Il Consiglio d’Europa ha varato di recente delle importanti linee guida per la protezione dei bambini nell’utilizzo di tecnologie educative, dimostrando ancora una volta una profonda consapevolezza dei rischi e del funzionamento del mondo digitale e prendendo come punto di riferimento i dettami del GDPR.
Per tutelare i minori non serve tanto scagliarsi sugli “output” risultando molto più utile combattere il problema alla fonte individuando quelli che sono i rischi principali per i ragazzi. Una strada che, a parere di chi scrive, non può che rivelarsi vincente.
Tutela dai minori online: il faro del GDPR
L’aumento della didattica digitale ha esposto un gran numero di minori ad una moltitudine di rischi che, in caso di scuola in presenza, non sarebbero sicuramente nemmeno esistiti.
Come tutelare quindi i bambini?
Secondo il Consiglio, è necessario individuare le soluzioni migliori nell’interesse dei ragazzi, rispettando il loro diritto ad essere ascoltati e a non essere discriminati. Ma quale riferimento normativo utilizzare per raggiungere questi obiettivi? Il Consiglio d’Europa su questo non ha dubbi e mutua gran parte dei suggerimenti da quella che è ormai la norma cardine di tutto il mondo digitale: il GDPR.
Obblighi del Titolare del Trattamento
Sia chiaro, il Consiglio non si preoccupa dei soli criminali informatici, ritenendo problematico anche il mero fatto che, il rapporto studente/insegnante, originariamente bilaterale, con la didattica a distanza sia ormai divenuto quantomeno trilaterale inserendo, nella migliore delle ipotesi, almeno un ulteriore soggetto: il titolare delle piattaforme.
Ci sono difatti molti attori nella catena di elaborazione dei dati che possono assumere un qualche ruolo nel trattamento dei dati; non solo istituzioni educative ed enti governativi, ma fornitori di piattaforme, dispositivi, programmi e applicazioni. Costoro, tendenzialmente, dovrebbero rivestire il ruolo di responsabili del trattamento ma, come evidenziano le linee guida, in diverse occasioni, per via del forte potere esercitato nel determinare mezzi e finalità del trattamento, possono divenire anche titolari a tutti gli effetti.
Di conseguenza, evidenzia il Consiglio, gli obblighi dei titolari del trattamento dei dati non possono sempre ricadere esclusivamente sul contesto educativo. Per soddisfare tutti i principi di protezione dei dati pertinenti, inclusi l’accuratezza, la necessità e la sicurezza dei dati, i contesti educativi devono incoraggiare una cultura di governance dei dati completa e conforme in cui la valutazione del rischio consideri proattivamente i diritti e le libertà come parte di qualsiasi processo di elaborazione o acquisizione e la qualità dei dati sia monitorata e gestita in modo efficace attraverso la gestione dei record, supportata da formazione al personale e policy ben fatte.
È poi molto utile il fatto che il Consiglio ribadisca ancora una volta come, nel contesto scolastico, il consenso non possa essere una valida base giuridica, nemmeno per l’utilizzo delle piattaforme.
Difatti, il minore (e la sua famiglia) non hanno alcuna libertà di scelta verso quelle che sono di fatto delle decisioni imposte dalla scuola. Il mancato consenso, in contesto scolastico, produrrebbe un enorme pregiudizio individuabile nella impossibilità di partecipare alle lezioni.
Questo risulta in controtendenza rispetto a quanto pontificano alcuni DPO di istituti scolastici (alle prime armi) in base ai quali, quella famosa “crocetta privacy”, potrebbe fungere da panacea di tutti i trattamenti. Così non è e non lo è mai stato. La scuola, ribadiscono le linee guida dovrebbe trattare i dati solo in virtù di legge essendo il consenso superfluo e, comunque, viziato.
Negli anni, la tutela dei minori, ed in particolare la lotta alla pedopornografia, al pari della lotta al terrorismo, è stata utilizzata come vessillo per giustificare normative molto invasive che, nei fatti, non si sono mai davvero occupate di ridurre la pericolosità della rete per i più giovani ma hanno permesso ai governi (specie quello USA) di controllare con sempre maggiore forza le attività digitali tra i privati.
Così, in principio, la lotta fu contro il file sharing che, stando ai politici di turno, serviva principalmente a scambiare filmati pedo-pornografici. Poi ci fu la lotta ai dispositivi portatili di cui, in Italia, abbiamo avuto un esempio con la legge Madia. In quest’ottica non stupiscono le critiche del New York Times nei confronti della Ue per l’intento di volere diminuire drasticamente le attività di controllo verso e-mail e altri contenuti. Il NYT ritiene che questo agevolerà i pedofili, l’Ue afferma invece che i Governi non dovrebbero controllare la corrispondenza dei privati.
Non solo, e questa è la vera novità, le Linee Guida prevedono che per soddisfare gli obblighi relativi ai diritti di un bambino all’istruzione (e per poter utilizzare il consenso come base giuridica dei trattamenti) le strutture dovrebbero offrire un livello adeguato di offerta educativa alternativa alla didattica a distanza, anche in questa particolare era che stiamo vivendo, senza pregiudizio per il bambino, così da tutelare la loro libertà di scelta per il caso in cui le famiglie o il bambino decidessero di opporsi al trattamento dei dati con strumenti digitali, come rimedio in conformità con l’articolo 9 (1) (f) della Convenzione 108. Solo in presenza di una simile valida alternativa si potranno ritenere tutelati realmente i diritti dei minori, risultando altresì possibile riconsiderare il consenso come base giuridica del trattamento dati.
Profilazione
La profilazione dei bambini, secondo le Linee Guida, dovrebbe essere vietata dalla legge. In circostanze eccezionali, gli Stati potrebbero tuttavia superare tale restrizione, ma solo nell’interesse superiore del minore ovvero in presenza di un interesse pubblico prevalente, a condizione che siano previste dalla legge adeguate garanzie.
Come sappiamo, difatti, la personalizzazione del contenuto spesso costituisce un elemento intrinseco e atteso di alcuni servizi online, e quindi, sotto un certo aspetto, potrebbe essere considerata necessaria per l’esecuzione del contratto tra il fornitore del servizio e la scuola, tuttavia, ciò non può giustificare tale trattamento di dati dei minori in quanto, come sappiamo, i bambini non fanno parte di quel contratto tra scuola e piattaforma, non potendo quindi diventare oggetto di alcuna pretesa invasiva da parte di quest’ultimo soggetto.
Se la scuola individua la piattaforma da utilizzare e stipula un contratto con i fornitori di essa, magari creando anche degli indirizzi mail ad hoc per gli studenti, questi ultimi non possono che subire le decisioni già prese a monte, non avendo alcun tipo di potere decisionale. Si tratta di una prassi molto ricorrente che, spesso, porta i ragazzi a utilizzare strumenti senza nemmeno aver letto una informativa sul trattamento dati. Gli viene fornito un account e loro lo usano. Ma cosa comporta la presenza di quel profilo utente? È evidente che un simile meccanismo contribuisce a creare ulteriore confusione, motivo per cui, correttamente, il Consiglio suggerisce di individuare soluzioni di default: la profilazione verso i ragazzi deve essere illegale, salvo previsione di legge.
Dati biometrici
Sempre per ridurre l’invasività di alcuni trattamenti, le linee guida suggeriscono che i dati biometrici non dovrebbero essere elaborati di routine in contesti educativi. L’uso della biometria in contesti educativi in circostanze eccezionali dovrebbe essere consentito solo laddove non esista un metodo meno intrusivo per raggiungere il medesimo scopo.
In ogni caso risulta necessario effettuare una valutazione di impatto fornendo ogni più adeguata garanzia per i diritti dei ragazzi. on da ultimo dovrebbe essere necessaria una valutazione su possibili bias e su possibili alternative, questo al fine di evitare le discriminazioni già verificatesi, ad esempio, con l’utilizzo di sistemi di proctoring, come già visto sulle pagine di Agenda Digitale.
Tali trattamenti dovrebbero per il Consiglio essere possibili solo previa emanazione di apposita normativa. Elaborazione delle caratteristiche di voce, movimento degli occhi e andatura; salute sociale, emotiva e mentale e umore; e le reazioni alla neuro stimolazione, allo scopo di influenzare o monitorare il comportamento di un bambino, dovrebbero difatti essere effettuate sulla base di un principio di precauzione e trattate come dati biometrici, anche quando non utilizzati allo scopo di identificare in modo univoco la persona. Si tratta del resto di processi molto invasivi che dimostrano la loro pericolosità anche in relazione ai possibili episodi di violazione che potrebbero riguardare i database contenenti tali informazioni. Vogliamo davvero mettere a rischio i dati più intimi dei minori pur di ottenere come contraltare una scuola più innovativa?
Conclusioni
L’attenzione delle istituzioni europee dimostra ancora una volta di essere focalizzata sul fenomeno della didattica a distanza e, di questo non possiamo che esserne contenti. L’approccio del Consiglio si dimostra del resto ancora una volta molto consapevole ed in linea con norme e prassi, anche nazionali. La tutela dei ragazzi deve essere un obiettivo primario dovendo peraltro ricadere gli obblighi in tal senso, non tanto sui minori, quanto sulle istituzioni le quali, in ogni caso dovrebbero poter contare su un “setting” normativo che tuteli di default i ragazzi. In conclusione, se solo la metà di quanto scritto in queste linee guida riuscisse a concretizzarsi avremmo fatto sicuramente un grande passo avanti. Non possiamo che sperare in tal senso.
