Trattamento dati

Didattica digitale integrata a prova di privacy: cosa deve fare il Dirigente Scolastico

La scelta e la regolamentazione degli strumenti più adatti al trattamento dei dati per la Didattica Digitale Integrata spettano sempre alla singola istituzione scolastica. Ecco cosa deve fare concretamente il Dirigente Scolastico per ciò che riguarda gli aspetti relativi al trattamento dei dati personali

Pubblicato il 15 Ott 2020

Lucia Gamalero

Privacy Specialist e Responsabile GDPR Scuola

privacyGDPR

In questi giorni alunni e insegnanti – nonostante le inevitabili difficoltà legate alla crisi sanitaria ancora in atto – sono finalmente tornati in classe e hanno potuto riprendere le lezioni frontali.

La didattica a distanza (detta ora “Didattica digitale integrata” o DDI), in ogni caso, non verrà del tutto abbandonata per quest’anno scolastico.

Come previsto nel Piano Scuola 2020/2021 e nelle Linee Guida per la Didattica Digitale Integrata, infatti, sarà utilizzata in modo complementare dalle scuole secondarie di secondo grado, e in caso di emergenza anche da tutti gli altri gradi scolastici.

Per ciò che riguarda gli aspetti relativi al trattamento dei dati personali, il Ministero dell’Istruzione ha predisposto uno specifico documento – con la collaborazione dell’Ufficio del Garante per la Protezione dei Dati Personali – per fornire alle scuole linee di indirizzo comuni e principi generali per implementare la DDI, con particolare riguardo agli aspetti inerenti la sicurezza in rete e la tutela delle informazioni.

Nel testo, il Ministero afferma che spetta sempre alla singola istituzione scolastica – in qualità di titolare del trattamento – la scelta e la regolamentazione degli strumenti più adatti al trattamento dei dati per la DDI, ma riconosce anche il ruolo fondamentale di supporto svolto dal “Responsabile della protezione dei dati” (DPO).

Il Dirigente Scolastico, infatti, deve incaricare il DPO, “ai sensi di quanto previsto dall’art. 39, par. 1, lett. a) del Regolamento, a fornirgli consulenza rispetto alle principali decisioni da assumere, ad esempio, in merito alla definizione del rapporto con il fornitore della piattaforma prescelta e alle istruzioni da impartire allo stesso, all’adeguatezza delle misure di sicurezza rispetto ai rischi connessi a tale tipologia di trattamenti e alle misure necessarie affinché i dati siano utilizzati solo in relazione alla finalità della DDI e alle modalità per assicurare la trasparenza del trattamento mediante l’informativa a tutte le categorie di interessati. Ciò, in particolare, suggerendo il ricorso a piattaforme che eroghino servizi rivolti esclusivamente alla didattica, ovvero, nei casi in cui siano preferite quelle più complesse e generaliste, raccomandando di attivare i soli servizi strettamente necessari alla DDI, verificando che dati di personale scolastico, studenti e loro familiari non vengano trattati per finalità diverse e ulteriori che siano riconducibili al fornitore”.

Vediamo ora però cosa deve fare concretamente il Dirigente Scolastico:

Scegliere lo strumento per la Didattica Digitale Integrata

Il Dirigente, con il supporto del “Responsabile della protezione dei dati” (DPO), e sentito il parere del Collegio Docenti, deve scegliere con attenzione la piattaforma per lo svolgimento della DDI e regolamentarne l’uso.

I criteri che orientano l’individuazione degli strumenti da utilizzare devono tenere conto dell’adeguatezza rispetto a competenze e capacità cognitive degli studenti, nonché delle garanzie offerte sul piano della protezione dei dati.

Redigere e consegnare a docenti, alunni e famiglie una nuova informativa privacy, specifica per la DDI

All’interno delle indicazioni fornite per la gestione della DDI e della privacy, viene ribadito quanto già affermato mesi fa dal Garante per la protezione dei dati, ossia che per l’attivazione della DDI le scuole non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti e genitori, poiché il trattamento è riconducibile a funzioni istituzionalmente assegnate.

Occorre però che tutti gli interessati siano informati, con un linguaggio comprensibile anche ai minori, relativamente alle caratteristiche essenziali del trattamento effettuato per l’erogazione di questo tipo di didattica.

Inoltre, nell’informativa devono essere puntualmente indicati i soggetti dei quali verranno trattati i dati nell’ambito della DDI, specificando le diverse modalità di fruizione (app, piattaforma web, ecc.), informando sull’eventuale utilizzo di tecnologie “in cloud”, e precisando se queste comportano un trasferimento di dati al di fuori dell’Unione Europea.

Designare quale “Responsabile del trattamento” il soggetto esterno che fornisce i servizi per la DDI

La scuola, in caso debba ricorrere a un soggetto esterno per la gestione dei servizi per la DDI che comportino il trattamento dei dati del personale scolastico, degli studenti e dei loro familiari in nome e per conto della scuola stessa, è tenuta a nominare tale soggetto “Responsabile del trattamento” con contratto o altro atto giuridico (art. 28 del Regolamento Europeo 2016/679 – GDPR).

Con questa designazione l’istituto definisce l’ambito, la durata, la natura e la finalità del trattamento, il tipo di dati trattati e le categorie di interessati, gli obblighi e i diritti del titolare, le figure dei sub-responsabili, le misure tecniche e organizzative adeguate agli specifici trattamenti posti in essere per conto dell’istituzione stessa, nonché le tempistiche di conservazione, cancellazione e restituzione dei dati.

In particolare, le scuole devono assicurarsi che i dati trattati per loro conto siano utilizzati solo per la DDI, senza l’introduzione di ulteriori finalità.

Diversamente, nei casi in cui gli istituti gestiscano in autonomia strumenti e piattaforme per la DDI, non deve essere effettuata alcuna nomina a “Responsabile del trattamento”.

Inoltre, qualora la scuola decida di utilizzare piattaforme che non erogano servizi rivolti esclusivamente alla didattica, si dovranno attivare di default, con il supporto del “Responsabile della protezione dei dati” dell’istituto, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando ad esempio il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).

Aggiornare il registro dei trattamenti

Il registro dei trattamenti, in base all’art. 30 del GDPR, deve essere aggiornato con l’indicazione degli strumenti utilizzati per la Didattica Digitale Integrata e dell’eventuale “Responsabile del trattamento” (qualora designato).

Adottare specifiche misure tecniche e organizzative

L’istituto deve assicurarsi che i dati trattati per la DDI, anche attraverso piattaforme di soggetti esterni, vengano adeguatamente protetti.

Infatti, ai sensi dell’art. 32 del GDPR, la scuola, in qualità di titolare del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, deve implementare e mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Le misure di sicurezza sono costituite dal complesso di risoluzioni volte a ridurre al minimo i rischi di distruzione o perdita dei dati, accesso non autorizzato, trattamento non consentito e modifica dei dati.

Svolgere una valutazione dei rischi e, solo se necessario, una valutazione d’impatto

L’istituto deve effettuare una valutazione per determinare i possibili rischi legati al trattamento posto in essere (indipendentemente dal tipo di piattaforma utilizzata per la DDI), mettendo in atto le opportune misure di sicurezza per tutelare i dati.

La valutazione di impatto, invece, non deve essere svolta se il trattamento effettuato, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.

Ad esempio, non è richiesta la valutazione di impatto per il trattamento eseguito da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio online di videoconferenza, o di una piattaforma che non consente il monitoraggio sistematico degli utenti, o comunque se non ricorre a nuove soluzioni tecnologiche particolarmente invasive.

La valutazione di impatto va invece effettuata in caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse, e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche.

Sensibilizzare docenti, alunni e famiglie per aumentare la consapevolezza dell’importanza della tutela dei dati

Il Ministero dell’Istruzione, all’interno delle indicazioni fornite per la gestione della DDI e della privacy, chiede alle istituzioni scolastiche che vengano coinvolti nell’attività di verifica sul monitoraggio del corretto trattamento dei dati personali nella DDI “tutti gli attori (personale scolastico, famiglie, studenti) di questo processo, anche attraverso specifiche iniziative di sensibilizzazione atte a garantire la massima consapevolezza nell’utilizzo di strumenti tecnologici e nella tutela dei dati personali al fine di evitare l’utilizzo improprio e la diffusione illecita dei dati personali trattati per mezzo delle piattaforme e il verificarsi di accessi non autorizzati e di azioni di disturbo durante lo svolgimento della didattica”.

Inoltre, il Ministero suggerisce alle scuole di regolamentare l’uso della webcam, che deve in ogni caso avvenire nel rispetto dei diritti delle persone coinvolte e della tutela dei dati personali, nonché di responsabilizzare tutti i partecipanti alle lezioni a distanza, attraverso uno specifico “disclaimer”, circa i rischi che la diffusione delle immagini può comportare, nonché le responsabilità di natura civile e penale.

Formare e istruire i docenti quali persone autorizzate al trattamento

Tutti gli insegnanti, in qualità di persone autorizzate al trattamento dei dati, devono essere istruiti in base a quanto indicato dall’art. 29 del GDPR.

Relativamente alla DDI, il personale docente deve essere formato sull’utilizzo e la custodia delle credenziali di accesso, sul divieto di condivisione delle stesse, sul divieto di far accedere alla piattaforma persone non autorizzate, sulla protezione da malware e attacchi informatici, sui comportamenti da adottare e sulle sanzioni previste in caso di violazione delle indicazioni ricevute.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati