La rete del Liceo Majorana è costituita da un’infrastruttura locale, che interconnette i server e i dispositivi della scuola, e da un circuito in fibra ottica verso la rete nazionale GARR, connessa a sua volta alla rete europea GÉANT e alla rete Internet mondiale.
L’accesso alla rete della scuola da parte degli utenti può avvenire via cavo, tramite connessione alle prese Ethernet disponibili nelle aule e nei laboratori, oppure in modalità wireless, tramite connessione a uno degli access point che assicurano la copertura completa e capillare dell’intero edificio scolastico per ciascuna sede. Per motivi di sicurezza e per ottemperare ai requisiti di GARR, l’accesso alla rete scolastica è controllato e avviene unicamente con autenticazione nominale, attraverso i certificati digitali rilasciati al personale scolastico e agli studenti. In particolare, l’accesso alla rete Wi-Fi (SSID eduroam) è possibile in modalità EAP-TLS con credenziali pseudonimizzate; è in fase di implementazione il controllo degli accessi anche su connessione Ethernet, disponibile in modalità EAP-TLS solo per il personale scolastico o comunque utilizzando i dispositivi della scuola.
Per garantire la massima sicurezza dei dispositivi e delle credenziali degli utenti, la procedura di configurazione dell’accesso alla rete Wi-Fi deve essere svolta rispettando esattamente le istruzioni fornite, evitando tentativi di configurazione manuale.
In base ai requisiti delle regole di utilizzo della rete GARR, riportate di seguito e vincolanti per l’accesso alla rete scolastica, è attivo il controllo degli accessi alla rete locale (dalla quale si transita verso la rete GARR nel momento in cui si richiedono risorse esterne o servizi disponibili su Internet) e prevede l’acquisizione a livello centralizzato, la memorizzazione e la conservazione in forma disaggregata e crittografata, per un periodo di tempo di 6 mesi, dei seguenti dati personali:
Sebbene sulla rete scolastica non siano attivi server proxy, né espliciti né trasparenti, che sarebbero in grado di ispezionare e filtrare i contenuti fruiti dagli utenti tramite HTTP e HTTPS (violando, in quest’ultimo caso, la crittografia delle comunicazioni), è operativo un doppio filtro sulla navigazione a livello di DNS, finalizzato da un lato a impedire l’accesso a siti inadatti al contesto scolastico o relativi a malware, phishing, tracciamenti pubblicitari, e dall’altro lato a proteggere i dispositivi degli utenti (BYOD) rispetto all’utilizzo di server DNS insicuri, o comunque non compatibili con le peculiarità della rete scolastica. Pertanto, indipendentemente dai server DNS impostati sui dispositivi degli utenti, tutte le richieste di risoluzione dei nomi a dominio transiteranno attraverso i server DNS scolastici e i siti inseriti nelle blacklist istituzionali risulteranno inaccessibili. Come indicato sopra, i tentativi di accesso a tali siti saranno comunque registrati per ragioni di sicurezza e di monitoraggio delle attività riconducibili a malware.
Il traffico transitante sulla rete scolastica è segregato in VLAN corrispondenti ai diversi profili di accesso; i dati trasmessi in modalità wireless sono crittografati indipendentemente da eventuali ulteriori protocolli crittografici utilizzati a livello applicativo.
In nessun caso sono monitorati, intercettati, trattenuti o memorizzati dati personali come ad esempio credenziali di accesso ad altri servizi, informazioni finanziarie, corrispondenza privata, etc. Le password degli account scolastici sono memorizzate in forma di hash, pertanto neppure gli amministratori sono in grado di leggerle in chiaro; questo tuttavia non esclude che gli utenti possano decidere di memorizzare le loro credenziali nei dispositivi che usano abitualmente: tale scelta è fortemente sconsigliata, soprattutto se applicata ai dispositivi condivisi forniti dalla scuola, anche se il salvataggio avviene all’interno del profilo utente personale. In caso di necessità è teoricamente possibile correlare l’attività di un account utente con gli indirizzi dei siti visitati (solo a livello di nome di dominio) e con la posizione approssimata all’interno della scuola; tali procedure di indagine sono attuate soltanto in presenza di situazioni disciplinari gravi, o su richiesta dei responsabili della sicurezza della rete GARR, oppure su ordine dell’autorità giudiziaria. Il trattamento dei dati non comporta l’impiego di processi decisionali automatizzati. Non è previsto il trasferimento dei dati in Paesi extra-UE.
L’utilizzo della rete scolastica e dei suoi servizi (inclusi, ad esempio, le stampanti condivise o l’accesso alla rete GARR e a Internet) deve avvenire unicamente per finalità istituzionali di tipo didattico o amministrativo. È vietato utilizzare la rete scolastica per scopi personali: tali circostanze possono comportare la revoca dell’accesso alla rete scolastica e/o la sospensione dell’account, fatti salvi i dovuti provvedimenti disciplinari nei confronti dei trasgressori. Le attività che configurano reati (come per esempio il furto d’identità, l’interruzione di un pubblico servizio o l’accesso non autorizzato a sistemi informatici) sono altresì punibili ai sensi del codice penale.
Le credenziali degli utenti, sia in forma di nome utente e password, sia in forma di certificato digitale, devono essere mantenute riservate e custodite con cura dal legittimo titolare a cui sono state rilasciate. In caso di compromissione o furto delle credenziali, il titolare è tenuto a notificare immediatamente l’incidente a account@liceodesio.edu.it e assume comunque la piena responsabilità delle azioni compiute da terzi con le proprie credenziali, a meno che non sia in grado di fornire prova contraria.
Il titolare del trattamento dei dati è l’istituzione scolastica Liceo Statale Scientifico e Classico “E. Majorana” di Desio (MB), rappresentato dal Dirigente Scolastico. Il responsabile della protezione dei dati può essere contattato scrivendo a dpo@liceodesio.edu.it. Per il traffico di rete verso l’esterno è stato nominato responsabile del trattamento dei dati il Consortium GARR, nella persona del suo Direttore.
Il conferimento dei dati personali sopra indicati è requisito obbligatorio per la fruizione del servizio di accesso alla rete Wi-Fi istituzionale; la base giuridica per l’acquisizione e il successivo trattamento dei dati menzionati è il consenso specifico degli interessati prestato mediante completamento volontario della procedura di configurazione dei propri dispositivi.
Gli interessati potranno in qualsiasi momento, ai sensi del Regolamento (UE) 2016/679 (“GDPR”) relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali”, tramite comunicazione al titolare del trattamento o al responsabile della protezione dei dati, esercitare i diritti di: revoca del consenso prestato (senza pregiudicare la liceità del trattamento precedente alla revoca); accesso ai dati personali; rettifica dei dati personali; cancellazione dei dati personali; limitazione del trattamento; opposizione al trattamento; reclamo presso l’autorità competente (www.gpdp.it).
Per quanto di più ampio e generale in materia di trattamento dei dati personali, si rimanda all’informativa dell’istituzione scolastica.