, la Index Education S.A. di Marsiglia rientra già pienamente in questa prospettiva. Tutti i software prodotti dalla Index Education S.A. sono stati concepiti con l'obiettivo costante di proteggere i dati, infatti:
- I dati personali sono crittografati,
- Le basi dati sono annuali, questo permette di fatto di limitare la durata di conservazione dei dati,
- Tutti accedono unicamente ai dati ai quali il Dirigente scolastico ha consentito l'accesso,
- Il livello di sicurezza delle password è quello raccomandato dal Garante per la protezione dei dati personali,
- Salvataggi e degli archivi quotidiani garantiscono la conservazione dei dati,
- I servizi internet sono messi in sicurezza tramite il protocollo TLS.
In rapporto al servizio Cloud proposto dalla Index Education S.A. di Marsiglia:
- Il datacenter è in Francia e soddisfa le condizioni di disponibilità di terzo livello (TIER 3).
- Ogni istituto ha un server dedicato, unica garanzia di non interferenza tra le basi degli istituti.
- la sicurezza fisica del server dove il trattamento è effettuato;