Secondo i garanti europei, i titolari dovrebbero fornire i dati personali utilizzando formati aperti di impiego comune (per esempio: XML, JSON, CSV ecc.) unitamente a metadati utili, al miglior livello possibile di granularità, mantenendo un livello elevato di astrazione.
Lo standard ISO/IEC 27701: 2019 specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un PIMS (Privacy Information Management System o sistema di gestione delle informazioni sulla privacy) attraverso un set di requisiti, obiettivi di controllo e controlli che integrano ed estendono quanto definito nello standard ISO/IEC 27001: 2013 per la gestione della sicurezza delle informazioni.
Il GDPR impone che i dati personali degli studenti possano essere trattati solo per la determinata finalità della valutazione dell’alunno, e successivamente devono essere trattati in modo legittimo, ovvero non divulgandoli a terzi che non sono autorizzati a conoscere tali informazioni. Il titolare del trattamento (solitamente lo stesso istituto scolastico, nella figura del dirigente) è sempre tenuto a rispettare la privacy svolgendo funzioni di vigilanza per l’osservanza delle citate norme di legge.
Il Registro è il documento che contiene le attività di trattamento dei dati, redatto preferibilmente in formato elettronico (ad esempio su un foglio excel) per facilitarne l’aggiornamento periodico. L’obbligo di tenuta e di aggiornamento grava sulle organizzazioni medio-grandi, ossia quelle con 250 o più dipendenti (articolo 30 del regolamento 679/2016).
Ghosting è un termine usato per descrivere la pratica di interrompere tutte le comunicazioni e i contatti con un partner, un amico o un conoscente senza alcun preavviso o apparente giustificazione e successivamente ignorare qualsiasi tentativo di ricontattare o comunicare fatto dal ex-partner, amico o conoscente. Nei casi più estremi, la persona viene cancellata o bloccata da tutti i social media.
Una norma specifica riguarda l’espressione del consenso nel caso di offerta diretta di servizi della società dell’informazione ai minori: il trattamento di dati personali di minori al di sotto dei 16 anni - o, se previsto dal diritto degli Stati membri, di un’età inferiore ma non al di sotto di 13 anni - è lecito soltanto se e nella misura in cui tale consenso è espresso o autorizzato dal titolare della responsabilità genitoriale sul minore.
