Posta Elettronica Scolastica: Il Segreto Per Essere Conformi
Sicurezza e Trattamento Dei Dati - Consigli Utili

Posta Elettronica Scolastica: Il Segreto Per Essere Conformi

Importanza del GDPR per le scuole

Il GDPR riveste un ruolo cruciale per le scuole, garantendo che i dati personali degli utenti siano trattati con il massimo rispetto e sicurezza. Questa normativa, entrata in vigore nel maggio 2018, ha rivoluzionato il modo in cui le imprese raccolgono, gestiscono e proteggono le informazioni personali. Rispettare il GDPR non solo aiuta a evitare pesanti sanzioni economiche, ma contribuisce anche a costruire e mantenere la fiducia degli utenti. Una scuola che dimostra di essere conforme al GDPR comunica un forte impegno verso la trasparenza e la responsabilità, elementi essenziali per migliorare la reputazione della scuola. L’adozione di pratiche conformi al GDPR può anche favorire una maggiore efficienza interna, poiché richiede l’implementazione di sistemi di gestione dei dati più sicuri e organizzati. In un mondo sempre più orientato alla digitalizzazione, garantire la protezione dei dati personali non è solo un obbligo legale, ma un vantaggio competitivo che può differenziare una scuola dalle altre.

Ruolo della posta elettronica nelle comunicazioni scolastiche

La posta elettronica rappresenta uno strumento essenziale nelle comunicazioni scolastiche moderne, facilitando lo scambio rapido e efficiente di informazioni tra dipendenti, studenti, genitori e fornitori. L’email permette di trasmettere documenti, contratti e dati sensibili in modo sicuro e tracciabile, supportando così la continuità operativa e la collaborazione tra i diversi reparti di una scuola. Le scuole possono sfruttare la posta elettronica per implementare strategie mirate, inviare newsletter informative e mantenere un contatto costante con la loro utenza, migliorando l’engagement. L’email è fondamentale anche per la gestione interna, consentendo una comunicazione diretta e immediata tra i membri del team, che possono coordinarsi meglio sulle attività quotidiane e sui progetti a lungo termine. L’integrazione della posta elettronica con altri strumenti digitali, come le piattaforme digitali, amplifica ulteriormente la sua utilità, rendendola una componente irrinunciabile dell’infrastruttura comunicativa di qualsiasi scuola.

Gestione delle Email Scolastiche

1. Assegnazione degli Account di posta elettronica

L’assegnazione degli account di posta elettronica all’interno di una scuola è una pratica fondamentale che deve avvenire nel rispetto delle normative vigenti. Conforme al GDPR e alle leggi nazionali, come il D.lgs. n. 151/2015 e il D.lgs. n. 101/2018, è importante stabilire procedure chiare e trasparenti per l’assegnazione degli account di posta elettronica scolastica. Queste procedure devono garantire che ogni utente abbia accesso solo alle risorse necessarie per svolgere le proprie mansioni e che i dati personali siano trattati nel rispetto della privacy e della sicurezza. Inoltre, è importante che l’assegnazione degli account avvenga in modo documentato, in modo che sia possibile tracciare l’accesso e l’utilizzo dei dati personali. Seguire le linee guida del Garante per la protezione dei dati personali, così come le disposizioni specifiche sul lavoro agile della Legge 22 Maggio 2017, n. 81, può aiutare le scuole a garantire la conformità e a proteggere la riservatezza dei dati dei propri utenti. Una corretta assegnazione degli account di posta elettronica non solo favorisce la produttività e l’efficienza all’interno della scuola, ma contribuisce anche a creare un ambiente di lavoro sicuro e rispettoso della privacy.

Cosa significa tutto questo?

  1. Ogni utente deve accedere esclusivamente alla sua casella di posta elettronica ed alle caselle condivise per cui è autorizzato. Non deve accedere a caselle che non sono di sua competenza.
  2. L’assegnazione ed il rilascio delle credenziali deve essere documentato.
  3. Deve poter essere tracciato l’accesso alla casella personale o condivisa che sia. Qualora la casella sia condivisa si deve sempre risalire all’utente che ha compiuto un’azione all’interno della casella, come aprire o inviare una mail.
  4. L’utente deve custoride le password di accesso e non divulgarle seguendo le linee guida per la gestione delle password scolastica.
  5. Non è possibile accedere ad un’account di posta elettronica personale di un altro utente, nemmeno se dimesso, licenziato o per qualunque altra ragione senza la sua autorizzazione.

2. Regolamento per l’uso della posta elettronica

La scuola deve dotarsi di un regolamento per l’utilizzo della posta elettronica scolastica. Questo regolamento è essenziale per garantire un utilizzo corretto e sicuro degli strumenti di comunicazione digitali all’interno dell’organizzazione. Il regolamento deve fornire linee guida chiare e definite per gli utenti su come utilizzare la posta elettronica in modo appropriato, rispettando contemporaneamente le normative sulla privacy e la sicurezza dei dati. Una politica scolastica ben strutturata dovrebbe definire chiaramente le responsabilità degli utenti riguardo all’invio e alla ricezione di email, nonché le procedure per la gestione delle informazioni sensibili. Inoltre, dovrebbe stabilire regole precise per l’archiviazione e la conservazione dei messaggi email, in conformità con le normative legali e i requisiti di conservazione dei dati.

Le politiche interne dovrebbero anche affrontare questioni relative alla sicurezza informatica, come l’uso di password complesse, la protezione contro il phishing e la formazione periodica del personale sulla sicurezza dei dati. È importante che queste politiche siano comunicate in modo chiaro e regolarmente aggiornate per riflettere i cambiamenti nelle tecnologie e nelle normative sulla privacy.

Inoltre, le politiche scolastiche dovrebbero includere disposizioni specifiche per il rispetto del GDPR e di altre leggi sulla privacy, come la necessità di ottenere il consenso esplicito prima di inviare comunicazioni via email e la gestione corretta delle richieste degli interessati riguardanti l’accesso, la rettifica e la cancellazione dei dati personali.

Implementare politiche interne robuste per l’uso della posta elettronica non solo aiuta a garantire la conformità legale, ma contribuisce anche a creare un ambiente lavorativo sicuro, responsabile e rispettoso della privacy dei dati degli utenti.

Cosa significa tutto questo?

La scuola deve dotarsi di un regolamento per l’utilizzo della posta elettronica scolastica che comprenda:

  1. Quando, come e perchè utilizzare la posta elettronica
  2. Cosa si può e non si può fare con le caselle assegnate
  3. Come devono essere utilizzare le caselle condivise
  4. Come archiviare e conservare le mail
  5. Come e quando eliminare una mail
  6. Come gestire le mail contenenti informazioni sensibili
  7. Come conservare le password
  8. Come proteggersi dalle minacce informatiche
  9. I sistemi di protezione messi in atto
  10. I sistemi di sicurezza che potrebbero in qualche modo monitorare l’attività dell’utente (specificando cosa possono salvare)
  11. I sistemi di eliminazione/conversazione/archiviazione automatica messi in atto
  12. Come, quando e perchè ottenere il consenso all’invio delle mail
  13. Come funziona la cessazione degli account a fine rapporto
  14. Come delegare un altro utente all’utilizzo della propria casella di posta elettronica

3. Formazione degli utenti sulla sicurezza e la conformità, non solo, della posta elettronica

La formazione degli utenti sulla conformità al GDPR è un elemento cruciale per garantire che l’intera organizzazione comprenda e rispetti le normative sulla protezione dei dati personali. Questa formazione fornisce agli utenti le conoscenze e le competenze necessarie per identificare e affrontare le questioni legate alla privacy dei dati nel loro lavoro quotidiano. Le sessioni formative dovrebbero coprire una vasta gamma di argomenti, tra cui i principi fondamentali del GDPR, i diritti degli interessati, le procedure per la gestione dei dati personali e le responsabilità specifiche degli utenti.

Durante la formazione, è importante utilizzare approcci didattici interattivi e coinvolgenti, come studi di casi, simulazioni e quiz, per favorire un apprendimento attivo e pratico. Questo aiuta gli utenti a comprendere appieno l’importanza della protezione dei dati e a riconoscere potenziali rischi e violazioni. Inoltre, la formazione dovrebbe essere continua e aggiornata regolarmente per mantenere il personale al passo con le nuove normative e le best practice nel campo della protezione dei dati.

Un altro aspetto cruciale della formazione riguarda il ruolo specifico di ciascun utente nella conformità al GDPR. Ogni utente dovrebbe comprendere come le normative sulla privacy si applicano al proprio ruolo e quali sono le sue responsabilità nel garantire la protezione dei dati personali. Questo può includere la gestione corretta dei dati degli utenti, la notifica tempestiva di violazioni dei dati e la collaborazione con il responsabile della protezione dei dati per garantire la conformità continua.

Inoltre, la formazione dovrebbe essere integrata nel processo di integrazione dei nuovi dipendenti e resa disponibile anche per il personale esistente attraverso corsi online, webinar o sessioni in aula. Investire nella formazione degli utenti sulla conformità al GDPR non solo riduce il rischio di violazioni e sanzioni, ma crea anche una cultura scolastica consapevole della privacy e orientata alla protezione dei dati degli utenti.

4. Monitoraggio, controllo e sicurezza della posta elettronica

Il monitoraggio e il controllo dell’utilizzo delle email sono parte integrante delle politiche di sicurezza informatica scolastica, soprattutto in un contesto in cui la posta elettronica è un canale primario di comunicazione. Queste misure sono fondamentali per proteggere la riservatezza dei dati e prevenire potenziali minacce alla sicurezza informatica. Il monitoraggio delle email può includere l’analisi dei flussi di traffico, l’individuazione di pattern sospetti o anomalie, e la scansione dei messaggi per identificare potenziali minacce come malware o phishing.

Un aspetto importante del monitoraggio è l’implementazione di sistemi di controllo degli accessi, che regolamentano chi può accedere alle email e quali azioni possono compiere. Questo può includere l’imposizione di restrizioni sull’invio di email a determinati indirizzi o la prevenzione del trasferimento di file di grandi dimensioni al di fuori dell’organizzazione. Inoltre, è importante che le scuole stabiliscano chiare politiche sull’uso accettabile della posta elettronica e applichino sanzioni disciplinari in caso di violazioni.

Oltre al monitoraggio attivo, è cruciale anche l’implementazione di sistemi di archiviazione e conservazione delle email. Questi sistemi consentono alle scuole di archiviare in modo sicuro le comunicazioni email per scopi legali e di conformità normativa, nonché di recuperare rapidamente messaggi specifici in caso di necessità.

Attenzione però il monitoraggio è ammesso solo quando automatizzato per la sicurezza degli accessi e l’analisi  automatica da parte dei software di sicurezza, non è consentito per nessun motivo il monitoraggio sistematico dei dipendenti per controllarli.

Tutti i software di monitoraggio, di controllo e di log devono eliminare i dati al massimo due settimane dopo l’analisi ed impedire l’incrocio dei dati, anche con altri software, per il controllo dei dipendenti.

Best Practices per l’Uso Conforme della Posta Elettronica

Garantire la conformità normativa, in particolare rispetto al GDPR, richiede un approccio proattivo e una serie di pratiche solide. Per aiutare le scuole a mantenere la conformità e a evitare violazioni dei dati, ecco alcuni consigli pratici divisi in base al tipo di piattaforma utilizzata. Prenderemo come esempio le due piattaforme più utilizzate, Microsoft 365 e Google Workspace, seguendo due approcci diversi, ma molto simili.

Il modo migliore per gestire la posta elettronica è utilizzare le cassette postali condivise (gruppi per Google Workspace) come caselle generiche (segreteria@scuola.edu.it, teamdigitale@scuola.edu.it, ecc.) e dare ad ogni utente una casella di posta personale (es. nome.cognome@scuola.edu.it).

Non si può assegnare nemmeno temporaneamente una casella di posta di un utente ad un altro utente, è una chiara violazione del GDPR.

  1. Redigere un regolamento sull’utilizzo della posta elettronica.
  2. Ogni utente deve avere accesso alla propria casella personale con rilascio di utente e password documentati (es. nome.cognome@scuola.edu.it)
  3. Ogni utente deve accedere alle cassette postali condivise tramite gli strumenti offerti dalla piattaforma scelta, dovendo sempre sapere chi ha letto e chi ha risposto ad una mail le cassette condivise devono essere creare con accesso automatico su 365 e Worpskace, MAI come caselle di posta a se con una propria password.
  4. Gli utenti devono scrivere e ricevere verso l’esterno dalle postali condivise (o i gruppi google), le caselle personali del personale ATA devono essere disabilitate per l’invio e la ricezione dall’esterno se non in casi eccezionali. Perchè? Perchè una mail in una casella personale è di proprietà della persona e non si può per nessun motivo, ne legale, ne fiscale accedere alla sua casella personale senza il suo consenso.
  5. Dotarsi di un sistema di archiviazione legale della posta elettronica almeno per le caselle di posta condivise, così anche con l’eliminazione involontaria di una mail permette il recupero legale della mail.
  6. Ogni volta che si riceve una mail deve essere trattata di conseguenza ed una volta elaborata la mail finito il suo scopo va eliminata.
  7. Alle dimissioni di un dipendente la casella di posta personale deve essere bloccata ed eliminata nel più breve tempo possibile.
  8. Investire in formazione del personale, almeno semestrale.
  9. Condurre una valutazione dei rischi sulla compromissione della posta elettronica.
  10. Condurre degli audit programmati per controllare l’adempimento alle normative sulla protezione dei dati e rilevare eventuali violazioni o anomalie.
  11. Collaborazione con fornitori: Assicurarsi che anche i fornitori rispettino le stesse normative sulla protezione dei dati. Stipulare accordi contrattuali chiari che definiscano le responsabilità e le misure di sicurezza per garantire la conformità.
  12. Mantenimento della documentazione: Tenere traccia di tutta la documentazione relativa alla conformità normativa, comprese le politiche, le procedure, le valutazioni dei rischi e le comunicazioni con le autorità di controllo. Una documentazione completa è essenziale per dimostrare la conformità durante ispezioni e audit.

Seguendo questi suggerimenti pratici, le scuole possono lavorare verso una maggiore conformità normativa e proteggere in modo più efficace i dati personali dei propri utenti.

Domande Frequenti (FAQ)

Per comprendere meglio come utilizzare correttamente la posta elettronica in conformità con le leggi vigenti, è importante rispondere alle domande più comuni che le scuole potrebbero avere.

  1. Qual è la differenza tra marketing via email e spam? Il marketing via email coinvolge l’invio di messaggi promozionali a persone che hanno esplicitamente acconsentito a riceverli, mentre lo spam si riferisce all’invio non richiesto e non autorizzato di messaggi promozionali. È importante rispettare le normative sulla privacy e ottenere il consenso esplicito prima di inviare comunicazioni di marketing via email.
  2. Quali sono le migliori pratiche per ottenere il consenso degli utenti? Le migliori pratiche per ottenere il consenso includono l’utilizzo di forme chiare e trasparenti per chiedere il consenso, la possibilità per gli utenti di revocare il consenso in qualsiasi momento e la documentazione accurata di tutti i consensi ottenuti.
  3. Come posso proteggere i dati sensibili trasmessi via email? Per proteggere i dati sensibili trasmessi via email, è consigliabile utilizzare la crittografia end-to-end e implementare politiche di sicurezza robuste che limitino l’accesso ai dati solo a coloro che ne hanno effettivamente bisogno. Ad esempio inviare un file cifrato tramite mail e la password per decifrarlo via SMS.Invia una mail con un file cifrato e subito dopo una seconda mail con la password in chiaro per decifrare il file NON è protezione dei dati sensibili, ANZI è una segnalazione sicura al garante della protezione dei dati personali con sanzione.
  4. Cosa devo fare in caso di violazione dei dati tramite email? In caso di violazione dei dati tramite email, è importante agire prontamente per mitigare i rischi e informare tempestivamente le autorità competenti e gli interessati interessati alla violazione. Documentare accuratamente tutti i dettagli relativi alla violazione e alle azioni intraprese è fondamentale per dimostrare la conformità normativa.
  5. Un dipendente lascia la scuola, come posso accedere alla sua vecchia casella postale? Semplicemente non puoi senza il suo consenso, l’accesso senza il suo esplicito consenso ed il mantenimento della casella sono chiare violazioni del GDPR con pesanti sanzioni. Anche se questo dipendente è il dirigente scolastico, vale lo stesso principio, la sua casella va eliminata.
  6. Come utilizzare la mail @istruzione.it generica della scuola? L’utilizzare tutti lo stesso indirizzo email generico senza poter distinguere l’utente che legge o invia la mail mette a rischio di sanzioni la scuola ed il titolare in caso di dagta breach. Ci sono molti software anche Open Source che permettono di gestire la posta elettronica dalle postazioni senza dare la password ai dipendenti ed imporre in maniera automatica sotto ogni mail la firma del dipendente, questo già è un passo avanti verso la conformità in quanto è possibile risalire a chi ha inviato la mail ed il Computer che ha effettuato l’accesso dato che i dipendenti non sono direttamente a conoscenza della password della casella di posta elettronica. Anche nei software di gestione come gecodoc, ogni dipendente deve firmarsi quando invia la mail. Non si possono inviare email senza una firma o un codice che permetta il riconoscimento della persona che ha scritto la mail, ancora peggio se tutte le mail inviate hanno in calce la firma del dirigente o del DSGA, ma sono scritte da un qualunque altro dipendente. Ogni comunicazione digitale deve essere firmata da chi la sta inviando per essere tracciata. Se un fornitore riceve una mail dalla scuola con in basso la firma del dirigente, ma la mail l’ha inviata un membro del personale ATA di segreteria, il fornitore, scoperto questo, può segnalare al garante per la protezione dei dati personali.

Questo estratto è stato ripubblicato con il permesso di scuola.org e del suo autore.
Tutti i diritti sono riservati all’autore originale.
Antonio Esposito | 05 Giugno 2024 | “Posta Elettronica Scolastica: Il Segreto Per Essere Conformi” | scuola.org

A questo link puoi trovare l’articolo completo dei riferimento normativi.