Didattica a distanza, il Garante della privacy: “Le scuole proteggano i dati di studenti e famiglie”
Anief: “L’analisi del Garante conferma che il trattamento dei dati riguardanti gli utenti scolastici non deve oltrepassare lo scopo formativo”
Scuola – Con una nota ufficiale, inviata ai ministri dell’Istruzione, dell’Università e della ricerca e per le pari opportunità e la famiglia, il dottor Antonello Soro, presidente dell’autorità garante per la protezione dei dati personali, spiega che non occorre: “sottovalutare i rischi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici”.
La nota cita l’atto di indirizzo dello stesso Garante, nel quale si spiega che: “qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore dovrà essere regolato con contratto. È il caso, ad esempio, del registro elettronico”.
Punta quindi il dito sui minori, perché: “meritano una specifica protezione, in quanto possono essere meno consapevoli dei rischi” e sulla necessità di “assicurare la trasparenza del trattamento informando gli interessati”.
Marcello Pacifico (Anief): “Come non è possibile pensare che il docente possa comunicare senza le dovute autorizzazioni, soprattutto in presenza di alunni di minore età. È auspicabile, a questo punto, un intervento chiarificatore anche dal ministero dell’Istruzione, così da evitare difformità di interpretazione delle informazioni fornite dal Garante”.
Dopo alcune settimane di didattica a distanza, il presidente dell’Autorità Garante della protezione dei dati personali, Antonello Soro, prende posizione: in una lettera inviata ai ministri dei dicasteri interessati, scrive che “si tratta di rischi assai più concreti di quanto si possa immaginare e dai quali è bene proteggere chiunque (in primo luogo, ma non soltanto i minori) utilizzi questi nuovi strumenti di formazione. Molte delle piattaforme suscettibili di utilizzo a fini didattici, ad esempio, funzionano come veri e propri social network che necessitano, come tali, di una sia pur minima cognizione delle loro regole di utilizzo e delle implicazioni di ciascun “click”, anche tra l’altro sui diritti della personalità di terzi”.
LA NOTA DEL GARANTE
“Considerando che, spesso, per i minori che accedono a tali piattaforme si tratta delle prime esperienze (se non addirittura della prima) di utilizzo di simili spazi virtuali – spiega Soro -, è evidente come anche quest’attività vada svolta con la dovuta consapevolezza, anche sulla base delle indicazioni fornite a livello centrale. La corretta gestione dei dati personali di tutti i soggetti coinvolti, a vario titolo, nell’attività didattica a distanza rappresenta, in questo senso, il presupposto quantomai indispensabile – continua – per rendere il digitale una risorsa straordinaria per la promozione dei diritti (quello allo studio, in particolare), al riparo da rischi di abusi o violazioni”.
L’ATTO DI INDIRIZZO
Nell’intento di fornire a scuole, atenei, studenti e famiglie indicazioni utili a un utilizzo quanto più consapevole e positivo delle nuove tecnologie, a fini didattici, il Garante ha approvato uno specifico atto di indirizzo, ricognitivo delle implicazioni più importanti dell’attività formativa a distanza sul diritto alla protezione dei dati personali: con questo documento, il Garante spiega che “le scuole e le università sono autorizzate a trattare i dati, anche relativi a categorie particolari, di insegnanti, alunni (anche minorenni), genitori e studenti, funzionali all’attività didattica e formativa in ambito scolastico, professionale, superiore o universitario” e che non deve “essere richiesto agli interessati (docenti, alunni, studenti, genitori) uno specifico consenso al trattamento dei propri dati personali funzionali allo svolgimento dell’attività didattica a distanza, in quanto riconducibile – nonostante tali modalità innovative – alle funzioni istituzionalmente assegnate a scuole ed atenei”.
LA SCELTA DEGLI STRUMENTI
Premesso questo, il dottor Antonello Soro sostiene che la scelta “degli strumenti più utili per la realizzazione della didattica a distanza (…) dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati”. Sottolinea anche che “varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di “classi virtuali”, la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in modo “social” tra docenti, studenti e famiglie” e che nella loro scelta bisogna premiare “oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali”.
VALUTAZIONE D’IMPATTO NON NECESSARIA
Specifica, quindi, che “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.
Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”.
PUÒ SERVIRE ANCHE IL CONTRATTO
Viene anche ricordato che “qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico (art. 28 del Regolamento). E’ il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento”.
IL REGISTRO ELETTRONICO
Soffermandosi sul registro elettronico, il Garante della privacy spiega che sulle “eventuali, ulteriori attività di didattica a distanza, talora fornite da alcuni registri elettronici”, le quali “possono essere in alcuni casi già disciplinate nello stesso contratto di fornitura stipulato.
Diversamente, qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non dover designare ulteriori responsabili del trattamento- utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato. Alcuni di questi servizi sono, peraltro, facilmente utilizzabili anche senza la necessaria creazione di un account da parte degli utenti”.
LIMITARE I SERVIZI
“Laddove, invece, si ritenga necessario ricorrere a piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità)”.
L’atto di indirizzo del Garante della privacy sulla didattica a distanza, pubblicato il 30 marzo 2020. Clicca qui.
(Il Faro online)
Per leggere tutte le notizie della Rubrica Scuola – Clicca qui