Il 30 marzo 2020 il Garante per la privacy ha approvato un atto di indirizzo al fine di fornire alcune indicazioni utili a scuole, studenti e famiglie per un utilizzo quanto più consapevole e positivo delle tecnologie a fini didattici.
L’esigenza di proseguire l’attività didattica ricorrendo alla tecnologia, imposta dalla presente situazione di emergenza epidemiologica, non deve infatti condurci a sottovalutare i rischi connessi ad un uso scorretto o poco consapevole degli strumenti telematici.
Di seguito un breve excursus delle principali implicazioni che l’attività formativa a distanza ha sul diritto alla protezione dei dati personali, evidenziate dal Garante privacy nel provvedimento del 26 marzo (“Didattica a distanza: prime indicazioni”) e nell’atto di indirizzo del 30 marzo 2020 (“Coronavirus: didattica on line, dal Garante privacy prime istruzioni per l’uso”).
Quali sono le basi giuridiche che legittimano il trattamento dei dati di alunni e docenti nella didattica a distanza?
Le scuole e le università sono autorizzate a trattare i dati, anche particolari, di insegnanti, alunni (anche minorenni), genitori e studenti che sono funzionali allo svolgimento dell’attività didattica e formativa in ambito scolastico, professionale, superiore o universitario secondo quanto disposto dai seguenti articoli:
– 6, par. 1, lett. e) GDPR (trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento);
– art. 9, par. 2, lett. g) GDPR (che prevede un’eccezione al divieto di trattamento delle particolari categorie di dati, quando il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri);
-artt. 2-ter (base giuridica per il trattamento di dati effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) e 2-sexies (trattamento di particolari categorie di dati personali necessario per motivi di interesse pubblico rilevante, ammessi qualora siano previsti da diritto UE o da norme interne) del Codice Privacy.
In tal senso dispone la normativa di settore, comprese le disposizioni contenute nei decreti, emanati ai sensi dell’art. 3 del d.l. n. 6/2020 che hanno previsto – per tutta la durata della sospensione delle attività didattiche “in presenza” nelle scuole, nelle università e nelle istituzioni di alta formazione – l’attivazione di modalità di didattica a distanza.
Le scuole e le università che utilizzano sistemi di didattica a distanza devono richiedere il consenso agli interessati?
No, non è necessario richiedere ad alunni, docenti e genitori uno specifico consenso al trattamento dei loro dati personali che sia funzionale allo svolgimento dell’attività didattica a distanza in quanto esso, nonostante le modalità “innovative” – è un trattamento riconducibile alle funzioni istituzionalmente assegnate a scuole ed atenei.
Come devono essere scelti e regolamentati gli strumenti della didattica a distanza?
Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza scuole e università dovranno orientarsi verso strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati, nel rispetto dei principi di privacy by design e privacy by default.
Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è quindi da includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche la valutazione delle garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento).
E’ necessario fare la DPIA?
Non è necessaria la valutazione di impatto (DPIA), prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.
Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on-line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.
Che ruolo hanno i fornitori dei servizi on line e delle piattaforme?
Se la piattaforma prescelta comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore dovrà essere regolato con un contratto o altro atto giuridico ad hoc (art. 28 del Regolamento), in cui siano espressamente disciplinati anche i diritti, doveri, le responsabilità e le garanzie fornite sotto il profilo privacy.
E’ il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento. Le eventuali, ulteriori attività di didattica a distanza, talora fornite da alcuni registri elettronici, possono essere in alcuni casi già disciplinate nello stesso contratto di fornitura stipulato.
Diversamente, qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non dover designare ulteriori responsabili del trattamento – utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato. Alcuni di questi servizi sono, peraltro, facilmente utilizzabili anche senza la necessaria creazione di un account da parte degli utenti.
Laddove, invece, si ritenga necessario ricorrere a piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).
Le istituzioni scolastiche e universitarie dovranno inoltre assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza.
Limitazione delle finalità del trattamento dei dati: cosa significa?
Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario per la fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.
I gestori delle piattaforme non potranno, cioè, condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi, non collegati all’attività didattica. In questi casi il consenso non sarebbe, infatti, validamente prestato perché, appunto, indebitamente condizionato al perseguimento di finalità ultronee rispetto a quelle proprie della didattica a distanza (v. art. 7 e cons. 43 del GDPR).
Dati dei minori: quali cautele aggiuntive sono richieste?
Ai dati personali dei minori va garantita una specifica protezione poiché i minori, rispetto agli adulti, possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti.
I dati personali dei minori, del resto, “meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” (v. cons. 38 del GDPR).
Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo di tali dati a fini di marketing o di profilazione e, in senso lato, la relativa raccolta nell’ambito della fornitura di servizi ai minori stessi (v. cons. 38, cit.).
Correttezza e trasparenza nell’uso dati: come deve essere resa l’informativa privacy per la didattica a distanza?
Per garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono informare gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori riguardo, in particolare, alle caratteristiche essenziali del trattamento che viene effettuato.
Relativamente ai docenti, scuole e università, nel rispetto della disciplina sui controlli a distanza, dovranno inoltre trattare solo i dati strettamente necessari e comunque senza effettuare indagini sulla loro sfera privata (art. 113 del Codice Privacy) o interferire con la libertà di insegnamento.
Fonti.
– Provv. Garante Privacy 30 marzo 2020 “Coronavirus: didattica on line, dal Garante privacy prime istruzioni per l’uso”.
– Provv. Garante Privacy 26 marzo 2020 “Didattica a distanza: prime indicazioni”.