Skip to content

FAQ PRONOTE / GDPR e protezione dei dati

  • GDPR e protezione dei dati
  • Quali dati personali sono conservati in PRONOTE?
  • I dati personali conservati nella base dati di PRONOTE dell’istituto devono corrispondere a quelli di cui l’istituto stesso è destinatario come da indicazioni del MIUR relativo al trattamento automatizzato dei dati riguardanti la gestione amministrativa e didattica degli allievi delle scuole.
  • Chi è il responsabile dei dati conservati in PRONOTE?
  • È il Dirigente Scolastico il responsabile del trattamento dei dati conservati nella base dati PRONOTE dell’istituto.
  • Da dove provengono i dati conservati in PRONOTE?
  • I dati conservati nella base dati PRONOTE dell’istituto provengono dal MIUR o da inserimenti manuali effettuati nel corso dell’anno dai docenti e dal personale amministrativo dell’istituto. In funzione dell’istituto, i dati possono ugualmente provenire da organismi terzi come quelli che gestiscono la mensa scolastica, ecc.
  • Dove sono conservati i dati inseriti in PRONOTE?
  • La base dati PRONOTE si colloca su un server situato in un datacenter a Marsiglia e di proprietà di Index Education S.A. France. Questo datacenter è caratterizzato da condizioni di sicurezza di terzo livello (TIER 3) e ogni istituto dispone di un ambiente dedicato e compartimentato.
  • Chi può accedere ai dati conservati dentro PRONOTE?
  • È il Dirigente scolastico che definisce chi può accedere ai dati.

    Ogni utilizzatore di PRONOTE (docente personale amministrativo, genitore, allievo, tutor di stage, ecc.) dispone di un’area, che rispetta i massimi livelli di sicurezza, al quale può accedere con un ID e una password. I dati che può vedere o modificare dipendono dal suo profilo definito dal Dirigente scolastico.

    Comunque, il Dirigente scolastico può esportare i dati conservati in PRONOTE:
    - verso la piattaforma SIDI del MIUR,
    - verso la piattaforma INVALSI.


    Risiedendo i dati nel datacenter di Index Education S.A. France di Marsiglia, alcune operazioni di manutenzione e di controllo possono essere effettuate su richiesta del Dirigente scolastico. Queste operazioni sono effettuate da personale identificato, il cui operato è documentato in un registro.
  • Chi può accedere ai dati conservati dentro PRONOTE?
  • È il Direttore che definisce chi può accedere ai dati.

    Ogni utente di PRONOTE (docente, personale amministrativo, genitore, alunno, tutor di stage, ecc.) dispone di un’area, che rispetta i massimi livelli di sicurezza, al quale può accedere con un ID e una password. I dati che può vedere o modificare dipendono dal suo profilo definito dal Direttore.

    Comunque, il Direttore può esportare i dati conservati in PRONOTE utilizzando le esportazioni previste dal software in vari formati.

    Risiedendo i dati nel datacenter di Index Education S.A. France di Marsiglia, alcune operazioni di manutenzione e di controllo possono essere effettuate su richiesta del Direttore. Queste operazioni sono effettuate da personale identificato, il cui operato è documentato in un registro.
  • Perché l’applicazione richiede l’accesso ai dati identificativi, alla posizione, ai documenti e alla telecamera?
  • Identità: perché l’utilizzatore possa inviare una richiesta di assistenza tramite e-mail (identità non conservata).

    Posizione: perché l’utilizzatore possa accedere all’elenco degli istituti vicini, se sceglie la geolocalizzazione nel corso della configurazione del proprio profilo (posizione non conservata).

    Foto/ multimedia/ documenti: per tenere un giornale delle operazione effettuate (usato in caso di richiesta di assistenza e conservato localmente).

    Telecamera: perché l’utilizzatore possa inquadrare il QR code della sua Area web sul suo computer se sceglie questa opzione nel corso della configurazione del proprio profilo (immagini non conservate).
  • GDPR: quali sono i nuovi obblighi di ciascuno?
  • Gli obblighi del Dirigente Scolastico

    Il regolamento generale sulla protezione dei dati (GDPR) prescrive che “tutto il trattamento dei dati a carattere personale dovrà essere lecito e legale”. Il responsabile del trattamento dei dati deve informare le persone coinvolte “dei rischi, regole, garanzie e diritti legati al trattamento” e “garantire una sicurezza e una riservatezza adeguati”.

    Per questo il Dirigente Scolastico deve tenere un registro dove sono registrate le caratteristiche lecite del trattamento dei dati e le misure prese per garantire la sicurezza dei dati trattati.

    In particolare dovrà garantire:

    • la sicurezza fisica del server dove il trattamento è effettuato;
    • la protezione dei dati che dovranno essere accessibili solo alle persone abilitate;
    • la sicurezza dei sistemi di comunicazione informatici ed elettronici;
    • la capacità di ristabilire la disponibilità del server in tempi adeguati in caso d’incidente.

    Gli obblighi degli editori di software

    Il regolamento generale sulla protezione dei dati (GDPR) indica che i software devono essere sviluppati integrando, sin dalla loro ideazione, le nozioni di sicurezza e di protezione dei dati personali.

    A tale riguardo, la Index Education S.A. di Marsiglia rientrava già pienamente in questa prospettiva. Tutti i software prodotti dalla Index Education S.A. sono stati concepiti con l’obiettivo permanente di proteggere i dati, infatti:

    • I dati personali sono crittografati,
    • Le basi dati sono annuali, questo permette di fatto di limitare la durata di conservazione dei dati,
    • Tutti accedono unicamente ai dati ai quali il Dirigente scolastico ha consentito l’accesso,
    • Il livello di sicurezza delle password è quello raccomandato dal Garante per la protezione dei dati personali,
    • Salvataggi e degli archivi quotidiani garantiscono la conservazione dei dati,
    • I servizi internet sono messi in sicurezza tramite il protocollo TLS.


    In rapporto al servizio Cloud proposto dalla Index Education S.A. di Marsiglia:

    o Il datacenter è in Francia e soddisfa le condizioni di disponibilità di terzo livello (TIER 3).
    o Ogni istituto ha un server dedicato, unica garanzia di una perfetta impermeabilità tra le basi degli istituti.

  • Quali sono le misure messe in atto dalla Index Education nel quadro del GDPR?
  • Nel quadro del nuovo regolamento europeo sulla protezione dei dati, Index Education vigilerà sull’evoluzione delle leggi per aiutare i Dirigenti scolastici a comprendere, rispettare e far rispettare gli obblighi relativi alla protezione dei dati personali.

    Dall’altra parte, già dall’inizio del 2018, i nostri software si evolvono per integrare tutte le raccomandazioni delle agenzie nazionali relative alla sicurezza degli account informatici e della gestione delle password.

    Nell’ambito del servizio di assistenza, Index Education rinforza fin d’ora i controlli sugli accessi e la tracciabilità delle azioni effettuate. Le procedure evolvono perché tutti siano incoraggiati ad adottare delle prassi corrette.

  • L’istituto deve fare una dichiarazione al Garante per la protezione dei dati personali?
  • A partire dall’entrata in vigore del regolamento europeo sulla protezione dei dati il 25 maggio 2018, i trattamenti dei dati non devono essere dichiarati ma devono essere giustificati, proporzionati e compatibili con i diritti fondamentali. Essi dovranno essere indicati dentro un registro documentante le caratteristiche di liceità e le misure prese per garantire la sicurezza dei dati trattati.
  • Quali politiche sulla password è necessario adottare?
  • La più vicina possibile a quella indicata dal Garante per la protezione di dati personali. Al fine di garantire ogni giorno più sicurezza, Index Education segue l’evoluzione delle raccomandazioni del Garante in materia di generazione delle password. In questo modo le opzioni proposte e il loro valore predefinito evolvono regolarmente per permettervi di mantenere un livello di sicurezza sufficiente durante l’utilizzo dei nostri software.

    Password rafforzata per gli “Amministratori”

    Gli utilizzatori che detengono il ruolo di amministratori, come SPR, dovranno essere vigili nella scelta della loro password. A questo titolo, il Garante raccomanda una password di almeno 10 caratteri composte da maiuscole e minuscole, caratteri numerici e anche caratteri speciali.

    La migliore risorsa: la riservatezza

    Qualunque sia il livello di sicurezza della vostra password, è indispensabile conservarla segretamente, non divulgarla, non annotarla e tenerla al sicuro dagli sguardi indiscreti.

    Per approfondire

    Ecco qualche riferimento riguardante la sicurezza della password : http://www.camera.it/parlam/leggi/deleghe/03196dl3.htm