La pandemia non ha risparmiato neppure il settore dell’istruzione. La scuola italiana si è dovuta reinventare impiegando i dispositivi in possesso da ciascuno studente per svolgere le lezioni a distanza.
Non senza difficoltà nè senza stravolgimenti sia per gli operatori scolastici che per gli studenti, che molto probabilmente rientrano nella categoria che ha risentito di più di questo periodo forzato di clausura.
L’utilizzo delle nuove tecnologie per fini didattici deve comunque avvenire con consapevolezza, attesa la giovane età dei fruitori, spesso alle prime armi con l’utilizzo di queste piattaforme virtuali, ed a tal fine il Ministro dell’Istruzione in concerto con il Ministro dell’Università e della ricerca e al Ministro per le pari opportunità e la famiglia ha provveduto a fornire chiarimenti ed indicazioni.
Anche il Garante della Privacy si è espresso in più occasioni che ha individuato le implicazioni più importanti dell’attività formativa a distanza sul diritto alla protezione dei dati personali.
L’esigenza di proseguire l’attività didattica ricorrendo a modalità innovative è una soluzione necessaria, e certamente rivoluzionaria, per garantire la continuità scolastica tuttavia dietro le straordinarie potenzialità del digitale si celano numerosi rischi, derivanti da un uso scorretto ed improprio dei dispositivi tecnologici.
In particolare:
Base giuridica del trattamento dei dati personali
In materia di consenso, l’Authority ha precisato che le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.
Pertanto sono autorizzate a trattare i dati, anche relativi a categorie particolari, di insegnanti, alunni (anche minorenni), genitori e studenti, funzionali all’attività didattica e formativa in ambito scolastico, professionale, superiore o universitario (art. 6, parr. 1, lett. e), 3, lett. b) e 9, par. 2, lett. g) del Regolamento e artt. 2-ter e 2-sexies del Codice).
In tal senso dispone la normativa di settore, comprensiva anche delle disposizioni contenute nei decreti, emanati ai sensi dell’art. 3 del d.l. 23 febbraio 2020, n. 6, che hanno previsto – per tutta la durata della sospensione delle attività didattiche “in presenza” nelle scuole, nelle università e nelle istituzioni di alta formazione – l’attivazione di modalità di didattica a distanza, avuto anche riguardo alle specifiche esigenze degli studenti con disabilità (cfr. spec. art. 2, lett. m) e n), del d.P.C.M. dell’8 marzo 2020).
Privacy by design e by default: scelta e configurazione degli strumenti da utilizzare
Quanto alla scelta ed alla regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza scuole e università dovranno orientarsi verso strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati (cfr. anche, ove applicabile, art. 39 GDPR).
Tali scelte dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 GDPR).
Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. GDPR).
Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo all’art. 35 per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.
Il ruolo dei fornitori dei servizi on line e delle piattaforme
Se la piattaforma prescelta comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico (art. 28 GDPR).
Si pensi al registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento. Le eventuali, ulteriori attività di didattica a distanza, talora fornite da alcuni registri elettronici, possono essere in alcuni casi già disciplinate nello stesso contratto di fornitura stipulato.
Attesa la crescente rilevanza, nell’attuale fase emergenziale, del registro elettronico per la gestione ordinaria dell’attività scolastica il Garante della Privacy, in una lettera recentemente trasmessa al Ministro dell’istruzione, Lucia Azzolina, ne ha precisato alcuni aspetti.
In tale missiva infatti si sottolinea come l’inclusione, nel registro, di un novero assai rilevante – in termini quantitativi e qualitativi – di dati personali, anche di minorenni, esiga l’adozione di tutte le cautele idonee a evitare o, quantomeno, minimizzare, i rischi di esfiltrazione, trattamento illecito, anche solo alterazione dei dati stessi.
All’uopo l’Authority ha sottolineato al Ministro la necessità di provvedere al perfezionamento della disciplina di settore, adottando segnatamente il “Piano per la dematerializzazione delle procedure amministrative in materia di istruzione, università e ricerca e dei rapporti con le comunità dei docenti, del personale, studenti e famiglie“, che sarebbe dovuto essere stato predisposto entro sessanta giorni dalla data di entrata in vigore della Legge n. 135 del 2012, alla quale si deve l’introduzione di tali forme innovative di rendicontazione dell’attività didattica e di comunicazione tra scuole e famiglie.
Difatti in assenza di direttive specifiche, gli istituti scolastici hanno sinora provveduto ricorrendo a soluzioni tecnologiche, offerte da vari fornitori, non sempre caratterizzate da garanzie adeguate in termini di protezione dei dati personali e talora notevolmente vulnerabili.
Questo prezioso mezzo di comunicazione tra famiglie e docenti necessita potrebbe rappresentare lo strumento elettivo mediante cui realizzare (almeno) una parte significativa dell’attività didattica, riducendo proporzionalmente il ricorso a piattaforme altre, che oltretutto non sempre si limitano all’erogazione di servizi funzionali all’attività formativa.
Qualora si opti per una piattaforma più “generalista” che eroghi servizi più complessi, anche non rivolti esclusivamente alla didattica, si dovranno attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad es., geolocalizzazione, social login, coinvolgendo quindi terze parti comportando così maggiori rischi e responsabilità).
A tal fine sia le istituzioni scolastiche e universitarie dovranno assicurarsi, anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi designato responsabile del trattamento, che il trattamento sia svolto solo per tale finalità e l’autorità vigilerà sull’operato dei fornitori.
Limitazione delle finalità del trattamento dei dati
Con riferimento al trattamento dei dati degli studenti svolti dalle piattaforme quali responsabili del trattamento stesso, è necessario che esso sia limitato a quanto strettamente necessario per la fornitura dei servizi richiesti ai fini della didattica online, senza l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore.
L’ammissibilità di tali operazioni dovrà, infatti, essere valutata di volta in volta, rispetto ai requisiti richiesti dal Regolamento quali, in particolare, i presupposti di liceità e i principi applicabili al trattamento dei dati personali (artt. 5 e ss.).
Il trattamento ulteriore dei dati degli utenti, da parte dei gestori delle piattaforme, nella diversa veste di titolari del trattamento, dovrà naturalmente osservare, tra gli altri, gli obblighi di informazione e trasparenza secondo quanto previsto dall’art. 13 GDPR.
Inoltre i gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi online, non collegati all’attività didattica.
Il consenso non sarebbe, infatti, validamente prestato perché, appunto, indebitamente condizionato al perseguimento di finalità ultronee rispetto a quelle proprie della didattica a distanza (art. 7; cons. 43 GDPR).
Infine i dati personali dei minori “meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” (cons. 38 GDPR). Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo di tali dati a fini di marketing o di profilazione e, in senso lato, la relativa raccolta nell’ambito della fornitura di servizi ai minori stessi (cons. 38 GDPR).
Correttezza e trasparenza nell’uso dati
Per garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono informare gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, riguardo, in particolare, alle caratteristiche essenziali del trattamento che viene effettuato che deve peraltro limitarsi all’esecuzione dell’attività didattica a distanza, nel rispetto della riservatezza e della dignità degli interessati (d.P.R. 24 giugno 1998, n. 249, spec. art. 1; art. 13 GDPR).
Relativamente ai dati personali dei docenti funzionali allo svolgimento della didattica a distanza, le scuole e le università dovranno rispettare presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo (artt. 5 e 88, par. 2, del GDPR, art. 114 del Codice in materia di protezione dei dati personali e art. 4 della legge 20 maggio 1970, n. 300) limitandosi a utilizzare quelli strettamente necessari, comunque senza effettuare indagini sulla sfera privata (art. 113 del citato Codice) o interferire con la libertà di insegnamento.
Certamente questo periodo storico sta mettendo a dura prova il sistema scolastico e con le nuove sfide è sorta l’esigenza di promuovere iniziative rivolte agli studenti, alle famiglie ma anche ai docenti, volte a sensibilizzarli ad un uso consapevole degli strumenti tecnologici anche in un’ottica di tutela dei dati personali.
VP
