scuola e digitale

La privacy nella didattica a distanza: linee guida e ruoli chiave per una governance corretta

Nel contesto della didattica a distanza è essenziale porre la dovuta attenzione alla sicurezza e alla protezione dei dati personali ed alla tutela della privacy di tutti gli attori coinvolti nelle attività. In questa direzione vanno le indicazioni di Miur e Garante privacy. Facciamo il punto

Pubblicato il 25 Set 2020

Pasquale Tarallo

Esperto indipendente del tavolo sulle Tecnologie Innovative in Sanità Pubblica (TISP) dell’Istituto Superiore di Sanità

copyright infrastructure

Dal lavoro congiunto tra Miur e Autorità garante della privacy sono maturate indicazioni precise per supportare le scuole in questa fase delicata, nella gestione dei dati personali e tutela della privacy. Sono individuati i profili di responsabilità di particolari attori e le misure organizzative da adottare.

Le ultime linee guida del Garante e del MIUR di settembre

Già nei mesi scorsi il nostro Ministero dell’Istruzione e la nostra Autorità Garante per la protezione dei dati personali hanno dato indicazioni; poi hanno costituito un gruppo congiunto per di fornire le linee di indirizzo comuni e i principi generali per l’implementazione della didattica digitale integrata[11]. Particolare attenzione è stata dedicata ai profili di sicurezza e protezione dei dati personali ed alla tutela della privacy con particolare riguardo ai profili di sicurezza e protezione dei dati personali, sulla base di quanto previsto dal Regolamento (UE) 2016/679 evidenziando i soggetti coinvolti e quindi interessati che sarebbero poi intervenuti nei processi di produzione, erogazione e fruizione dei servizi sopra descritti.

In particolare, con una nota rilasciata dal nostro ministero lo scorso 3/9/2020 nr 11600 e successivamente fatta propria anche dalla nostra Autorità Garante, sono stati individuati i profili di responsabilità di particolari attori e le misure organizzative da adottare. Ovviamente si ricorda che spetta alla singola istituzione scolastica, in qualità di titolare del trattamento, la scelta e la regolamentazione degli strumenti più adeguati al trattamento dei dati personali di personale scolastico, studenti e loro familiari per la realizzazione della DDI. Tale scelta è effettuata del Dirigente scolastico, con il supporto del Responsabile della protezione dei dati personali (RPD), sentito il Collegio dei Docenti.

Volendo schematizzare ed indicare i singoli profili che intervengono nel modello di governance della Privacy nella Didattica a Distanza (DAD) si può adottare il seguente quadro sinottico.

Tabella 1: profili delle figure chiave nel modello di Governance della Privacy nella Didattica a Distanza (DAD)
Titolare del trattamentoLa persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali,L’Istituto scolastico nella persona del Dirigente scolastico
Data Protection Officer (DPO) / Responsabile della Protezione dei Dati (RPD)Il soggetto che assicura l’applicazione del quadro normativo vigente in materia di protezione dei dati personali, nell’ambito dei trattamenti svolti dal Titolare del trattamento.Soggetto esterno o interno
Presidi PrivacyE’ possibile identificare presìdi – all’interno della struttura del Titolare del trattamento, se particolarmente articolata – per svolgimento degli adempimenti privacy relativi a ciascuna area. In realtà che siano particolarmente complesse è consigliabile individuare figure che, per esperienza, capacità e affidabilità, siano in grado di fornire adeguata garanzia del rispetto delle vigenti disposizioni in materia di trattamento dei dati.Animatore digitale, Componenti del Team per l’innovazione, etc.
Persone autorizzate al trattamentoIl personale che effettua operazioni di trattamento sui dati personali sotto l’autorità del Titolare del trattamento e sulla base di istruzioni fornite dallo stesso,Personale docente
Responsabile del trattamentoSoggetti terzi che trattano dati personali per conto del Titolare, mettendo in atto misure di sicurezza adeguate di tipo tecnico ed organizzativo.Fornitori della piattaforma DAD

Proviamo a dare uno sguardo ai ruoli svolti dalle singole figure individuate.

Perché sono necessarie nuove indicazioni privacy per la scuola

Di fondo, il bisogno di un nuovo contesto normativo nasce dal fatto che prima le attività didattiche si svolgevano in presenza, in un luogo ben definito in termini spaziali e temporali, anche se alcuni soggetti più evoluti avevano cominciato a offrire, e taluni utenti avevano potuto usufruire, servizi complementari a distanza o in mobilità utilizzando anche le neonate soluzioni digitali in grado di adottare strumenti e tecnologie innovative, come le cosiddette aule virtuali, le piattaforme di erogazione, le applicazioni (app) o le soluzioni aggiuntive, come le cosiddette lavagne elettroniche o altri particolari strumenti di autoformazione, che andavano a completare ed in alcuni casi a sostituire in pieno le modalità considerate tradizionali. In questi ultimi casi si cominciò a discutere di modalità di Didattica Digitale Integrata (DDI)[1].

Una volta emersa la diffusione ed i potenziali danni del Covid, oltre che il contesto emergenziale in cui anche il nostro Paese si è trovato ad operare, le istituzioni scolastiche e universitarie, nonché le famiglie stesse, hanno dovuto considerare l’esigenza di proseguire l’attività didattica e di fruizione ed apprendimento dei contenuti e delle competenze con queste modalità innovative, ricorrendo alle innumerevoli risorse offerte dalle nuove tecnologie per garantire la continuità didattica o formativa[2]. Come in altri settori e paesi, anche in Italia, tuttavia, ci si è interrogati e sono diventate evidenti le perplessità sull’edilizia scolastica[3]. In verità, taluni esperti hanno ipotizzato e sostenuto la soluzione a queste difficoltà suggerendo la riduzione dei discenti per classe, le possibili forme di turnazione, la riorganizzazione del monte ore e dei quadri orari in modo da scaglionare gli ingressi e le lezioni, l’estensione al pomeriggio delle lezioni e dell’impegno dei docenti, l’utilizzo della formazione a distanza. Questa ultima avrebbe potuto e dovuto essere svolta evitando indagini sulla sfera privata, senza interferire con la libertà di insegnamento, garantendo la continuità didattica, tutelando le libertà e i diritti di docenti, genitori, studenti, anche minori. Altri esperti, tuttavia, hanno sostenuto l’attenzione particolare che si sarebbe dovuta prestare sulle attività rivolte ai minori[4], oltre quelle relative ai cosiddetti soggetti deboli (ad es. perché portatori di handicap, con forme patologiche particolari di disabilità, oppure perché avente bisogni educativi speciali, etc.[5]). In questo contesto, infatti, si è notato che gli erogatori dei contenuti, avrebbero potuto raccogliere i dati personali dei fruitori per finalità o modalità diverse non sempre opportunamente determinate o chiaramente esplicitate dai produttori ed erogatori dei contenuti, minacciando, così, la sicurezza e protezione, e quindi la tutela dei dati medesimi.

Il ruolo del dirigente scolastico

Il Dirigente scolastico dovrà assicurarsi che i dati vengano protetti da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o da danni accidentali. Qui di seguito vengono riportate alcune misure:

  • adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti;
  • utilizzo di robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione;
  • definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati;
  • definizione di password policy adeguate (es. regole di composizione, scadenza periodica, ecc.);
  • conservazione delle password degli utenti, mediante l’utilizzo di funzioni di hashing allo stato dell’arte (es. PBKDF2, bcrypt, ecc.) e di salt di lunghezza adeguata;
  • utilizzo di canali di trasmissione sicuri tenendo conto dello stato dell’arte;
  • adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery);
  • utilizzo di sistemi di protezione perimetrale, adeguatamente configurati in funzione del contesto operativo;
  • utilizzo di sistemi antivirus e anti malware costantemente aggiornati;
  • aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità;
  • registrazione degli accessi e delle operazioni compiute in appositi file di log, ai fini della verifica della correttezza e legittimità del trattamento dei dati;
  • definizione di istruzioni da fornire ai soggetti autorizzati al trattamento;
  • formazione e sensibilizzazione degli utenti.

Il ruolo del Data Privacy Officer (DPO)

Si noti che:

  • la nomina del DPO è obbligatoria per le Pubbliche Amministrazioni. Può essere interno o esterno all’organizzazione del Titolare. Se esterno, il rapporto con il Titolare sarà disciplinato da un contratto di servizi;
  • deve operare sempre in assenza di conflitti di interesse;
  • per eseguire i suoi compiti necessita di un sostegno adeguato in termini di risorse finanziarie e umane. Il DPO garantisce che tutti gli elementi del suo team siano in possesso dei requisiti professionali richiesti dalla normativa;
  • ha competenze trasversali e adeguate in ambito privacy, information security e conoscenza dei processi della realtà del Titolare (la Scuola).

Nel contesto DAD di una realtà scolastica, il DPO può fornire un supporto al Titolare del trattamento (nella persona del Dirigente scolastico):

  • promuovendo la cultura della privacy nella realtà del Titolare: attività di sensibilizzazione e formazione del personale docente in merito alla tutela dei dati personali nel contesto della DAD;
  • informando e consigliando il Titolare del trattamento, nonché i dipendenti, in merito agli obblighi della normativa applicabile. Inoltre, fornisce consulenza costante al Dirigente Scolastico e al personale docente;
  • verificando che la normativa vigente e la documentazione privacy adottata dal Titolare siano correttamente attuate e applicate. Si tratta, quindi di un vero supporto al Dirigente Scolastico in merito al monitoraggio della normativa, anche mediante la fornitura di pareri e di consulenza;
  • fungendo da punto di contatto con l’Autorità Garante per la protezione dei dati personali e con gli interessati, mantenendo un dialogo aperto con il personale docente e le famiglie degli studenti.

Le fasi di processo per una corretta governance

Per evidenziare le fasi idonee a preservare la privacy nella Didattica a Distanza è possibile suddividere

  1. quelle che tendono a descrivere il processo di ingaggio del fornitore da parte del Titolare del trattamento rispetto a
  2. quelle che descrivono il processo di monitoraggio da parte del Titolare del trattamento.

Per quanto attiene le prime si può utilizzare uno schema sinottico come quello qui di seguito riportato.

Tabella 3 – Processo di ingaggio del fornitore da parte del Titolare del trattamento
Fasi del processo di ingaggio del fornitore da parte del Titolare del trattamento
  • Valutazione delle garanzie offerte sul piano della protezione dei dati personali.
  • Valutazione dell’ammissibilità di operazioni ulteriori rispetto alla fornitura dei servizi richiesti ai fini della didattica online, preordinate al perseguimento di finalità proprie del fornitore.
  • Predisposizione di nomina ex art. 28 a Responsabile del trattamento.
  • Integrazione del contratto di fornitura stipulato per il Registro elettronico, se disponibile, ovveropredisposizione di un nuovo contratto/addendum contrattuale.
  • Eventuale Valutazioni di Impatto Privacy.
  • In caso di ricorso a nuove soluzioni tecnologiche particolarmente invasive (es. dati di geolocalizzazione, social login, dati biometrici, etc).
  • Definizione di ulteriori istruzioni specifiche per il fornitore non previste nell’Atto di nomina.
  • Conservazione dei dati, cancellazione dei dati non più necessari al temine del progetto didattico, procedure di gestione di eventuali violazioni di dati personali, etc.

Per quanto riguarda le seconde fasi si può utilizzare lo schema sinottico qui di seguito riportato

Tabella 4 – Processo di monitoraggio del fornitore da parte del Titolare del trattamento
Fasi del processo di monitoraggio del fornitore

da parte del Titolare del trattamento

Predisposizione dell’informativa al trattamento dei dati personali.

Necessità di particolare trasparenza informativa in caso di trattamento dati di minori.

Attività di vigilanza effettuata dall’istituzione scolastica.

In base alle specifiche previsioni del contratto stipulato con il fornitore dei servizi designato Responsabile del trattamento.

Gestione di eventuali violazioni di dati personali.

I cosiddetti Data breach, ad esempio attraverso il caricamento di documenti non consoni, o attività di zoomboming[12], devono essere sempre gestiti.

Monitoraggio del corretto trattamento dei dati personali dei docenti funzionali allo svolgimento della DAD.

Verifica dei presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo.

Attività di sensibilizzazione per la consapevolezza nell’utilizzo di strumenti tecnologici.

Iniziative rivolte a docenti, genitori e studenti, atte a garantire la massima consapevolezza nell’utilizzo di strumenti tecnologici.

Le prime indicazioni fornite dal Garante durante l’esplosione della pandemia

Per completare l’esame delle indicazioni, è utile passare in rassegna le indicazioni precedenti.

Il Garante nel mese di marzo 2020 decise di inviare una nota ufficiale ai ministri dell’Istruzione, dell’Università e della ricerca ed a quello per le pari opportunità e la famiglia in tema di didattica a distanza riportando un provvedimento[6] denominato “Didattica a distanza: prime indicazioni”.

Come anticipato in questo documento si spiegava che “le straordinarie potenzialità del digitale – rivelatesi soprattutto in questo frangente indispensabili per consentire l’esercizio di diritti e libertà con modalità e forme nuove – non devono indurci a sottovalutare anche i rischi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento”.

Da qui l’esigenza di assicurare al mondo della scuola e dell’università un supporto utile alla gestione della didattica on line. Nel provvedimento del 26 marzo si decise di sottolineare l’importanza di prendere in considerazione quanto già disposto dal Regolamento Generale per la Protezione dei Dati Personali[7] e dal nostro Codice. Bisognava tenere conto della necessità di assicurare – con urgenza, in ragione dell’improvvisa sospensione dell’attività didattica in presenza, con rilevanti sforzi per superare le notevoli difficoltà derivanti dall’assenza di adeguati mezzi e risorse – il diritto fondamentale all’istruzione, attraverso modalità di apprendimento a distanza. In particolare, in seguito alle misure intraprese dal Presidente del Consiglio che sospendeva le attività tradizionali per evitare la diffusione del virus la lettera ricordava anche la necessità che era stata richiamata dagli articoli 101, 120 e 121 del decreto legge del 17 marzo 2020 n. 18[8] che contenevano misure urgenti per garantire la continuità formativa e la didattica. Allo stesso modo richiamava le note del Ministero dell’Istruzione del 6 marzo 2020, prot. n. 278, e dell’8 marzo 2020, prot. n. 279, con le quali erano state fornite istruzioni operative alle istituzioni scolastiche sull’attivazione e sul potenziamento di modalità di apprendimento a distanza, ottimizzando le risorse didattiche del registro elettronico e utilizzando classi virtuali, ovvero altri strumenti e canali digitali, per favorire la produzione e la condivisione di contenuti[9].

Le finalità perseguite dal Garante

A nostro parere il Garante voleva raggiungere i seguenti scopi:

  • soddisfare quanto riportato nella Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di Covid-19, adottata dal Comitato europeo per la protezione dei dati (EDPB) in data 19 marzo 2020 (doc. web n. 9295504)[10];
  • dare risposta alle segnalazioni e i quesiti pervenuti al Garante da parte di responsabili della protezione dei dati di istituti scolastici, associazioni, docenti e famiglie in ordine alle modalità di trattamento dei dati personali effettuato nel predetto contesto emergenziale e agli adempimenti necessari a rispettare il Regolamento e il Codice;
  • promuovere una maggiore consapevolezza delle scelte da effettuare da parte degli erogatori dei contenuti e delle competenze (scuole, università, etc.) e favorire la più ampia comprensione riguardo alle norme, alle garanzie e ai diritti che, anche nel contesto dell’emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati;
  • promuovere una migliore consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, con particolare attenzione alle attività destinate specificamente ai minori, nonché agli obblighi imposti ai titolari e i responsabili del trattamento;

A tale scopo, il Garante nella lettera ai Ministri, alla luce delle prime indicazioni, spiegò anche che:

  • superata la prima fase emergenziale in cui sono state avviate d’urgenza iniziative di didattica a distanza, le scuole e le università avrebbero potuto gradualmente valutare di adottare ulteriori misure per rafforzare la piena conformità alle norme in essere
  • si riservava il diritto di avviare verifiche sui fornitori delle principali piattaforme per la didattica a distanza per assicurare il rispetto del Regolamento e del Codice in relazione ai trattamenti effettuati per conto delle scuole e delle università.

Le prime indicazioni: una possibile sintesi

Volendo rappresentare in forma sintetica le prime indicazioni, il Garante a marzo riportò i seguenti punti.

Temi da tenere in considerazione nelle attività di didattica a distanza
Base giuridica del trattamento dei datiNon c’è alcun bisogno di consenso. Infatti, le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.
Scelta e configurazione degli strumenti da utilizzare per soddisfare i requisiti di Privacy by design e Privacy by defaultLe scuole e le università devono orientarsi verso strumenti che abbiano fin dalla progettazione (nel GDPR questo è il cosiddetto principio di privacy by design) e per impostazioni predefinite misure a protezione dei dati (principio di Privacy by default). Non è necessaria la valutazione di impatto (Impact assessment), prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.
Ruolo dei fornitori dei servizi on line e delle piattaformeSe la piattaforma prescelta comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore (quale responsabile del trattamento) deve essere regolato con contratto o altro atto giuridico (art. 28 del Regolamento). In questa possibile occorrenza, ad esempio, ricade il caso del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento. Le eventuali, ulteriori attività di didattica a distanza, talora fornite da alcuni registri elettronici, possono essere in alcuni casi già disciplinate nello stesso contratto di fornitura stipulato. Nel caso, invece, in cui si ritenga necessario ricorrere a piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, si sarebbero dovuti attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad esempio, geolocalizzazione e social login). Le istituzioni scolastiche e universitarie sono sempre tenute ad assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza.
Limitazione delle finalità del trattamentoIl trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università deve limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore. I gestori delle piattaforme non possono/non devono condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica. Ai dati personali dei minori, inoltre, va garantita una specifica protezione poiché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Tale specifica protezione deve, in particolare, riguardare l’utilizzo dei loro dati a fini di marketing o di profilazione.
Liceità, correttezza e trasparenza del trattamentoLe istituzioni scolastiche e universitarie si devono impegnare ad informare gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, riguardo, in particolare, alle caratteristiche essenziali del trattamento che viene effettuato. Relativamente ai docenti, scuole e università, nel rispetto della disciplina sui controlli a distanza, dovranno trattare solo i dati strettamente necessari e comunque senza effettuare indagini sulla sfera privata.

Scuola: Privacy, pubblicazione voti online è invasiva Ammissione non sull’albo ma in piattaforme che evitino rischi

In relazione alla questione della pubblicazione degli scrutini on line, l’Autorità garante per la protezione dei dati personali sentita dall’ANSA, chiarisce che a ”differenza delle tradizionali forme di pubblicità degli scrutini – che oltre ad avere una base normativa consentono la tutela dei dati personali dei ragazzi – la pubblicazione online dei voti costituisce una forma di diffusione di dati particolarmente invasiva, e non coerente con la più recente normativa sulla privacy”. Per questo sostanzialmente il Garante è d’accordo, con la linea del Miur di indicare l’ammissione degli studenti soltanto sul registro elettronico.

”Su questo punto – spiega il Garante – in un’ottica di collaborazione tra istituzioni, ci sono state nei giorni scorsi interlocuzioni con il Ministero della pubblica istruzione, che sono alla base della nota del 9 giugno dello stesso Ministero.

Una volta esposti, infatti, i voti rischiano di rimanere in rete per un tempo indefinito e possono essere, da chiunque, anche estraneo all’ambito scolastico, e per qualsiasi fine, registrati, utilizzati, incrociati con altri dati presenti sul web, determinando in questo modo una ingiustificata violazione del diritto alla riservatezza degli studenti, che sono in gran parte minori, con possibili ripercussioni anche sullo sviluppo della loro personalità, in particolare per quelli di loro che abbiano ricevuto giudizi negativi.

La necessaria pubblicità agli esiti scolastici – conclude il Garante – può essere peraltro realizzata, senza violare la privacy degli studenti, prevedendo la pubblicazione degli scrutini non sull’albo on line, ma, utilizzando altre piattaforme che evitino i rischi sopra evidenziati”.

Conclusioni

Terminiamo questa breve disamina sottolineando ancora una volta l’attenzione preminente che si deve avere verso la scelta della piattaforma, come si evidenzia nel seguente elenco, in cui si propongono i seguenti interrogativi

  • Quali sono le finalità di trattamento che sono dichiarate in forma esplicita e chiara?
  • Ci sono finalità ulteriori rispetto alla didattica a distanza?
  • Quali sono le misure di sicurezza tecniche e organizzative che offre il fornitore?
  • Gli strumenti per la didattica a distanza sono conformi ai requisiti richiesti per la tutela della riservatezza fin dalla progettazione (requisito di privacy by design) con minimizzazione dei dati personali da trattare?
  • Sono coinvolti soggetti terzi nel trattamento dei dati personali?
  • Inoltre, i dati sono trasferiti a terzi?
  • In caso di risposta positiva quale ruolo svolgono?
  • Sono presenti vademecum esplicativi per le istituzioni scolastiche in merito all’utilizzo privacy compliant (ovvero con piena conformità alla tutela della riservatezza) degli strumenti per la realizzazione della didattica a distanza?
  • Sono trattati dati di geolocalizzazione, oppure dati biometrici?
  • Sono presenti sistemi di social login?

Allo stesso modo si suggerisce di prendere in considerazione le raccomandazioni e gli altri contenuti (provvedimenti, normativa, linee guida, FAQ, etc.) che appaiono sovente sul sito del Garante. A mero titolo di esempio si cita una di queste, nel riquadro riportato in seguito.

Come si intuisce la protezione e tutela è sempre rivolta verso i dati personali dei discenti, ma vorrei che si prendessero in considerazione anche altri interrogativi, che spero in futuro voglia affrontare la stessa Autorità. Ad esempio, bisognerebbe chiedersi come proteggere e tutelare anche i dati personali degli altri attori che intervengono nel processo:

  • chi e come si garantisce la tutela dei dati personali dei docenti?
  • E dei genitori o altri familiari o amici del discente in caso di quarantena forzata per avere avuto relazioni con soggetti affetti da virus? Ovvero cosa accade se il discente non può partecipare alla didattica integrata o a distanza per cause a lui non imputabili che finirebbe con informare anche terzi che i soggetti a lui vicini sono risultati affetti da coronavirus?

Questi ed altri interrogativi meritano un ulteriore approfondimento da affrontare in futuro.

NOTE

Il presente lavoro prende le mosse dal confronto che ho avuto negli ultimi venti anni con vari professionisti sulle modalità di protezione dei dati personali in settori diversi, come quelli della ricerca scientifica e della formazione[13], dello sport[14] e della salute[15], per esplicitare al meglio le peculiarità ed esigenze emerse nel settore educativo e formativo con l’avvento delle nuove soluzioni digitali.

  1. Il Ministero per l’Istruzione, Università e Ricerca (MIUR) ha pubblicato sul proprio sito e diffuso nell’agosto del 2020 Le linee Guida per la DDI nel quale si evidenziava la necessità di censire la strumentazione (ad es. computer, tablet, etc.) e linee di connessione esistenti, ed allo stesso tempo l’esigenza di comprendere lo status di conoscenza e comprensione di questa nuova modalità del produttore (autore) ed erogatore dei contenuti (volgarmente definito come il docente)
  2. Fin dall’inizio della diffusione della pandemia e la sospensione delle attività tradizionali il MIUR riportò la necessità di rivolgere un’attenzione particolare al dialogo tra erogatori dei contenuti e delle competenze e le famiglie dei discenti
  3. Vi erano infatti molteplici luoghi in cui sarebbe stato difficile mantenere il distanziamento sociale (non solo le aule scolastiche ma anche i mezzi pubblici per arrivare a scuola, i cortili, i percorsi di entrata scolastica, i corridoi, le palestre, le mense, etc,).
  4. Pur riconoscendo le straordinarie potenzialità del digitale il Garante osservò che molte delle piattaforme suscettibili di utilizzo a fini didattici funzionano come veri e propri social network che necessitano, come tali, di una sia pur minima cognizione delle loro regole di utilizzo (ad esempio accettazione dei cosiddetti cookies) e delle implicazioni di ciascun “click”, anche tra l’altro sui diritti della personalità di terzi. Considerando che, spesso, per i minori che accedono a tali piattaforme si tratta delle prime esperienze (se non addirittura della prima) di utilizzo di simili spazi virtuali, è evidente come anche quest’attività vada svolta con la dovuta consapevolezza, anche sulla base delle indicazioni fornite a livello centrale. La corretta gestione dei dati personali di tutti i soggetti coinvolti, a vario titolo, nell’attività didattica a distanza rappresenta, in questo senso, il presupposto quantomai indispensabile per rendere il digitale una risorsa straordinaria per la promozione dei diritti (quello allo studio, in particolare), al riparo da rischi di abusi o violazioni.
  5. Secondo il MIUR “per le situazioni di fragilità, a qualsiasi tipologia esse siano riconducibili, è opportuno che le istituzioni scolastiche operino periodici monitoraggi al fine di poter attivare, in caso di necessità, tutte le azioni necessarie volte a garantire l’effettiva fruizione delle attività didattiche, in particolar modo per gli studenti con cittadinanza non italiana neo arrivati in Italia, anche con il supporto delle agenzie del territorio, per non trasformare le differenze linguistiche, socio-economico-culturali elementi di aggravio del divario di opportunità tra studenti”.
  6. Iscritto al registro con il nr 64 del 26 marzo 2020
  7. Noto nella sua versione inglese come General Data Protection Regulation, o con l’acronimo GDPR
  8. Denominato “Misure di potenziamento del Servizio sanitario nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all’emergenza epidemiologica da COVID-19”
  9. In particolare si evidenzio che sarebbe stato possibile effettuare un collegamento diretto o indiretto, immediato o differito, attraverso videoconferenze, videolezioni, chat di gruppo; la trasmissione ragionata di materiali didattici, attraverso il caricamento degli stessi su piattaforme digitali e l’impiego dei registri di classe in tutte le loro funzioni di comunicazione e di supporto alla didattica, con successiva rielaborazione e discussione operata direttamente o indirettamente con il docente, l’interazione su sistemi e app interattive educative propriamente digitali.
  10. Riportato anche sul sito del Garante come doc.web. Nr 9295504 pubblicato e reperibile qui https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9295504);
  11. Si vedano le Linee guida sulla Didattica digitale integrata pubblicate mediante Decreto del Ministro dell’Istruzione n. 89 del 7 agosto 2020
  12. Bisogna sempre dichiarare e formalizzare le responsabilità dell’stituzione scolastica e dell’eventuale fornitore al dine di chiarire eventuali inadempienze contrattuali in caso di fenomeni di questo tipo, ad esempio prchè consentono attività di condivisione dello schermo oppure altre intese a “dirottare” le riunioni, per interrompere le sessioni educative e postare messaggi razzisti a un webinar sull’antisemitismo, per condividere contenuti violenti e pornografici, per escludere i partecipanti di una call in modo improvviso e violento, per postare online intere lezioni, etc.
  13. A supporto delle mie competenze ed esperienze si noti che sono stato COO di Opera Multimedia, una delle prime e-learning company create in Italia dall’ex Ministro Corrado Passera e da Umberto Eco, noto sociologo. Inoltre, sono stato Direttore scientifico dell’Osservatorio sul Business @ Risk presso Università Cattolica. In passato ho svolto anche diversi ruoli apicali presso soggetti istituzionali ed organizzazioni di varie dimensioni. Infine, sono stato autore di un centinaio di pubblicazioni e presentazioni con Ministri, Amministratori delegati e direttori generali che hanno preso parte alle tavole rotonde organizzate su temi innovativi. Per un profilo dettagliato si veda https://www.linkedin.com/in/pasqualetarallo
  14. Si veda F. De Stefani ed A. Ortenzi (2020) – Sport e GDPR online e offline. Web, social, regole, comportamenti e istruzioni per atleti e società.
  15. Si veda P. Tarallo (2017) – La tutela dei dati nel settore salute. Nuovi standard sulla sicurezza informatica e regolamento per la protezione dei dati personali: i modelli adottabili e le testimonianze degli addetti ai lavori

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Antiriciclaggio, l'impatto del pacchetto legislativo UE: i dati Alavie