Settanta due ore. Questo è il tempo massimo che ha un dirigente scolastico dal momento in cui scopre una violazione di dati personali per avvertire il Garante Privacy. Settanta due ore che potrebbero fare la differenza tra una sanzione di 10 milioni di euro e una semplice registrazione nel registro delle violazioni. Un singolo errore procedimentale potrebbe trasformare un incidente gestibile in un disastro legale con conseguenze personali devastanti.
Benvenuti nel mondo complesso e altamente regolamentato della gestione dei data breach nelle istituzioni scolastiche italiane.
Quali sono i rischi del Data Breach nelle Scuole Italiane
Ogni giorno, le scuole italiane gestiscono migliaia di dati sensibili: registri elettronici con i voti degli studenti, piani educativi individualizzati contenenti diagnosi mediche, indirizzi email di genitori e insegnanti, informazioni sanitarie di minori. Questi dati rappresentano un valore incredibile per eventuali malintenzionati, ma anche una responsabilità legale enorme per chi li custodisce.
Il dato che dovrebbe preoccupare ogni dirigente scolastico è questo: secondo la giurisprudenza amministrativa italiana, la responsabilità personale del dirigente non conosce scappatoie. Come dimostrato dalla sentenza della Corte dei Conti del 28 maggio 2019, un dirigente è stato condannato personalmente a rifondere 7.500 euro alla propria scuola per aver permesso la pubblicazione sul sito web di una circolare contenente dati sanitari di alunni con disabilità. La sanzione della scuola dal Garante? 20.000 euro. Il danno reputazionale? Incalcolabile.
Questo non è un articolo per intimorire. È una guida pratica per comprendere come trasformare il caos in procedura strutturata, la confusione normativa in azioni concrete, e come proteggere effettivamente i diritti dei ragazzi che passeranno per i corridoi della vostra scuola.
Come funziona un Data Breach: Definizione GDPR e obblighi legali
Cos’è veramente un data breach nel contesto scolastico
Secondo l’articolo 4, comma 12 del Regolamento UE 2016/679 (GDPR), un data breach è definito come “una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Nella pratica scolastica, le violazioni si manifestano in tre categorie distinte:
Violazioni della riservatezza (accesso non autorizzato)
Un esempio concreto: uno studente accede abusivamente al registro elettronico di un insegnante e modifica i propri voti. Oppure: la segreteria invia una comunicazione a 150 genitori inserendo tutti gli indirizzi email nel campo “CC” anziché “CCN”, rendendo visibili i contatti di tutti i genitori della scuola. Questo può sembrare una distrazione, ma il Garante considera l’email un dato personale che rivela informazioni sensibili, soprattutto se nel formato [email protected], dove diventa evidente il luogo di lavoro della persona.
Violazioni dell’integrità (modifica non autorizzata)
La più insidiosa: l’alterazione di dati anagrafici o valutazioni nel registro elettronico senza autorizzazione. Non si tratta di una semplice violazione della riservatezza, ma di una modifica che compromette l’affidabilità dei dati stessi. È in questa categoria che rientra anche la pubblicazione sul sito web della scuola di documenti come Piani Educativi Individualizzati (PEI) contenenti diagnosi mediche, certificazioni DSA o dati di carattere personale sensibile.
Violazioni della disponibilità (perdita o distruzione)
Gli attacchi ransomware che criptano i server scolastici, la perdita o il furto di dispositivi (notebook, chiavette USB, tablet) contenenti dati personali, la cancellazione accidentale di archivi digitali senza backup adeguati, la distruzione di documenti cartacei per incendio o allagamento. Questi eventi compromettono la disponibilità dei dati e la capacità della scuola di svolgere le proprie funzioni.
La struttura temporale che non ammette deroghe
Il GDPR non è ambiguo su questo punto. Il dirigente scolastico, in quanto titolare del trattamento dei dati, ha obblighi stringenti con tempistiche fisse:
Articolo 33 GDPR: Notifica al Garante
Entro 72 ore dalla venuta a conoscenza della violazione, “senza ingiustificato ritardo”, il dirigente deve notificare il Garante Privacy attraverso la procedura telematica su https://servizi.gpdp.it/databreach/s/, inviando la notifica firmata digitalmente via PEC a [email protected].
Ma qui c’è un aspetto cruciale che molti dirigenti fraintendono: le 72 ore decorrono dalla venuta a conoscenza della violazione, non dalla scoperta tecnica. Se uno studente accede a un registro il lunedì ma la scuola lo scopre solo il mercoledì, il conteggio inizia dal mercoledì. Questo vuol dire che ogni minuto passato prima di una segnalazione interna è minuto perso.
La notifica deve contenere: la natura della violazione (categorie e numero approssimativo di interessati coinvolti), nome e contatti del DPO (Data Protection Officer) o altro punto di contatto, probabili conseguenze della violazione, misure adottate o proposte per rimediare e mitigare gli effetti negativi.
Se non è possibile rispettare le 72 ore, la notifica va comunque inviata accompagnata da una motivazione documentata del ritardo. Non è scusante, è responsabilità.
Articolo 34 GDPR: Comunicazione agli interessati
A differenza della notifica al Garante, la comunicazione agli interessati non ha una scadenza fissa, ma deve avvenire “senza indebito ritardo”. Tuttavia, questa comunicazione è obbligatoria solo se la violazione comporta un rischio elevato per i diritti e le libertà delle persone. C’è un’eccezione importante: se sono state già adottate misure tecniche che rendono i dati incomprensibili (come la crittografia), o se la comunicazione richiederebbe sforzi sproporzionati, si può ricorrere a una comunicazione pubblica attraverso il sito web della scuola.
Articolo 33, comma 5 GDPR: Registrazione nel registro delle violazioni
Questo è l’aspetto più sottovalutato e più controllato. Tutte le violazioni, indipendentemente dalla notifica al Garante, devono essere documentate nel Registro delle Violazioni (Data Breach Register). Questo registro non è opzionale: rappresenta uno dei primi documenti che il Garante richiede durante le ispezioni. Deve contenere la data e l’ora della violazione, la data e l’ora della scoperta, una descrizione dettagliata dell’evento, le categorie e il numero di interessati coinvolti, le categorie di dati coinvolti, le cause della violazione, le conseguenze accertate o potenziali, le misure di contenimento adottate, la notifica al Garante (sì/no, con data e protocollo se inviata), la comunicazione agli interessati (sì/no, con data e modalità), le misure preventive implementate per evitare che si ripeta.
Procedura step-by-step per gestire un data breach a scuola (6 fasi)
Fase 1: Rilevazione e segnalazione immediata
Chiunque all’interno della scuola (docente, personale ATA, collaboratore esterno) rilevi una possibile violazione di dati personali deve immediatamente informare il dirigente scolastico, oppure, in sua assenza, il Responsabile della Protezione dei Dati (DPO/RPD), o il referente tecnico/Animatore digitale nel caso di violazioni informatiche.
Un errore comune da evitare: aspettare di avere certezze assolute prima di segnalare. Anche un semplice sospetto va comunicato immediatamente per consentire le verifiche tecniche. La tempestività è cruciale: ogni minuto perso riduce le possibilità di contenere il danno e rispettare la scadenza delle 72 ore.
Fase 2: Valutazione preliminare e contenimento
Il dirigente scolastico, insieme al DPO e al referente tecnico, deve effettuare una valutazione immediata dell’evento raccogliendo informazioni essenziali:
- Si tratta effettivamente di un data breach? (verifica tecnica)
- Data e ora della scoperta della violazione
- Natura della violazione (riservatezza/integrità/disponibilità)
- Tipologia di dati coinvolti (dati comuni, dati particolari ex articolo 9 GDPR come dati sanitari, giudiziari)
- Numero approssimativo di interessati coinvolti (studenti, genitori, docenti, personale ATA)
- Cause della violazione (attacco informatico, errore umano, furto fisico, ecc.)
Contemporaneamente, vanno adottate misure di contenimento immediate: isolamento dei sistemi compromessi per prevenire ulteriori diffusioni, modifica delle credenziali di accesso compromesse, sospensione temporanea di servizi online vulnerabili, recupero di documenti cartacei sottratti (se possibile), attivazione di backup per ripristino dati.
Fase 3: Valutazione del rischio
Il dirigente scolastico deve ora valutare il livello di rischio per determinare se è necessario notificare il Garante e/o comunicare agli interessati. I criteri di valutazione includono il tipo di dati coinvolti (i dati particolari comportano rischi maggiori rispetto a dati comuni), la facilità di identificazione (dati con nome e cognome rappresentano rischio maggiore di dati pseudonimizzati), il numero di interessati, le caratteristiche degli interessati (i minori sono soggetti vulnerabili che richiedono tutela rafforzata), le possibili conseguenze (furto d’identità, discriminazione, danno economico, danno reputazionale, disagio psicologico), le misure di sicurezza preesistenti (dati criptati comportano rischio inferiore).
Una matrice decisionale chiara aiuta in questo momento:
Livello di rischio Basso/Improbabile: Dati comuni, numero limitato, misure di sicurezza efficaci. Obbligo: Solo registrazione nel registro violazioni.
Livello di rischio Medio: Dati personali comuni ma numero elevato, o dati particolari con misure mitigative. Obbligo: Notifica al Garante entro 72 ore + registrazione.
Livello di rischio Alto/Elevato: Dati particolari (salute, giudiziari), numero elevato, assenza di protezioni. Obbligo: Notifica al Garante + comunicazione agli interessati + registrazione.
Fase 4: Notifica al garante privacy
Se la valutazione del rischio indica la necessità di notificare, il dirigente scolastico deve procedere entro 72 ore dalla venuta a conoscenza della violazione. La procedura tecnica è precisa:
- Accedere al portale https://servizi.gpdp.it/databreach/s/
- Compilare il modulo fornito dal Garante con tutti i dati richiesti
- Firmare digitalmente la relazione
- Inviare la notifica via PEC istituzionale a: [email protected]
- Oggetto email: “notifica data breach”
La notifica deve contenere una descrizione dettagliata dell’evento, data e ora di scoperta, categorie di dati coinvolti, stima del numero di interessati, contatti del DPO, probabili conseguenze, misure di contenimento adottate, misure preventive future.
Fase 5: Comunicazione agli interessati
Se la violazione comporta un rischio elevato, il dirigente deve comunicare l’accaduto a tutti gli interessati (studenti, genitori, docenti) in linguaggio chiaro e accessibile, indicando nome e contatti del DPO o punto di contatto, probabili conseguenze della violazione, misure adottate dalla scuola per rimediare, raccomandazioni pratiche per gli interessati (es. modifica password, monitoraggio conti bancari, ecc.). I canali di comunicazione possono essere email personale (per genitori e docenti), lettera raccomandata (per violazioni gravi), comunicazione pubblica sul sito web della scuola (se il numero di interessati è troppo elevato).
Fase 6: Registrazione nel registro delle violazioni
Tutte le violazioni, indipendentemente dalla notifica al Garante, devono essere documentate. Il registro deve essere conservato in formato sicuro (cartaceo o digitale) e aggiornato costantemente, in quanto rappresenta uno degli elementi che il Garante verifica durante le ispezioni.
Quattro casi reali di data breach scolastici (sanzioni e prevenzione)
Caso 1: Email in copia conoscenza (CC) anziché copia nascosta (CCN)
Scenario reale: Una segreteria invia una comunicazione a 150 genitori inserendo tutti gli indirizzi email nel campo “CC” anziché “CCN”. Ogni genitore può vedere gli indirizzi email di tutti gli altri.
Valutazione: Dati coinvolti sono indirizzi email (dati personali), rischio medio (identificazione facile, ma nessun dato sensibile). Azione richiesta: notifica al Garante entro 72 ore + registrazione nel registro violazioni.
Errore comune da evitare: sottovalutare la gravità perché “è solo un indirizzo email”. Il Garante considera anche l’email un dato personale che può rivelare informazioni sensibili.
Caso 2: Pubblicazione PEI sul sito web della scuola
Scenario reale: Una scuola pubblica sul proprio sito web una circolare allegando per errore il Piano Educativo Individualizzato (PEI) di alcuni alunni con disabilità, contenente diagnosi mediche dettagliate.
Valutazione: Dati coinvolti sono dati sanitari (categoria particolare ex articolo 9 GDPR), rischio elevato (minori vulnerabili, stigma sociale, discriminazione). Azione richiesta: notifica al Garante + comunicazione agli interessati + registrazione.
Sanzioni reali: Nel 2015 il Garante ha sanzionato una scuola con 20.000 euro per questo tipo di violazione. Il dirigente è stato poi condannato dalla Corte dei Conti a rifondere personalmente 7.500 euro. Questo non è un’ipotesi: è accaduto.
Prevenzione: procedura di doppio controllo prima di ogni pubblicazione sul sito web, formazione del personale di segreteria sulla differenza tra dati comuni e dati particolari.
Caso 3: Attacco ransomware al server scolastico
Scenario reale: Un ransomware cripta tutti i dati del server scolastico, inclusi registri elettronici, fascicoli studenti, documentazione amministrativa. Gli hacker chiedono un riscatto.
Valutazione: Dati coinvolti sono tutti i dati della scuola (comuni e particolari), rischio elevato (disponibilità compromessa, possibile esfiltrazione dati). Azione richiesta: notifica immediata al Garante + comunicazione agli interessati + denuncia alla Polizia Postale + registrazione.
Errore comune: pagare il riscatto senza notificare le autorità. Il GDPR richiede comunque la notifica e la comunicazione, e pagare non garantisce il recupero dei dati né evita sanzioni.
Prevenzione: backup offline regolari, formazione anti-phishing (principale vettore di infezione), segmentazione della rete.
Caso 4: Studenti modificano voti nel registro elettronico
Scenario reale: Alcuni studenti ottengono le credenziali di accesso di un docente e modificano i voti nel registro elettronico.
Valutazione: Dati coinvolti sono valutazioni scolastiche e dati anagrafici, rischio medio-alto (integrità compromessa, falso in atto pubblico). Azione richiesta: notifica al Garante + denuncia penale + ripristino voti originali + registrazione.
Sanzioni: Il GDPR prevede sanzioni fino a 10 milioni di euro per insufficienti misure di sicurezza. Inoltre, la modifica dei voti configura reati penali (accesso abusivo a sistema informatico, falso in atto pubblico).
Prevenzione: autenticazione a due fattori, password robuste cambiate periodicamente, formazione docenti sulla custodia delle credenziali.
Responsabilità legali nel data breach: dirigente, personale e fornitori
Responsabilità del dirigente scolastico: 5 tipologie di sanzioni
Il dirigente scolastico, in qualità di titolare del trattamento dei dati, è il soggetto che risponde legalmente delle violazioni privacy. La responsabilità non è astratta: è personale e multiforme.
Responsabilità amministrativa (sanzioni GDPR)
Fino a 10 milioni di euro o 2 per cento del fatturato per omessa notifica data breach, mancata tenuta del registro violazioni, assenza di misure di sicurezza adeguate. Fino a 20 milioni di euro o 4 per cento del fatturato per trattamento illecito di dati, violazione dei diritti degli interessati, inosservanza di ordini del Garante.
Responsabilità civile (risarcimento danni)
Obbligo di risarcire il danno materiale e immateriale subito dagli interessati (furto d’identità, disagio psicologico, discriminazione). Responsabilità solidale con eventuali corresponsabili del trattamento.
Responsabilità contabile (danno erariale)
Come dimostrato dalla sentenza della Corte dei Conti del 28 maggio 2019, il dirigente scolastico può essere condannato personalmente a rifondere alla scuola le somme pagate per sanzioni dovute a sua negligenza.
Responsabilità penale
Possibile in caso di violazioni gravi della privacy che configurino reati previsti dal Codice Penale (es. accesso abusivo a sistema informatico, rivelazione di segreto d’ufficio). Le condanne possono comportare arresto, multa e sospensione dall’attività.
Responsabilità disciplinare
Possibili sanzioni disciplinari da parte dell’Ufficio Scolastico Regionale o del Ministero dell’Istruzione e del Merito.
Responsabilità del personale scolastico nel data breach
Anche docenti, personale ATA e collaboratori esterni possono essere chiamati a rispondere di violazioni. L’obbligo di segnalazione immediata è stringente: omettere la segnalazione di un data breach è una grave colpa che può comportare responsabilità disciplinari. Se la violazione è causata da comportamenti negligenti (es. condivisione di password, mancata custodia di documenti), il dipendente può essere soggetto a sanzioni disciplinari e, in casi gravi, penali.
Ruolo del DPO: consultivo, non decisionale
Il DPO ha un ruolo consultivo e di supervisione, non decisionale. Deve essere informato immediatamente di ogni sospetta violazione, supporta il dirigente nella valutazione del rischio e nella redazione delle notifiche, ma non è responsabile delle decisioni finali (che spettano al dirigente scolastico). Se il dirigente decide in modo difforme dal parere del DPO, deve documentare per iscritto le motivazioni.
Fornitori esterni: responsabilità e tempi di notifica
Se la violazione è causata da un fornitore esterno (es. gestore del registro elettronico, provider cloud, società di manutenzione informatica), questo deve informare immediatamente il dirigente scolastico, “senza ingiustificato ritardo”. Un errore comune: alcuni contratti prevedono termini di notifica di 24-48 ore, ma questo viola il GDPR. Il responsabile del trattamento deve notificare immediatamente, altrimenti preclude al titolare la possibilità di rispettare il termine delle 72 ore. La responsabilità è solidale tra titolare e responsabile: il Garante può sanzionare entrambi, che poi si rivaluteranno internamente in base alle rispettive colpe.
Protezione dal data breach: misure tecniche e organizzative
Prevenzione del data breach: 7 misure tecniche + 6 organizzative
La migliore gestione del data breach è la prevenzione. Il GDPR richiede al titolare di implementare misure tecniche e organizzative adeguate per minimizzare i rischi.
Misure tecniche essenziali
Crittografia dei dati: protegge le informazioni anche in caso di sottrazione fisica di dispositivi. Backup regolari e testati: essenziale per ripristino rapido dopo attacchi ransomware. Autenticazione a due fattori (2FA): previene accessi abusivi anche con password compromesse. Aggiornamenti costanti: patch di sicurezza su sistemi operativi, software, piattaforme web. Firewall e antivirus: protezione perimetrale e sui singoli dispositivi. Controlli di accesso: principio del “need to know” – ogni utente accede solo ai dati necessari. Monitoraggio continuo: sistemi di rilevamento anomalie e log delle attività.
Misure organizzative altrettanto cruciali
Formazione continua del personale: almeno annuale su rischi cyber, phishing, gestione password. Procedure documentate: regolamenti interni chiari su gestione dati e data breach. Nomina di figure chiave: DPO, referente privacy, amministratore di sistema. Valutazioni d’impatto (DPIA): per trattamenti ad alto rischio (es. videosorveglianza, piattaforme didattiche). Contratti con fornitori esterni: clausole precise su sicurezza, tempi di notifica, responsabilità. Piano di risposta agli incidenti (Incident Response Plan): predisposto in anticipo, con ruoli e procedure chiare. Test periodici: simulazioni di data breach per verificare l’efficacia delle procedure.
Checklist completa per dirigenti: prima, durante, dopo data breach
Prima del Data Breach (preparazione)
Nominare formalmente il DPO e comunicare i suoi contatti al Garante. Redigere e approvare la procedura interna di gestione data breach. Creare il Registro delle Violazioni (formato cartaceo o digitale). Formare tutto il personale sulle procedure di segnalazione. Implementare misure tecniche di sicurezza (backup, crittografia, 2FA). Verificare i contratti con fornitori esterni (responsabili del trattamento). Designare referenti tecnici per la gestione degli incidenti informatici. Testare le procedure con simulazioni.
Durante il Data Breach (gestione emergenza)
T+0 minuti: Ricevere segnalazione da personale o sistema di monitoraggio. T+15 minuti: Informare immediatamente DPO e referente tecnico. T+30 minuti: Avviare misure di contenimento (isolamento sistemi, cambio password). T+2 ore: Completare la valutazione preliminare (natura violazione, dati coinvolti, numero interessati). T+24 ore: Valutare il livello di rischio con DPO. T+48 ore: Decidere se notificare il Garante e/o comunicare agli interessati. T+72 ore (massimo): Inviare notifica al Garante se necessario. T+7 giorni: Comunicare agli interessati se rischio elevato. Sempre: Documentare ogni azione nel Registro delle Violazioni.
Dopo il Data Breach (follow-up)
Analizzare le cause profonde della violazione. Implementare misure correttive per prevenire recidive. Aggiornare la valutazione dei rischi. Formare il personale sugli errori commessi. Rivedere e aggiornare le procedure interne. Verificare l’efficacia delle misure adottate.
Come fare: Guida pratica alla notifica al Garante
Accedere al portale https://servizi.gpdp.it/databreach/s/ con firma digitale. Compilare il modulo inserendo: descrizione dettagliata dell’evento, data e ora di scoperta, categorie e numero approssimativo di interessati, categorie di dati coinvolti, natura della violazione (riservatezza, integrità, disponibilità), misure di contenimento adottate, misure preventive proposte, contatti del DPO. Firmare digitalmente il documento. Inviare via PEC istituzionale a [email protected] con oggetto “notifica data breach”. Conservare copia del protocollo di ricezione come prova di adempimento.
Come Fare: Guida alla comunicazione agli interessati
Preparare un testo in linguaggio chiaro e semplice (non tecnico). Includere: descrizione della violazione, nome e contatti del DPO, probabili conseguenze, misure adottate dalla scuola, raccomandazioni pratiche (cambio password, monitoraggio, ecc.). Scegliere il canale più idoneo (email per genitori e docenti, lettera raccomandata per violazioni gravi, comunicazione sul sito per molti interessati). Inviare entro un tempo ragionevole dalla valutazione del rischio.
Se notifico il Garante entro 72 ore, sono al riparo dalle sanzioni?
No. La notifica è un obbligo, non una scusante. Il Garante valuterà comunque l'adeguatezza delle misure di sicurezza preesistenti, la tempestività della risposta, e se la violazione avrebbe potuto essere prevenuta. La notifica è il primo passo, non il viatico finale.
Posso gestire il data breach internamente senza comunicare agli interessati se il rischio sembra basso?
Solo se la valutazione di rischio è documentata e corretta. Ma attenzione: il Garante potrebbe contestare la vostra valutazione. È sempre meglio sovraccomunicare che scoppiare in una comunicazione successiva. Se hai dubbi, consulta il DPO.
Qual è il costo della compliance GDPR rispetto al rischio di sanzioni?
Un investimento in formazione, procedure, backup e 2FA costa poche migliaia di euro all'anno. Una sanzione del Garante parte da 10 milioni di euro. La scelta è elementare.
Se il fornitore del registro elettronico commette una violazione, responsabile sono io?
Sì, sei titolare del trattamento. Ma puoi rivalutarti verso il fornitore nel contratto. Questo è perché i contratti con i responsabili del trattamento devono contenere clausole precise su responsabilità e tempi di notifica.
Posso ignorare un sospetto di violazione se non ho certezza al 100 per cento?
Assolutamente no. La segnalazione immediata è un obbligo. Se ci sono anche solo indicazioni di un possibile data breach, devi attivare il procedimento di verifica. Il ritardo nella segnalazione è negligenza.
Il Registro delle Violazioni rimane confidenziale?
No. Il Garante può richiederlo in qualunque momento durante un'ispezione. Non è uno strumento di difesa, ma di responsabilità: dimostra che conosci le violazioni che avvengono nel tuo istituto.
3 principi chiave per evitare sanzioni GDPR
Primo: La tempestività è tutto. Le 72 ore per notificare il Garante decorrono dalla venuta a conoscenza, non dalla scoperta tecnica della violazione. Ogni ritardo deve essere motivato. Non esiste una finestra di tolleranza.
Secondo: La documentazione completa è obbligatoria. Il Registro delle Violazioni non è opzionale e deve contenere tutte le violazioni, anche quelle non notificate. È il primo documento che il Garante richiede durante le ispezioni. Rappresenta la prova che il tuo istituto conosce i propri rischi e li gestisce consapevolmente.
Terzo: La prevenzione continua costa infinitamente meno. Investire in formazione, misure tecniche e procedure interne costa poche migliaia di euro annuali. Affrontare sanzioni da milioni di euro, danni reputazionali, responsabilità personali e condanne della Corte dei Conti costa l’esistenza della scuola come la conosci.
Le scuole che adottano un approccio proattivo alla sicurezza dei dati non solo rispettano la legge, ma proteggono concretamente i diritti fondamentali di studenti, famiglie e personale. Costruiscono una cultura della privacy che è parte integrante della missione educativa.
Perché proteggere i dati non è una questione di conformità normativa. È una questione di fiducia. E la fiducia, una volta persa, è quasi impossibile da recuperare.
Maiora Labs: servizi di compliance GDPR per scuole – supporta le scuole nella compliance GDPR attraverso:
Audit di sicurezza e valutazioni del rischio personalizzate. Formazione dedicata per dirigenti e personale scolastico. Implementazione di procedure operative strutturate per la gestione data breach. Servizi DPO (Data Protection Officer) esterni con esperienza scolastica. Soluzioni tecnologiche per la protezione dei dati e il backup automatico.
