Normativa vigente sul bullismo e cyberbullismo

Normativa vigente sul bullismo e cyberbullismo

La legge 71/17, concernente “Disposizioni a tutela dei minori per la prevenzione e il contrasto del fenomeno del cyberbullismo”rappresenta un primo passo significativo per il riconoscimento e la regolamentazione di un fenomeno sempre più in crescita tra gli adolescenti.Tra le novità introdotte dalla legge, in particolare, sono previsti:

  1. l’istituzione di un tavolo tecnico per la prevenzione e il contrasto al cyberbullismo e l’adozione da parte del MIUR di apposite linee di intervento nelle scuole che dovranno prevedere la formazione del personale scolastico, attività educative per gli studenti e rieducative per i minori coinvolti;
  2. la designazione, in ogni istituto scolastico, di un docente referente in materia che dovrà interagire con le Forze di polizia, con i centri di aggregazione giovanile e le associazioni presenti sul territorio;
  3. la responsabilizzazione del dirigente dellascuola che, a conoscenza di fatti di cyberbullismo scolastico, dovrà attivarsi tempestivamente, tranne che i fatti costituiscano reato, per informare i genitori dei minori coinvolti e intraprendere adeguate azioni di carattere educativo;
  4. l’applicazione, in assenza di denuncia, della disciplina sull’ammonimento da parte del questore, prevista già per lo stalking.

La legge 71/17 in sintesiSkuola.net ha elaborato un’interessante sintesi dei contenuti della legge, articolata in cinque punti, che riportiamo di seguito.

1. Identikit del cyberbullo

Tra i primi aspetti importanti il riconoscimento del termine cyberbullismo. Entra pertanto per la prima volta nell`ordinamento una puntuale definizione legislativa del fenomeno online. “Bullismo telematico è ogni forma di pressione, aggressione, molestia, ricatto, ingiuria, denigrazione, diffamazione, furto d`identità, alterazione, manipolazione, acquisizione o trattamento illecito di dati personali realizzata per via telematica in danno di minori. Nonché la diffusione di contenuti online (anche relativi a un familiare) al preciso scopo di isolare il minore mediante un serio abuso, un attacco dannoso o la messa in ridicolo”.

2. Eliminazione dei contenuti

Per i minori sopra i 14 anni di età c’è la possibilità di chiedere al gestore di un sito, o al social media di oscurare, rimuovere o bloccare i contenuti dannosi diffusi in rete. Se questo non avviene entro 48 ore, c’è la possibilità di rivolgersi al Garante della privacy, che interviene nelle successive 48 ore. C’è da precisare che dalla definizione di gestore, che è il fornitore di contenuti su internet, sono comunque esclusi gli access provider, i cache provider e i motori di ricerca.

3. Il docente anti-bullo

Dal testo della legge si evince inoltre che in ogni scuola sarà indicato un prof-antibullo. Sarà lui infatti il referente per tutte le iniziative finalizzate al contrasto del fenomeno. Sarà inoltre la persona che si occuperà di gestire i casi con le forze dell’ordine, laddove si verifichi un atto di cyberbullismo.

E se da una parte il docente farà da referente, il preside della scuola invece si occuperà di informare i genitore del minore, vittima di atti di bullismo informatico, e avrà anche il compito di attuare delle adeguate azioni educative.Anche il Miur avrà un ruolo monto attivo contro il cyberbullismo. Superando i confini degli istituti scolastici infatti dovrà realizzare delle linee di orientamento con lo scopo di prevenire e contrastare il fenomeno tra i giovani. Spetterà anche al Ministero istituire una formazione dedicata per il personale scolastico e prevedere delle misure di sostegno per le vittime. A singoli istituti invece il compito di realizzare una educazione alla legalità e all’uso corretto di internet, iniziative e attività che potranno essere svolte in collaborazioni con polizia postale e associazioni territoriali.

4. Il richiamo del questore

Se si dovessero verificare dei casi in cui si è vittima di minacce, ingiurie o trattamento illecito dei dati personali via web, fino a che non vi sia una denuncia, il cyberbullo potrà essere ammonito dal questore, che lo inviterà a non ripetere atti di violenza di tale natura. Il questore, a seguito della raccolta di informazioni tramite organi investigativi o persone informate dei fatti, potrà anche chiederela comparizione in persona del cyberbullo per ammonirlo in forma orale e invitarlo ad assumere una condotta corretta.

Gli effetti dell’ammonimento terminano se maggiorenni.

5. Il piano di monitoraggio e controllo

La legge prevede infine che venga istituita una struttura presso la Presidenza del Consiglio con lo scopo di realizzare un piano di azione, per contrastare e prevenire il cyberbullismo e creare una banca dati per monitorare il fenomeno.

APP e RISORSE PER SEGNALARE UN CASO DI CYBERBULLISMO

https://play.google.com/store/apps/details?id=it.poliziadistato.youpol&hl=it

“YOUPOL” App della polizia postale https://play.google.com/store/apps/details?id=com.daphne.deletecyberbullying L’Age ha creato l’app Deletecyberbullying, la versione italiana della App europea per studenti, docenti e genitori per prevenire e contrastare il cyberbullismo nelle scuole e nella società; l’applicazione per tablet e smartphone Android è gratuita e può essere scaricata direttamente sul su Google Play https://www.commissariatodips.it/approfondimenti/cyberbullismo.html Sito del Commissariato di Pubblica Sicurezza con indicazioni utili sul cyberbullismo http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6732832 Infografica Garante della Privacy Legge n 71 2017 sul cyberbullismo http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6732688 modello per segnalazione/reclamo in materia di cyberbullism

La privacy nelle scuole

Privacy nelle scuole: le novità post GDPR

Le scuole, pubbliche o private che siano, svolgono una funzione essenziale per la crescita ed il progresso del nostro Paese in quanto realizzano direttamente la libertà di arte e di scienza, uno dei diritti fondamentali previsti dalla nostra Costituzione (art. 33 Cost e 34 Cost.). Senza un sistema scolastico efficiente, infatti, sarebbe impossibile realizzare il progresso tecnologico, sociale e morale di una società.

Il diritto alla protezione dei dati personali è di più recente elaborazione rispetto al diritto a ricevere un’adeguata istruzione, ma è evidente come i due diritti debbano essere coordinati e integrati.

Ne consegue che le istituzioni scolastiche si sono dovute confrontare con l’entrata in vigore del Regolamento UE 679/2016 (cosiddetto GDPR) e del successivo D.lgs. 10 agosto 2018, n. 101 che ha modificato il D.lgs. 196/2003 (cosiddetto Codice Privacy).

Gli istituiti scolastici pubblici, potendo contare su una imponente struttura burocratica già piuttosto incline a recepire i formalismi (ma anche la sostanza) della normativa, sono stati avvantaggiati dalla nomina del DPO (Responsabile della protezione dei dati, Art. 37 GDPR).

La nomina del DPO per questi enti è, infatti, obbligatoria per legge, ma il rispetto dell’obbligo normativo ha portato in molte realtà significativi benefici pratici in termini di efficientamento e miglioramento delle prassi: obiettivo che può essere realizzato individuando un DPO esperto e competente.

Il GDPR ha impattato anche gli istituti scolastici privati i quali, al pari degli istituti pubblici, garantiscono la libertà di arte e di scienza e svolgono, conseguentemente, una funzione di pubblica rilevanza.

L’approccio al GDPR per le scuole paritarie è stato tuttavia diverso rispetto a quello “imposto” agli istituti pubblici. Questi enti hanno dovuto ripensare gli approcci metodologici ai trattamenti realizzati, adeguando alla legge i molteplici e diversi trattamenti realizzati dai propri uffici, sensibilizzare e formare il corpo docente e amministrativo.

L’adeguamento meramente formale e documentale alla nuova normativa non è stato (o almeno non avrebbe dovuto essere) la priorità per queste categorie di titolari.

In ogni caso, tutti gli enti scolastici (pubblici o privati) sono stati chiamati a confrontarsi con il Regolamento Europeo.

Tuttavia, il recepimento dei precetti normativi e la conversione di quanto imposto in prassi e procedure concrete sono risultati spesso difficili per la complessità delle disposizioni, per la complessità della normativa e per il ruolo, certamente non facile, svolto in ambito formativo dai vari istituti.

Il primo terreno di confronto è stato il superamento del concetto di “misure minime” a favore dell’approccio di accountability dell’istituto scolastico che presuppone un nuovo approccio consapevole e responsabile alla protezione dei dati personali che non si realizza attraverso un mero adempimento cartolare.

Per l’effetto, ogni complesso scolastico dovrà, in primo luogo e necessariamente, svolgere un’attenta riflessione sulle attività concretamente svolte e ripensare all’approccio sinora utilizzato in tema di protezione dei dati.

 

Diventa, quindi, imprescindibile ripensare alle modalità attraverso le quali il dato personale (dalla raccolta fino alla cancellazione attraverso tutte le fasi del trattamento realizzato) viene trattato.

Questa attività non può, dunque, prescindere da un’accurata analisi dei metodi di trattamento di dati operati (avuto riguardo alle diverse categorie di interessati) e dei processi oltre che dei sistemi informatici adottati.

Il GDPR chiede, infatti, di responsabilizzare chi tratta i dati personali (anche con semplici circolari e attività formative mirate) e individuare i referenti interni per la gestione delle procedure oltre che, ça va sans dire, aver riguardo dei flussi di dati personali.

La gestione di suddette attività, lungi dal rappresentare un appesantimento burocratico inutile, può rappresentare una vera svolta nel senso dell’efficientamento dei processi idonei a garantire, al tempo stesso, un’auspicata semplificazione e tutela dei diritti che passa, anche, attraverso un’opera di documentazione degli adempimenti e delle misure di sicurezza e organizzative realizzate.

L’organigramma privacy degli istituti scolastici

Il primo step che ogni istituto scolastico deve realizzare riguarda l’individuazione delle responsabilità e, in questo senso, assume imprescindibile rilevanza l’organigramma che, nel caso degli istituti scolastici, sarà sicuramente più complesso che per altre categorie di titolari.

In primo luogo, si tratterà di distinguere i soggetti che trattano dati personali da coloro i quali non sono autorizzati ad accedere ai dati e, nell’ambito dei soggetti autorizzati a trattare i dati, individuare i referenti preposti alla gestione delle diverse procedure. In quest’ottica, sembra consigliabile operare piani di formazione differenziati a seconda della responsabilità aziendale che riveste il soggetto autorizzato e dei trattamenti che questi effettua sotto l’autorità del titolare[1].

In secondo luogo, è consigliabile che i soggetti scolastici integrino procedure per la gestione efficiente dei registri e, in questo senso, è opportuno che si dotino di quattro modelli di registri, fra cui il registro delle attività di trattamento, il registro per la gestione delle violazioni, il registro della formazione e, da ultimo, il registro della strumentazione[2].

Da ultimo, l’organigramma scolastico dovrà indicare un soggetto che gli istituti scolastici avranno l’obbligo di nominare, ossia il Data Protection Officer.

Privacy nelle scuole: il ruolo del DPO

In questo senso, è bene evidenziare sin da subito come questo particolare soggetto, dotato di particolari responsabilità e compiti in materia di protezione dati, non debba mai essere confuso con il DPO la cui nomina risponde a logiche diverse non di organizzazione, ma di protezione degli interessati[3].

Una delle novità del Regolamento Ue 679/2016 è, infatti, l’introduzione di una nuova figura detta DPO (Data Protection Officer), se si vuole mantenere la traduzione inglese oppure RPD (Responsabile della Protezione dei Dati) se si preferisce la traduzione italiana, purtuttavia da molti ritenuta di infelice formulazione posto che il DPO non è responsabile direttamente delle violazioni del GDPR ma è legato al titolare che lo ha nominato da una responsabilità di tipo contrattuale.

In particolare, l’art. 37 (par. 1, lett. a) del Regolamento Europeo prevede che: “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.

Se, da un lato, tutte le scuole pubbliche hanno l’obbligo di provvedere alla nomina del DPO, è erroneo ritenere che una scuola privata, solo perché un soggetto non formalmente pubblico, sia sottratta a questo obbligo normativo. Le scuole, infatti, quand’anche private sono ricomprese all’interno della categoria degli organismi di diritto pubblico[4].

Al riguardo, giova in ogni caso ricordare come il WP29 in una delle Opinion ha ritenuto che sia preferibile che anche i soggetti privati nomino un DPO alla luce delle specificità dei dati trattati, dei soggetti interessati (per lo più minori) e dei rischi connessi con le attività di trattamento.

In ogni caso, pertanto, la nomina del DPO da parte di un istituto scolastico riveste una notevole e imprescindibile rilevanza strategica considerando la tipologia, il volume, la qualità dei dati trattati e la tipologia dei trattamenti realizzati che, il più delle volte, incidono su soggetti particolarmente vulnerabili come i soggetti minorenni.

Da ultimo, l’istituto potrà discrezionalmente valutare se nominare un DPO interno ai propri uffici oppure se individuare un soggetto esterno sulla base di un contratto di servizi sulla base delle indicazioni dell’ex WP29; ma in ogni caso, è imprescindibile che il DPO sia dotato di competenze adeguate, non sia in conflitto di interessi con il titolare e sia dotato dei mezzi per adempiere adeguatamente ai propri compiti.

I responsabili di trattamento: quali nomine e perché

IL GDPR ha, inoltre, riformulato la nozione di responsabile di trattamento, posto che gli stessi secondo quanto previsto dall’art. 28 del GDPR, sono figure esterne all’organizzazione del titolare e per conto del quale trattano i dati e perseguono le finalità definite dallo stesso.

Occorrerà, dunque, valutare caso per caso se ed in che modo ai soggetti che trattano dati per conto del titolare siano o meno responsabili previo un processo di mappatura dei flussi di dati personali. A titolo meramente esemplificativo tra i responsabili esterni potrebbero essere inseriti, fatte le opportune valutazioni, le software house dei gestionali in uso (ad esempio, il registro elettronico), gli amministratori di sistema, i tecnici informatici, le società che forniscono i servizi di ristorazione all’interno dell’istituto.

Appurato che il principio di substance over form richiesto dal GDPR rende inefficaci le mere lettere di incarico, sarà necessario integrare gli accordi con i fornitori con clausole contrattuali che assicurino adeguate livelli di tutela degli interessati le quali possono anche trovare disciplina in un allegato (il data protection agreement) al contratto stipulato con il fornitore.

Soggetti autorizzati: insegnanti, assistenti scolastici, amministrazione

Gli incaricati o autorizzati sono i soggetti, sottoposti all’autorità del titolare o del responsabile, che materialmente svolgono le attività di trattamento e che possono essere, a titolo meramente esemplificativo: gli insegnanti, gli impiegati amministrativi e gli assistenti scolastici.

L’art. 29 del Regolamento UE 679/2016 non prevede espressamente una nomina di queste figure; tuttavia, viene espressamente richiesto che vengano fornite delle istruzioni operative che, secondo il novellato codice privacy, possono anche essere operate in totale libertà di forme. In questo senso, la politica delle misure di sicurezza potrebbe essere implementata anche con circolari aziendali, diffusione della security policy all’interno dell’intranet o in luoghi pubblici come le bacheche scolastiche.

Risulta, infatti, necessaria l’indicazione sia delle misure di sicurezza sia che venga fornita la necessaria formazione: le sole designazioni (formali) non sono sufficienti perchè un soggetto autorizzato possa operare correttamente. Tali nomine, inoltre, dovranno essere declinate secondo le effettive attività svolte da ciascun autorizzato e non per “categorie di personale”. L’analisi delle attività unitamente ad un’adeguata formazione risulta, ancora una volta, l’unico strumento per raggiungere la piena compliance.

Se, da un lato, si è beneficiato fino a ora del cosiddetto periodo di tolleranza (previsto dall’art. 22 comma 13 del dlgs 101 del 2018), questo termine di grazia spirerà il 20 maggio.

Già ora l’Autorità Garante sta iniziando ad applicare le sanzioni senza più tener conto della “fase di prima applicazione”.

Lo spirare del termine di grazia dovrebbe essere preso seriamente dagli istituti scolastici che, per le ragioni sopra esposte, sono tenuti a realizzare buona parte degli adempimenti previsti dal GDPR e a impostare robuste prassi di rispetto della norma per assicurare adeguati livelli di tutela.

È facile immaginare come la mancata realizzazione di quanto richiesto dalla norma, oltre che rappresentare una perdita di un’opportunità, esponga l’ente al rischio di significative sanzioni amministrative, il cui rischio è ancora maggiore se vi è un rischio per i diritti e le libertà delle persone interessate al trattamento che, nel caso specifico, sono spesso soggetti vulnerabili.

“Proteggiamo i dati, sono la nostra vita”

“Proteggiamo i dati, sono la nostra vita”
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Cristina Cossu, “L’Unione Sarda”, 6 giugno 2018)

La sfida è semplice e complessa: la protezione dei dati deve essere universalmente riconosciuta come un diritto fondamentale dell’uomo. “Oggi abbiamo fatto un importante passo avanti: c’è una disciplina europea che stabilisce interventi preventivi, da responsabilità a enti, amministrazioni pubbliche e imprese, prevede sanzioni pesantissime per chi trasgredisce. Cambridge Analytica è solo la punta di un iceberg: dobbiamo mettere insieme uno schieramento globale per far sì che quello che è successo non capiti più”. Antonello Soro, presidente dell’Autorità garante della privacy, ha scritto un nuovo saggio – Persone in rete (Fazi editore, 168 pagine) in collaborazione con l’avvocata Federica Resta – dedicato a Stefano Rodata, “un grande maestro”, presentato ieri a Roma. Dice Luciano Violante nella prefazione: “Questo è un libro sulla libertà. Non si limita alla denuncia dei rischi connessi all’abuso della Rete, ma traccia le linee di una civiltà della Rete, per ridurne i rischi e moltiplicarne i vantaggi”.

Qual è l’idea di fondo?

“E quella di promuovere la consapevolezza dei nuovi confini della libertà in questo tempo segnato dalle innovazioni tecnologiche e da una nuova geografia dei poteri. Il libro ha l’ambizione di rimettere al centro la persona e la sua dignità in un contesto segnato dalla velocissima rivoluzione digitale, che ha visto una discreta “incoscienza” dei decisori politici planetari”.

Viviamo in una società dominata dal “Grande fratello”.

“In un tempo rapidissimo si è costituito un nuovo equilibrio nei rapporti di forza a livello globale, con una concentrazione di poteri in capo a poche società che non ha precedenti nella storia dell’umanità. Poche aziende nel mondo hanno acquisito tutti i potenziali competitori creando un regime di oligopolio e fondando l’economia dei dati”.

Cos’è l’economia dei dati?

“Si dice che i dati sono il nuovo petrolio. Il dato, il protagonista della società digitale, è quell’elemento che viene raccolto da ogni parte del pianeta e che viene concentrato in grandi calcolatori di poche imprese. Qui viene elaborato e si formano i profili di utenti ai quali indirizzare pubblicità mirata, e non solo per fini commerciali, e su questi grandi volumi di dati oggi si fonda la ricchezza”.

In che senso?

“Innanzitutto perché i gestori di queste piattaforme sono gli intermediari sempre più esclusivi fra i produttori e consumatori. Poi perché sono i protagonisti della ricerca. E la ricerca, in ogni ambito del sapere, dalla genomica alla finanza, dal clima all’agricoltura, si basa sull’utilizzo dei “big data”. In sintesi: il dato è la proiezione della nostra vita nella società digitale, una dimensione non virtuale ma del tutto reale. Le tante tessere del mosaico della nostra personalità vengono ricomposte in quei calcolatori”.

Insomma, queste società hanno un potere immenso.

“Certo, perché hanno la possibilità non solo di primeggiare negli scambi commerciali e nella ricerca scientifica, ma anche di orientare i comportamenti politici”.

E c’è un modo per difendersi?

“Noi dobbiamo essere cittadini responsabili e interessati a ciò che rappresenta la nostra persona. Dal bullismo all’hate speech, dalle fake news alle intercettazioni, dal controllo a distanza del lavoratore alla sanità: è vastissimo il campo di questioni per cui la dimensione digitale diventa sempre più quella esclusiva. E ce ne dobbiamo far carico tutti, decisori politici e utenti, dobbiamo diventare responsabili e impegnarci a proteggere questi dati”.

Intanto è arrivato il Regolamento europea per la protezione dei dati.

“Le norme sono diventate applicabili una settimana fa, l’Europa, davanti agli altri, ha messo in piedi un sistema di discipline che affronta il tema della protezione dei dati rovesciando il rapporto abituale che voleva interventi a posteriori e non preventivi. Questo ribaltamento di ruoli impone ad amministrazioni pubbliche e imprese di non rendere vulnerabile il patrimonio dei dati in loro possesso”.

Hanno interesse a farlo?

“E evidente che un’impresa che non protegge le sue informazioni è destinata a perdere competitivita, perché diventa attaccabile da parte dei suoi competitori, prima di tutto. E una pubblica amministrazione che non tutela i dati dei suoi cittadini, non solo si delegittima, ma allarga il rischio informatico. La cyber security è una delle questioni centrali: è nella dimensione digitale che si sviluppano i conflitti e le guerre”.

Sullo scandalo Cambridge Analytica – la società inglese accusata di avere usato illegalmente le informazioni di cinquanta milioni di americani utenti di Facebook nell’elezione di Trump, confermando che un uso distorto dei dati può danneggiare la stessa democrazia – cosa state facendo?

“Abbiamo aperto un’istruttoria insieme alle altre autorità europee, perché quanto di più velleitario possa esistere oggi è la pretesa di affrontare un’impresa che ha una dimensione planetaria con le risorse dei singoli Stati. Stiamo facendo accertamenti, insieme e separatamente, anche io ho incontrato i responsabili di Facebook. E c’è da registrare che non solo hanno riconosciuto i propri errori e le proprie reticenze, ma hanno avviato un processo di revisione totale della propria organizzazione”.

In un certo qual modo dobbiamo “ringraziare” Cambridge Analytica. È esploso un caso.

“Senza Cambridge Analytica l’attenzione dei cittadini del mondo sarebbe stato un po’ più lenta. Questo caso ha creato allarme, perché 2 miliardi e 200 milioni di persone si sono chieste ma per caso anch’io sono stato usato?. La risposta è sì, tutti siamo stati usati, si tratta di vedere con quali finalità e in quali occasioni”.

Bé, non sarà certo l’unica società che fa queste cose.

“No, sicuramente no, questa è soltanto la punta dell’iceberg. È ovvio che quando tu sviluppi la profilazione generalizzata di tutte le persone che si connettono alla Rete, questi profili, anche se raccolti con l’obiettivo di orientare i consumi, non possono non arrivare all’incrocio con la politica e quindi essere usati anche per indirizzare i comportamenti elettorali, non necessariamente da parte di Facebook ma da parte delle infinite applicazioni dei gestori che operano con i social”.

Dunque, come riuscirete a fare in modo che non si ripetano simili distorsioni?

“Ci conforta l’idea che il Regolamento europeo è diventato il modello al quale si stanno ispirando molti Paesi, Giappone, Argentina, Canada, Australia. E anche il Congresso degli Stati Uniti sta esaminando un disegno di legge che somiglia molto alla normativa europea. Cerchiamo di mettere al centro una nuova cultura della protezione dei dati personali. Oggi abbiamo una disciplina forte, che prevede sanzioni pesantissime per chi non la rispetta. Poi è chiaro che parallelamente serve un impegno educativo, una convergenza, uno schieramento globale di enti, istituzioni e persone che riconosca che la sfida che ci attende è il riconoscimento della protezione dei dati come un diritto fondamentale dell’uomo”.

didup

ARGO DIDUP

il docente ha un planning settimanale di tutte le sue ore di lezione.

Firma rapidamente la lezione, o le lezioni contemporanee su più classi, tramite l’apposita icona di modifica oppure accede ad un’ora di lezione vuota e inserisce la propria firma o sostituzione su qualsiasi classe della scuola.

SCOPRI IL REGISTRO DIDUP>