Piattaforme Interessate: Google Workspace e Microsoft 365
Le seguenti misure tecniche sono uno spunto da valutare con il DPO durante la stesura della DPIA.
Alcune delle misure tecniche del seguente elenco non sono possibili con Google Workspace e Microsoft 365 senza l’ausilio di software e servizi esterni.
L’applicazione delle misure tecniche è un percorso che la scuola deve affrontare per step e con i suoi tempi per dare modo ai docenti di capire cosa possono e non possono fare.
Consigliamo di seguire quest’ordine di applicazione e per ogni fase inviare una comunicazione con descrizione del perchè si sta applicando quella limitazione ed i tempi di attuazione della fase.
Ogni fase può durare anche alcune settimane per dare il tempo agli utenti di abituarsi alle modifiche gradualmente.
1. Attivazione di applicazioni alternative (es. Jitsi Meet, Excalidraw ecc)
2. Limitazione/Disattivazione della posta elettronica ed attivazione di un Relay (se previsto)
3. Disattivazione delle applicazioni non essenziali
4. Attivazione del DLP di Google\Microsoft
5. Applicazione delle misure di sicurezza minime alla connessione (VPN\Broweser)
6. Pseudonimizzazione con contestuale creazione delle Classroom\Teams
Nome utente e Pseudonimizzazione
Il nome utente all’interno della piattaforma è di tipo nome.Yxxx@dominioscuola.edu.it dove:
– Nome indica lo pseudonimo dello studente, docente o membro del personale.
– Y indica se studente, docente o membro del personale scolastico, rispettivamente con le tre lettere s, d, p.
– xxx Indicano i tre numeri di univocità dell’account. Sono unici per ogni Account.
Esempi:
Pseudonimizzazione totale: studente.596@dominioscuola.edu.it
Pseudonimizzazione parziale (sconsigliata, ma utilizzabile): mario.596@dominioscuola.edu.it
NB. Utilizzare solo parti del nome e del cognome o le iniziali di nome e cognome come ad esempio mr1d@dominioscuola.edu.it per Mario Rossi 1D non è pseudonimizzazione perchè la piattaforma effettua il riconoscimento con le credenziali precedenti utilizzando mr per trovare Mario Rossi e perchè chiunque può riconoscere l’utente dalla lista conoscendono il nome ed il cognome.
La pseudonimizzazione non deve permettere di riconoscere l’utente in maniera univoca. La pseudonimizzazione parziale non permette alla piattaforma di distinguere mario.596@ rispetto ad un mario.438@ e di abbinarli alle precedenti credenziali.
La pseudonimizzazione totale è sempre la tipologia consigliata anche da Google nella sua guida all’implementazione di Google Workspace for Education.
La pseudonimizzazione va effettuata ogni anno con Account sempre nuovi.
Tecniche di pseudonimizzazione e migliori pratiche del Garante della Privacy:
https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices_it/at_download/file
Come vengono calcolati i numeri di univocità?
Per calcolare i numeri di univocità si calcola l’hash SHA256 di un testo e poi si prendono i primi tre numeri dell’hash ottenuto.
Prova tu, scrivi qui in basso la stringa ed il sistema genererà le 3 cifre di univocità.
L’hash è una funzione che da un “testo” (in gergo una stringa) di lunghezza variabile genera un “testo” di lunghezza fissa strettamente legato al “testo” di partenza.
L’hash SHA256 è una funzione non invertibile, non è possibile cioè dal “testo” generato tornare al testo di partenza.
Per esempio, per calcolare i tre numeri di univocità partendo dalla sola data di nascita:
Data di nascita: 01/01/1990
Generiamo l’ hash SHA256: 0b2b38ba316ff6916f4ab28c464681ba7858f0bf7934f38bc1531e6f2b776786
Da questo hash risultante prendiamo solo le prime tre cifre numeriche.
Quindi il nostro studente Mario Rossi nato il 01/01/1990 diventa come utente: utente.s023@nomescuola.edu.it
Questo ci ha permesso di generare un utente in piattaforma partendo dai sui dati personali, ma di pseudonimizzarli per non renderli estrapolabili ed allo stesso tempo generare un codice di univocità per il nostro Account.
Per pseudonominizzare ed anonimizzare gli utenti nelle piattaforme; gli account devono essere eliminati ogni fine anno scolastico e rigenerate nuove credenziali ogni inizio anno utilizzando come dato di partenza per la generazione dei numeri di univocità data di nascita + anno scolastico.
Così la nostra stringa composta dalla data di nascita e l’anno scolastico: 01/01/1990-2022/2023
Diventa: 9db8fd25d0f75104967d9e4ad1e377cc09cbdfa64a2f8fb5433ed0137c752d7d
Questo genera come username utente.s982@nomescuola.edu.it solo per l’anno scolastico 2022/2023, ma l’anno successivo 2023/2024 la stringa di partenza cambierà e verranno generate nuove credenziali diverse dalle precedenti, ma sempre ricalcolabili conoscendo i dati di partenza e l’anno scolastico in corso per evitare omonimie e creazioni multiple.
- Nella generazione degli studenti viene utilizzata la stringa:
data di nascita + anno scolastico (01/01/1990-2022/2023) - Nella generazione dei docenti viene utilizzata la stringa:
data di nascita (01/01/1990)
In questo modo gli studenti avranno ogni anno Account sempre diversi, mentre i docenti potranno (a loro discrezione consapevoli dei rischi) continuare a mantenere il proprio Account.
Invio credenziali di primo accesso
Le credenziali di primo accesso devono essere univoche per ogni Account con password generate casualmente, formate da almeno 10 caratteri alfanumerici, esclusi caratteri ambigui. Al primo accesso è obbligatorio il cambio di password.
In piattaforma non devono essere lasciate altre tracce di altri dati riferiti agli utenti, non devono essere inseriti nomi, cognomi, mail ed i cellulari
Gli invii delle credenziali se effettuati via mail in maniera massiva, o un semplice reset inviando la mail, non devono essere effettuati tramite Google Workspace, ma da un server di posta esterno europeo, così da non lasciare dati su Server Google/Microsoft degli invii e quindi degli indirizzi personali.
Tipologie di Account
Gli Account vengono separati in:
– Account Infanzia dove l’utilizzatore sarà il genitore.
– Account studenti inferiori ai 14 anni
– Account studenti superiori ai 14 anni
– Account docenti
– Account personale scolastico
– Account utenti temporanei
– Account di servizio
Operazioni di inizio/fine anno scolastico
La creazione/eliminazione degli Account degli studenti è effettuata ogni anno, la piattaforma viene quindi resettata ogni anno scolastico dando ogni anno agli studenti Account sempre diversi.
Ogni INIZIO anno scolastico
Vengono create le credenziali per tutti gli studenti ed i nuovi docenti.
Vengono creati i gruppi sulla piattaforma.
Vengono create le Classroom / i Teams dal team della scuola, NON dai singoli docenti.
I docenti vengono creati utilizzando come codice di univocità la sola data di nascita (solamente se i docenti sono consapevoli dei rischi e vogliono mantenere sempre lo stesso account)
Gli studenti vengono creati utilizzando come codice di univocità data di nascita + anno scolastico.
Vengono inviate le mail con le credenziali di primo accesso alle mail dei genitori e degli insegnanti fornite dalla scuola.
Ogni FINE anno scolastico
Ad ogni fine anno scolastico gli studenti vengono avvisati tramite comunicazione ed avviso sul registro di salvare i propri dati dall’account.
Tutti gli Account degli studenti vengono sospesi ogni fine anno scolastico ed eliminati il 31 agosto.
Gli Account dei docenti che lasciano la scuola vengono sospesi alla fine del loro contratto ed eliminati 2 mesi dopo.
Gli Account dei docenti che restano a scuola non vengono toccati, ma i docenti vengono avvisati di archiviare le proprie Classroom / Teams ogni fine anno scolastico per poi creare le nuove l’anno scolastico successivo.
Servizi attivi
All’interno delle piattaforme Google Workspace e Microsoft 365 vengono attivati solo i servizi essenziali alla didattica.
| Infanzia | Inferiori 14 anni | Superiori 14 anni | Docenti | |
| Classroom* / Teams* | Attivo | Attivo | Attivo | Attivo |
| Drive* / OneDrive* | Attivo | Attivo | Attivo | Attivo |
Tutti gli altri servizi (Google Meet, Google Calendar, Google Gmail ecc.) sono disattivati.
L’attivazione dei servizi deve essere monitorata costantemente, così se si dovesse riscontrare qualche anomalia il Team Digitale potrà prontamente intervenire.
Qualora un docente volesse attivare un servizio aggiuntivo per la propria classe o gruppo di docenti la scuola procede a far compilare le idonee liberatorie per la creazione di Unità Organizzative ad Hoc per l’attivazione dei servizi ai soli utenti interessati firmatari di liberatoria.
*Google Classroom e Microsoft Teams devono essere impostati in modo che non si possano effettuare videochiamate.
*Google Drive e OneDrive non devono essere utilizzati per altri scopi se non per custodire il materiale che viene pubblicato su Classroom e Teams.
Microsoft Teams / Google Classroom
Vengono generate dal Team Digitale le classroom ed i Teams così da dare ad ogni docente le proprie classi senza dover invitare i propri studenti ed evitando a Google / Microsoft ulteriori tracciamenti per la creazione delle Classrooms / Teams.
Misure di sicurezza per la connessione
L’utilizzo delle applicazioni deve essere consentito esclusivamente tramite l’IP d’istituto o altro IP di fornitore VPN tramite quindi connessione in locale a scuola, VPN o browser fornito alle famiglie per l’accesso tramite VPN. Qualunque accesso senza rispettare queste misure minime rende inutile pseudonimizzazione.
La navigazione in modalità incognito non limita i dati tracciabili da Google e Microsoft. Va invece utilizzato un browser configurato ad hoc per limitare il tracciamento e forzare l’uso della VPN.
Utilizzo di Google Drive / OneDrive
Vi è fatto divieto di utilizzo di Google Drive / OneDrive per materiale che non sia prettamente didattico. E’ vietato il caricamento di documenti personali o contenente dati personali dei ragazzi. Ogni caricamento su Google Drive / OneDrive viene monitorato ed all’occorrenza eliminato ed allertato il DPO dell’istituto.
E’ vietato l’utilizzo di Moduli, Documenti, Fogli e Presentazioni per chiedere informazioni personali, adesioni agli scioperi e qualunque altra attività che può tracciare gli utenti.
Viene attivato su Google Workspace il DLP per Google Drive così da limitare l’utilizzo e la fuga di dati personali.
Server videoconferenze europeo
Per permettere la comunicazione tra Account e la creazione di video riunioni la scuola deve fornire l’accesso ad un server di videoconferenze europeo (ad esempio un istanza Jitsi Meet con sede in Europa)
Jitsi Meet ad esempio permette di creare video riunioni in grado di ospitare tutto il corpo docenti con la possibilità di registrare la riunione.
Posta elettronica
La posta elettronica viene o disabilitata del tutto (scelta consigliata) o lasciata aperta solo per le comunicazioni interne urgenti senza poter inviare o ricevere mail dall’esterno del dominio.
L’utilizzo della posta elettronica anche se lasciata aperto verso l’interno del dominio è sconsigliata per la mole d’informazioni personali che potrebbe circolare. Si consiglia sempre di utilizzare il registro elettronico per le comunicazioni.
Relay di posta
Per permettere a docenti e studenti (con più di 14 anni ove concesso) di ricevere le mail proprio ex indirizzo di posta @nomescuola.edu.it (perchè registrati ad un portale o a dei siti in cui non si può cambiare la mail) si può utilizzare server di Relay di posta su server all’interno dello Spazio Economico Europeo.
Viene generato un alias di posta nomescelto@nomescuola.edu.it che inoltrerà in automatico la posta all’indirizzo di posta personale del docente/studente.
La creazione degli alias non è automatica, sarà il docente/studente (con più di 14 anni ove concesso) a dover richiedere un alias di posta.
Il Server di Relay elimina i dati transitati dopo 72 ore senza possibilità di recupero.
Recupero Credenziali
Il recupero delle credenziali potrebbe essere un operazione rischiosa, quindi il recupero delle credenziali può essere richiesto o direttamente a scuola, oppure se devono essere chiesti i documenti dei ragazzi devono essere usati server di posta europei con l’eliminazione dei documenti non appena si effettua il reset e di conseguenza mettere in piedi misure di sicurezza aggiuntive per proteggere la casella di posta.
Dati rilasciati dalla scuola a Google e Microsoft in fase d’inserimento di studenti e docenti
I dati che vengono dati dalla scuola a Google e Microsoft sono:
– nome utente pseudonimizzato
– password di primo accesso
– Appartenenza alla Classroom/Teams
Qualunque altro dato potrebbe essere dato previo consenso esplicito degli interessati, come ad esempio mail e cellulari dei membri del Team Digitale per l’attivazione del 2FA come amministratori di Account.
NB. Anche se i nomi utenti sono pseudonimizzati, l’utilizzo non conforme della piattaforma alle linee guide stilate dalla scuola permetterebbe ai fornitori di servizi Google e Microsoft comunque di risalire ad altri dati che vanno ben oltre il nome ed il cognome dell’utente.
Dati rilasciati ad un eventuale fornitore di servizi per la gestione e la creazione degli utenti
Docenti e membri del personale:
– Nome
– Cognome
– Data di nascita
– Classi
– Indirizzo E-Mail @posta.istruzione.it per ricevere le credenziali o altre comunicazioni ed attivare eventualmente il Relay di posta per l’indirizzo che verrà dismesso.
Le date di nascita dei docenti e del personale devono essere eliminati dai server dei fornitori nell’arco di 72 ore dopo l’elaborazione degli Account.
Gli altri dati devono essere eliminati dai sistemi del fornitore entro le 72 ore dopo l’eliminazione dell’account dalla piattaforma Google/Microsoft, oppure entro i 5 giorni lavorativi in caso di recesso/mancato rinnovo del contratto di supporto.
Studenti:
– Nome
– Cognome
– Data di nascita
– Classi
– Indirizzi E-Mail dei genitori (solo se si decide di inviare le credenziali di primo accesso via mail)
I dati degli studenti non appena elaborati in piattaforma devono essere eliminati dai sistemi del fornitore nell’arco delle 72 ore.
Membri del Team Digitale, dirigenza scolastica ed altre figure importanti:
– Nome
– Cognome
– Data di nascita
– Indirizzo E-Mail personale e @posta.istruzione.it
– Numero di Cellulare
I dati delle figure importanti all’interno della scuola devono essere salvati sistemi del fornitore situati in Europa crittografati di default con log di accesso ai dati per sapere sempre chi, quando e perchè ha avuto accesso al dato.
Questi dati vengono utilizzati esclusivamente in caso di autenticazione degli utenti considerati “sensibili” e per contattarli telefonicamente qualora altre forme (chat, e-mail ecc.) non funzionino e la comunicazione ha carattere di estrema urgenza.
I dati vengono eliminati 72 ore dopo l’eliminazione dell’account, oppure entro i 5 giorni lavorativi in caso di recesso/mancato rinnovo del contratto di supporto.