La nomina del Responsabile per la transizione al digitale (RTD) non è un obbligo per le scuole

Con una direttiva del Presidente del Consiglio dei Ministri del 1° agosto 2015 tutte le pubbliche amministrazioni erano state sollecitate a proteggere i sistemi informatici dotandosi  di standard minimi di prevenzione e reazione ad eventi cibernetici, secondo le indicazioni del D.lvo 82/2015, Codice dell’amministrazione digitale (CAD), aggiornato e modificato dal D.lvo 179/2016.

Per  agevolare tale processo, l’Agenzia per l’Italia digitale (AGID), con la circolare 2/2017 del 18 aprile 2017, ha fornito alle pubbliche amministrazioni le indicazioni per l’individuazione dell’ufficio unico e del soggetto a cui affidare la transizione al digitale e l’applicazione delle misure minime per la sicurezza, indicando nella data del 31 dicembre 2017 il termine per l’adempimento.

Da un’attenta lettura delle disposizioni normative richiamate dalla circolare AGID, si può chiaramente evincere che  l’obbligo si riferisce agli organi di vertice politico delle pubbliche amministrazioni e che gli uffici per la transizione al digitale non devono essere individuati presso le istituzioni scolastiche, pur essendo  queste ultime ricomprese tra le pubbliche amministrazioni e pur essendo sottoposte all’obbligo di proteggere i sistemi informatici con cui trattano i dati in loro possesso.

Nonostante ciò, la mancanza di indicazioni da parte del MIUR  e le pressioni di tutti quei soggetti esterni interessati ad accreditarsi presso le scuole come esperti della protezione dei dati  hanno alimentato tra i dirigenti scolastici un comprensibile allarme rispetto agli adempimenti e alle scadenze.

Proprio per rispondere alle pressanti richieste di chiarimenti, con un numero speciale del Notiziario Nazionale dei dirigenti scolastici in formato digitale  abbiamo già fornito l’8 dicembre 2017 a tutti i dirigenti scolastici iscritti alla FLC CGIL i chiarimenti e le necessarie indicazioni.

Con la nota 3015 del 20  dicembre 2017 il MIUR invia finalmente alle scuole le stesse indicazioni che noi avevamo già fornito ai dirigenti scolastici:

• l’individuazione dell’Ufficio e del responsabile alla transizione al digitale non è un obbligo per le scuole che possono verificare autonomamente, anche senza ricorrere a specialisti del settore, il livello di protezione dei loro sistemi
• la circolare AGID va considerata come un’opportunità di miglioramento della sicurezza e un riferimento pratico per valutare e migliorare il proprio livello di sicurezza informatica.

Riteniamo perciò necessario ribadire le seguenti indicazioni ai dirigenti scolastici :

• sono i soggetti esterni a cui le scuole hanno affidato la gestione dei loro dati attraverso l’acquisto degli applicativi per le segreterie  ad avere l’obbligo di dichiarare alle scuole quali sono i livelli di sicurezza di cui si  sono dotati  per proteggere l’integrità di quei dati;
• non esiste nessun obbligo tassativo di adeguamento entro il 31 dicembre 2017 ma occorre mettere mano alla sicurezza dei dati e dei sistemi informatici attraverso una ricognizione della situazione esistente e un programma di implementazione che tenga conto della necessità di prevedere le risorse necessarie in bilancio;
• i soggetti esterni a cui le scuole hanno eventualmente affidato la gestione e la manutenzione dei sistemi  informatici sono tenuti in forza del  contratto stipulato e del rapporto fiduciario che li lega all’istituzione scolastica   ad  individuare tutte le misure necessarie per proteggere quei sistemi e non dovrebbero  chiedere ulteriori compensi per compilare la check list allegata alla circolare (elenco delle misure minime  di protezione adottate) o il modulo di implementazione (individuazione delle ulteriori misure necessarie per raggiungere il livello minimo di protezione richiesto).

La protezione dei dati del sistema scolastico richiama la necessità, da sempre sostenuta dalla FLC CGIL e ribadita in occasione degli incontri dei tavoli tecnici sulla semplificazione amministrativa, di implementare la funzionalità del SIDI rendendolo unico gestore dei dati, assumendo centralmente le misure necessarie a garantirne la sicurezza, con notevole risparmio di risorse da parte delle istituzioni scolastiche.