protezione dati personali

La privacy a scuola: tutto quello che studenti, docenti e famiglie devono sapere

La tutela dei dati personali degli studenti ha implicazioni e effetti che si riverberano su soggetti interessati (perlopiù minori) e, a cascata, anche sui loro familiari; il massivo ricorso alla Didattica a Distanza causa Covid ha esponenzialmente acuito l’attenzione posta su tali aspetti: vediamo come

Pubblicato il 26 Gen 2021

Gabriele Scafati

Avvocato studio legale netforLegal

DaD-Didattica a Distanza

Il recente aggiornamento del primo dicembre scorso – da parte del Ministero dell’istruzione sul proprio sito (con la collaborazione del Garante per la Protezione dei Dati Personali) – della pagina relativa alle “Domande e risposte”, nella sezione sulla protezione dei dati personali, offre lo spunto per verificare quale sia lo stato dell’arte, a livello di disciplina normativa, relativamente alla tutela della privacy degli studenti nelle scuole.

La privacy degli studenti in Italia

In Italia, la “privacy degli studenti” non è disciplinata organicamente in un’unica norma, come succede in alcuni Paesi.

Ad esempio, negli USA, il FERPA (“Family Educational Rights and Privacy Act”) – che si applica a tutte le istituzioni scolastiche che ricevono finanziamenti federali – regola la gestione di ogni documento relativo all’educazione di uno studente, proteggendone la privacy.

Da noi, tale materia è regolata da un combinato disposto tra le norme e i principi contenuti nel Regolamento europeo sulla protezione dei dati n. 679/2016 (GDPR) e nel Codice Privacy aggiornato a settembre 2018, nonché in una serie di provvedimenti, circolari e FAQ (Frequently Asked Questions) pubblicate sui siti di Garante e Ministero dell’istruzione dell’università e della ricerca.

Il Codice Privacy

Per quanto concerne il nostro Codice Privacy, esso – all’art. 2 sexies – legittima il trattamento dei dati (anche cosiddetti “particolari”, o “sensibili”, quali quelli relativi a origine etnica, salute, opinioni politiche e convinzioni religiose o filosofiche) degli studenti, da parte delle istituzioni scolastiche, per “motivi di interesse pubblico rilevante”.

All’art. 96, è poi previsto che – al fine di agevolare l’orientamento, la formazione e l’inserimento professionale, anche all’estero – gli istituti scolastici, anche privati, ed i centri di formazione professionale, su richiesta degli interessati (ad esempio studenti o genitori), possono comunicare o diffondere, anche per via telematica, dati relativi agli esiti formativi degli studenti e altri dati personali (non “sensibili”) pertinenti alle predette finalità, sempreché ciò sia indicato nella cosiddetta “informativa privacy” rilasciata, ai sensi dell’art. 13 del GDPR, agli studenti stessi (e sempre tutelandone la riservatezza, nel rispetto dello “Statuto delle studentesse e degli studenti della scuola secondaria”, ai sensi del DPR 249/98).

Le FAQ del Garante

Con riguardo poi alle FAQ, il Garante già nel corso del 2019 ne aveva pubblicate, sul proprio sito, una interessante raccolta.

È stato chiarito che tutte le scuole, pubbliche e private, hanno l’obbligo di far conoscere agli “interessati” (studenti, famiglie, professori, etc.) come vengono trattati i loro dati personali: devono cioè rendere noto per mezzo dell’informativa privacy, con le modalità concretamente più opportune, anche online, quali dati raccolgono, come li utilizzano e a quale fine.

Inoltre, viene espressamente confermato che ogni persona ha diritto di conoscere se sono conservate informazioni che la riguardano, di farle rettificare se erronee o non aggiornate e in generale, di avere accesso a tali informazioni.

Peraltro, viene anche confermato che gli scrutini o gli esami di Stato sono pubblici: le informazioni sul rendimento scolastico sono infatti soggette ad un regime di conoscibilità stabilito dal MIUR; l’istituto scolastico deve però evitare di fornire pubblicamente informazioni sulle condizioni di salute degli studenti o altri dati personali non pertinenti (ad es., il riferimento alle “prove differenziate” sostenute dagli studenti con disturbi specifici di apprendimento (DSA) non va inserito nei tabelloni, ma deve essere indicato solamente nell’attestazione da rilasciare allo studente).

Per quanto concerne poi l’utilizzo degli smartphone all’interno delle scuole, esso deve essere disciplinato dalle istituzioni scolastiche, e in ogni caso, laddove gli smartphone siano utilizzati per riprendere immagini o registrare conversazioni, l’utilizzo deve avvenire esclusivamente per fini personali e nel rispetto dei diritti (quali quelli di immagine) delle persone coinvolte.

Ad esempio, le riprese video e le fotografie raccolte dai genitori durante le recite, le gite e i saggi scolastici, sono considerate come “raccolte per fini personali” e destinate a un ambito familiare o amicale, ma viene ad ogni modo ricordato che deve essere prestata particolare attenzione alla eventuale pubblicazione delle medesime immagini su Internet e sui social network (e in caso di diffusione di immagini dei minori, diventa indispensabile ottenere il consenso da parte degli esercenti la potestà genitoriale, in caso di minori).

Per chiudere sulle FAQ, vale la pena ricordare come l’installazione di telecamere all’interno degli istituti scolastici sia lecito, ma deve essere garantito il diritto dello studente alla riservatezza, ad esempio segnalando la presenza degli impianti con cartelli, ed attivando le telecamere che inquadrano l’interno degli istituti solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche; se infine le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato[1].

Il vademecum del Garante

Prima di passare ad analizzare quante e quali novità sono state prodotte in ambito scuola (e DAD) con l’avvento della pandemia da Covid, è interessante ricordare come, già nel 2016, e dunque prima dell’applicazione del GDPR, il Garante avesse pubblicato un interessante vademecum, intitolato “La scuola a prova di privacy” che, passando in rassegna vari argomenti, si sofferma anche su temi di grande rilievo quali cyberbullismo e sexting, provando a fungere da valido strumento di informazione e sensibilizzazione su tali tematiche proprio per gli studenti che rischiano di esserne vittima.

La privacy degli studenti e la didattica a distanza: il provvedimento del Garante

Venendo dunque alla specifica disciplina della “privacy degli studenti”, “fiorita” con il subentrare della pandemia, in primo piano troviamo il provvedimento n. 64 del 26 marzo 2020 del Garante.

Nella lettera inviata, tra gli altri, al MIUR per illustrare gli obiettivi del provvedimento, il precedente presidente del Garante, Antonello Soro, ha ricordato come – sebbene la DAD, in contesto pandemico ed emergenziale, offra importanti vantaggi legati al corretto sfruttamento delle “nuove tecnologie”, volte a garantire la continuità didattica – fosse necessario non sottovalutare i rischi derivanti da uno scorretto – e/o poco consapevole – uso degli strumenti telematici; e ciò, anche e proprio considerando che spesso, per i minori che accedono a tali piattaforme, si tratta delle prime esperienze di utilizzo di simili spazi virtuali: risulta dunque lampante come una simile attività vada svolta con la dovuta consapevolezza, anche sulla base delle “indicazioni fornite a livello centrale”.

Nel provvedimento, il Garante ha ricordato che scuole e università sono autorizzate a trattare i dati (anche relativi a categorie particolari/sensibili) di docenti, alunni, studenti e genitori, tramite i servizi di DAD, poiché tale trattamento è ricollegabile alle funzioni istituzionalmente assegnate a scuole e atenei e, dunque, non è necessario richiedere un consenso specifico.

Ad ogni modo, proprio in quanto titolari del trattamento, spetta agli istituti scolastici un’adeguata selezione e configurazione degli strumenti impiegati per la DAD: si tratta di scelte che devono conformarsi ai principi di privacy by design e by default del GDPR, tenendo conto del contesto didattico, delle finalità di insegnamento, nonché dei connessi rischi per i soggetti coinvolti, che possono (spesso) essere minorenni.

Rispetto ai fornitori IT, poi, il Garante rileva che, se il trattamento dei dati attraverso la piattaforma viene effettuato per conto dell’istituto scolastico, è necessario sottoscrivere una nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR, accertandosi – fattivamente – che i dati trattati per loro conto siano utilizzati esclusivamente per finalità di DAD.

Nello specifico, il Garante ha rilevato come alcune piattaforme offrano servizi ulteriori rispetto a quelli legati funzionalmente a fini didattici, e dunque, è necessario configurare le stesse affinché venga rispettato il “principio di minimizzazione”[2], anche prevedendo un termine di cancellazione dei dati raccolti al temine del progetto didattico.

Il Garante, ancora, ha ritenuto che, in taluni casi, potrebbe essere necessaria una valutazione d’impatto (Data Protection Impact Assessment – “DPIA”), salvo i casi in cui il trattamento venga effettuato da un singolo istituto (e non, quindi, “su larga scala”) nell’ambito dell’utilizzo di un servizio online di videoconferenza o di una piattaforma, sempreché non consenta il monitoraggio sistematico degli utenti o comunque non implichi l’utilizzo di soluzioni tecnologiche particolarmente invasive, come la geolocalizzazione o l’uso di dati biometrici.

Infine, il Garante ha chiarito, e ribadito, l’esigenza – imprescindibile – di rendere pienamente consapevoli docenti, studenti e genitori, mediante adeguata informativa, rispetto alle caratteristiche del trattamento ed alle misure di salvaguardia, nonché riguardo ai loro diritti in relazione al trattamento.

La privacy degli studenti e la didattica a distanza: le FAQ del Garante

Successivamente, il 6 maggio 2020, lo stesso Garante ha pubblicato sul proprio sito alcune FAQ relative al trattamento dei dati – in contesto scolastico – nell’ambito dell’emergenza sanitaria da Covid.

In tali FAQ, oltre a ribadire i concetti già visti sopra, il Garante ha stabilito che non è la scuola a poter comunicare alle famiglie degli alunni l’identità dei parenti di studenti risultati positivi al Covid 19: spetta alle autorità sanitarie competenti informare i contatti stretti del contagiato, al fine di attivare le previste misure di profilassi; l’istituto scolastico è solo tenuto a fornire alle istituzioni competenti le informazioni necessarie affinché le stesse possano ricostruire la filiera dei contatti del contagiato, nonché, sotto altro profilo, ad attivare le misure di sanificazione recentemente disposte.

La privacy degli studenti e la didattica a distanza: la nota del MIUR e i successivi chiarimenti

Per chiudere la disamina su come è regolata la privacy degli studenti, occorre giusto rilevare come il MIUR -anche aldilà, e prima, dell’avvento del Covid – già con nota n. 877 del 3 agosto 2018, avesse trasmesso alle scuole uno schema di “Registro delle attività di trattamento” per le istituzioni scolastiche, ai sensi dell’art. 30 del GDPR, al fine di supportarle nella corretta compilazione del Registro, anche fornendo un’apposita “Guida operativa”.

A seguito dell’emergenza pandemica, poi, il MIUR ha, da una parte, pubblicato una completa “guida” sulla “Didattica Digitale Integrata e tutela della privacy”, contenente:

  • indicazioni generali, come ad esempio il fatto che, con riguardo alla “base giuridica del trattamento”, è esclusa la richiesta del “consenso”, poiché è un trattamento necessario e collegato all’esecuzione di un compito di interesse pubblico di cui è investita la scuola, attraverso una modalità operativa – digitale – prevista dalla normativa;
  • indicazioni in merito alle misure tecniche e organizzative legate alla sicurezza dei dati, da adottarsi.

Dall’altra, come anticipato in apertura, lo scorso 1° dicembre 2020 sempre il MIUR ha aggiornato – “a quattro mani” con il Garante – la pagina relativa alle “Domande e risposte”, nella sezione (la n. 11) sulla protezione dei dati personali.

Tra le “risposte” di recente pubblicazione, è interessante citarne principalmente due:

  • per quanto riguarda la misurazione della temperatura corporea degli alunni, viene ricordato che tale rilevazione deve essere effettuata a casa da ciascuno (ed è richiesto agli studenti e alle famiglie di non presentarsi a scuola in caso di temperatura superiore ai 37.5°), essendo permessa, nei locali scolastici, la misurazione della temperatura dei soli alunni sintomatici;
  • per quanto concerne le riprese e le registrazioni audio-video delle lezioni, viene evidenziato che, nell’ambito della didattica digitale integrata, il docente può mettere a disposizione degli studenti, anche per il tramite delle piattaforme utilizzate a tali fini, materiali didattici consistenti anche in proprie video lezioni, su specifici argomenti, per la consultazione e i necessari approfondimenti da parte degli alunni; diversamente, non è invece ammessa la video registrazione della lezione a distanza in cui si manifestano le dinamiche di classe, in quanto l’utilizzo delle piattaforme deve essere funzionale a ricreare lo “spazio virtuale” in cui si esplica la relazione e l’interazione tra il docente e gli studenti, similmente a quanto accade nelle lezioni in presenza.

Conclusioni

Da quanto emerge, la “privacy degli studenti” è una materia di sempre maggiore rilievo e che, a tendere, sempre di più ne acquisirà nel prossimo futuro, come si può facilmente presumere. È dunque importante imparare a padroneggiare una tale materia (e relativi strumenti tecnologici) così da “farsela amica”, tanto lato studenti e famiglie, quanto lato insegnanti, onde evitare di dover leggere, nei mesi a venire, troppi altri titoli di giornale simili a quello apparso su un quotidiano proprio pochi giorni fa “Boom di pensionamenti in Lombardia, stress da Covid e burocrazia: prof in fuga dalla scuola on line” (!).

_____________________________________________________________________________________________

  1. Progetti di revisione della disciplina sull’utilizzo degli strumenti di videosorveglianza negli istituti scolastici dovrebbero attualmente essere all’attenzione del Parlamento.
  2. i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • GDPR

    GDPR, tutto ciò che c'è da sapere per essere in regola

    05 Apr 2024

    di Anna Cataleta, Alessandro Longo e Raffaella Natale

    Condividi

Prossimo

GDPR, tutto ciò che c'è da sapere per essere in regola

Articolo 1 di 2