11/05/2020 – DAD – Il diritto alla protezione dei dati personali – scheda 198 –

DAD al tempo del Coronavirus

Punti di riflessione e di  discussione – 4 –

Il diritto alla protezione dei dati personali.

 Le implicazioni più importanti secondo il  Garante per la privacy  – Provvedimento del 26 marzo 2020 – “Didattica a distanza: prime indicazioni”- :

1. Base giuridica del trattamento dei dati personali.

Le scuole sono autorizzate a trattare i dati, anche relativi a  insegnanti, alunni (anche minorenni) e genitori, funzionali all’attività didattica e formativa in ambito scolastico. La normativa di settore ha previsto- per tutta la durata della sospensione delle attività didattiche “in presenza” nelle scuole – l’attivazione di modalità di didattica a distanza, con riguardo alle specifiche esigenze degli studenti con disabilità. Pertanto non deve essere richiesto agli interessati (docenti, alunni, studenti, genitori) uno specifico consenso al trattamento dei propri dati personali funzionali allo svolgimento dell’attività didattica a distanza, in quanto riconducibile  alle funzioni istituzionalmente assegnate a scuole.

2. Privacy by design e by default:  scelta e configurazione degli strumenti da utilizzare.

L’obbligo di privacy by design è basato sulla valutazione del rischio. La valutazione va fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. Si dovrà tenere conto anche del tipo di dati trattati, per cui in presenza di un trattamento che coinvolge dati di minori  gli obblighi dovranno essere più stringenti.  

Il principio di privacy by default prevede che – per impostazione predefinita-  le scuole trattino  solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario.

I due principi obbligano le scuole a predisporre una valutazione di impatto privacy ogni volta che il trattamento di dati potrebbe comportare rischi elevati per la privacy.  

Spetta in primo luogo alle scuole – quali titolari del trattamento – la scelta e la regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza. Tali scelte dovranno conformarsi ai principi di privacy by design e by default.

. Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è opportuno includere:

  • l’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti,
  • le garanzie offerte sul piano della protezione dei dati personali.

La valutazione di impatto non è necessaria se il trattamento effettuato dalle istituzioni scolastiche non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.

3. Il ruolo dei fornitori dei servizi on line e delle piattaforme

Qualora la piattaforma prescelta comporti il trattamento di dati personali degli studenti o dei genitori per conto della scuola, il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico. E’ il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento.

Le eventuali, ulteriori attività di didattica a distanza, talora fornite da alcuni registri elettronici, possono essere in alcuni casi già disciplinate nello stesso contratto di fornitura stipulato. Diversamente, qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non dover designare ulteriori responsabili del trattamento- utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato. Alcuni di questi servizi sono, peraltro, facilmente utilizzabili anche senza la necessaria creazione di un account da parte degli utenti. Laddove, invece, si ritenga necessario ricorrere a piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità. (Il consumatore tramite il Social Login si registra, si logga a siti grazie a plugin di terze parti, appunto social network,  senza dover scrivere e poi ricordare ogni volta le credenziali d’accesso).

Le istituzioni scolastiche dovranno assicurarsi (anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi), che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Saranno, in tal senso, utili specifiche istruzioni, tra l’altro, sulla conservazione dei dati, sulla cancellazione – al temine del progetto didattico – di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali.

Al fine di garantire la massima consapevolezza nell’utilizzo di strumenti tecnologici – delle cui implicazioni non tutti gli studenti (soprattutto se minorenni) hanno piena cognizione- sarebbero auspicabili, in ogni caso, iniziative di sensibilizzazione in tal senso, rivolte a famiglie e ragazzi.

4. Limitazione delle finalità del trattamento

Ancora, con riferimento al trattamento dei dati degli studenti svolti dalle piattaforme quali responsabili del trattamento stesso, si ricorda che esso deve limitarsi a quanto strettamente necessario per la fornitura dei servizi richiesti ai fini della didattica on line, senza l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore.

I dati personali dei minori, del resto, “meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.

5. Liceità, correttezza e trasparenza del trattamento

Al fine di garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche devono assicurare la trasparenza del trattamento informando gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, in ordine, in particolare, alle caratteristiche essenziali del trattamento, che deve peraltro limitarsi all’esecuzione dell’attività didattica a distanza, nel rispetto della riservatezza e della dignità degli interessati.

Nel trattare i dati personali dei docenti funzionali allo svolgimento della didattica a distanza, le scuole dovranno rispettare presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo  limitandosi a utilizzare quelli strettamente necessari, comunque senza effettuare indagini sulla sfera privata o interferire con la libertà di insegnamento.

Visualizza e stampa la scheda 198 in pdf