È stata riscontrato come  la consuetudine di permettere a colleghi di lavoro l’uso delle proprie credenziali, abbia portato ad un aumento significativo delle violazioni dei dati personali .

Un significativo insieme di violazioni di dati (cd. eventi dannosi/ Data breach), segnalati a quest’ultimo nel corso dell’ultimo anno, sono caratterizzati da una natura comune: si tratta spesso di accessi abusivi a dati personali e sensibili da parte di personale scolastico non autorizzato.

Ad esempio i pc propri degli assistenti amministrativi potrebbero essere utilizzati da terzi (a titolo esemplificativo dai docenti) privi di autorizzazione specifica per il trattamento dei dati in essi contenuti / accessibili.

In tale sovente fattispecie, ad esempio, avendo accesso ad un pc di competenza degli uffici di segreteria, un docente potrebbe di fatto avere accesso a dati, soprattutto di natura sensibile, che non è autorizzato a trattare.
La disattenzione, da parte dei titolari delle credenziali, è spesso la motivazione di queste violazioni, mentre il dolo costituisce una motivazione minoritaria.

In primo luogo, come misura cautelativa, occorre acquisire la firma dell’apposito Accordo di Riservatezza nominativo per ogni incaricato al trattamento (assistenti amministrativi, docenti, collaboratori scolastici, etc.) .

In secondo luogo si rende necessario che il personale scolastico utilizzi un computer e/o un account di propria pertinenza; a tal scopo risulta funzionale predisporre nell’aula docenti un elaboratore loro riservato.

L’utilizzo di computer in aree quali la presidenza, le segreterie e/o account diversi dal proprio (con particolare riferimento a personale con livelli di autorizzazione superiori al proprio) sono comportamenti che ingenerano rischi significativi per gli interessati e dovrebbero essere interrotti immediatamente nonché scoraggiati.

Alla luce di quanto riportato finora e dalle ultime segnalazioni da parte dell’Autorità Garante stessa, il personale scolastico è invitato a porre attenzione in merito a quanto segnalato e a predisporre e circolarizzare adeguate procedure, da riportarsi all’interno dei regolamenti e policy interne all’istituto, atte a scongiurare tali eventualità.

Caselle email personali.

Parimenti l’uso di caselle di posta elettronica personali (spesso gratuite e per le quali non è dato sapere se l’ubicazione geografica del server di posta che le ospita sia in territorio UE o coperto da decisione di adeguatezza o considerato inadeguato) dovrebbe essere interrotto.

È stato riscontrato, infatti, che alcuni docenti o personale Ata, utilizzano le proprie caselle email per poter effettuare le attività professionali loro demandate.

Questo comportamento genera due rischi immediati:

• l’impossibilità di verificare che le caselle email rispettino le prescrizioni del Gdpr;
  
• l'illecito protrarsi del trattamento dati anche dopo la fine dell’incarico (p.e. il docente conserva – volontariamente o involontariamente – i dati personali degli studenti dei precedenti incarichi).

La misura identificata come idonea in questi casi è quella di vietare l’uso di caselle di posta elettronica personali, per il trattamento dei dati, a tutti i dipendenti della scuola, prediligendo le caselle di posta gestite dalla scuola stessa.

Anche in questo caso si rende necessario redigere e circolarizzare idonea procedura.