L’emergenza sanitaria causata dal Covid-19 e il distanziamento sociale che ne è conseguito hanno imposto di ripensare alle modalità con cui vengono resi molti dei servizi essenziali che richiedono un contatto diretto tra persone fisiche.
Di seguito verranno esposte alcune riflessioni sui servizi resi dagli istituti scolastici e dalle università. In particolare, si cercherà di chiarire come possa essere garantito il diritto allo studio, anche attraverso l’utilizzo di piattaforme digitali che permettano di tenere le lezioni e sostenere esami a distanza e online, nel rispetto della privacy e dei diritti degli studenti.
È apparso, infatti, essenziale non interrompere il percorso di apprendimento degli studenti nonostante la situazione d’emergenza in modo da garantire la continuità didattica attraverso sistemi che permettano di essere in aula anche senza essere fisicamente presenti.
La presenza virtuale e da remoto, infatti, permette di continuare a dare attuazione al diritto costituzionalmente garantito; resta da capire quali siano le implicazioni privacy sotto questo punto di vista.
Le previsioni normative d’emergenza
Con la sospensione temporanea delle attività didattiche, il sistema scolastico nazionale è stato posto di fronte alla questione del bilanciamento tra le misure restrittive volte ad arginare l’emergenza sanitaria causata dal Covid-19 ed il diritto allo studio, costituzionalmente garantito.
Fin dal primo D.p.c.m., risalente all’8 marzo 2020, i dirigenti scolastici hanno attivato, nel pieno esercizio delle proprie prerogative e per tutta la durata della sospensione delle attività scolastiche, modalità di didattica a distanza.
Il MIUR, con la nota dell’8 marzo, ha chiarito che la didattica a distanza deve garantire, quanto più possibile, la continuità didattica che non consiste nella mera trasmissione di materiali, attraverso per esempio l’indirizzo di posta elettronica, ma si sostanzia in un insieme di attività che vanno “dalla registrazione delle lezioni, all’utilizzo di piattaforme per la didattica a distanza, presso l’istituzione scolastica, presso il domicilio o altre strutture”.
Tutto ciò è stato ulteriormente ribadito anche dall’ultimo D.p.c.m. del 27.4.2020, nonostante sia stato previsto che “nelle università, nelle istituzioni di alta formazione artistica musicale e coreutica e negli enti pubblici di ricerca possono essere svolti esami, tirocini, attività di ricerca e di laboratorio sperimentale e/o didattico ed esercitazioni, ed è altresì consentito l’utilizzo di biblioteche, a condizione che vi sia un’organizzazione degli spazi e del lavoro tale da ridurre al massimo il rischio di prossimità e di aggregazione e che vengano adottate misure organizzative di prevenzione e protezione, contestualizzate al settore della formazione superiore e della ricerca, anche avuto riguardo alle specifiche esigenze delle persone con disabilità, di cui al «Documento tecnico sulla possibile rimodulazione delle misure di contenimento del contagio da SARS-CoV-2 nei luoghi di lavoro e strategie di prevenzione» pubblicato dall’INAIL. Per le finalità di cui al precedente periodo, le università, le istituzioni di alta formazione artistica musicale e coreutica e gli enti pubblici di ricerca assicurano, ai sensi dell’art. 87, comma 1, lettera a), del decreto-legge 17 marzo 2020, n. 18, la presenza del personale necessario allo svolgimento delle suddette attività” (cfr. art. 1 lett n del citato D.p.c.m).
La normativa data protection
La formazione a distanza dovrebbe creare la “classe digitale” garantendo, nel caso in cui si vogliano tenere esami, la sorveglianza del docente sugli studenti durante la prova.
La digitalizzazione delle lezioni e degli esami comporta, oltre allo scambio di informazioni nella forma del materiale didattico messo a disposizione dai docenti ai propri discenti, il trattamento di dati personali la cui tutela richiede l’osservanza e il rispetto del Regolamento UE 2016/679, meglio noto come GDPR, e del Codice Privacy.
Tanto il MIUR, con la nota richiamata, quanto il Garante per la protezione dei dati personali, con il provvedimento del 26 marzo 2020, hanno provveduto ad affrontare le questioni privacy che l’attività didattica a distanza pone, con particolare riguardo ai rischi, per la sicurezza dei dati personali, collegati all’utilizzo di piattaforme on line.
Il primo principio da rispettare è quello previsto dalla privacy by design e default, per il quale il titolare del trattamento è tenuto ad adottare misure tecniche e organizzative adeguate a garantire che siano trattati esclusivamente i dati personali necessari al perseguimento delle finalità del trattamento, per impostazione predefinita. Per il caso che ci occupa, quindi, l’istituto scolastico o l’università, dovrà svolgere una valutazione preventiva del rischio al momento della progettazione delle attività di trattamento, al fine di determinare la probabilità e i rischi per i diritti e le libertà degli interessati. La valutazione dei rischi, chiaramente, non andrà condotta in astratto ma dovrà tenere conto della natura, del contesto e delle finalità del trattamento.
In questo senso, è verosimile ritenere che misure di sicurezza più rigorose dovranno essere approntante nel momento in cui si trattano dati personali di minori, così come è vero che le misure di sicurezza dovranno variare anche in considerazione delle tipologie di dati che si intendono trattare per il tramite delle piattaforme online. Ciò in ragione del fatto che occorre tenere in debito conto tanto la natura dei dati trattati quanto le categorie degli interessati attinti dal trattamento.
In questo senso il Garante, con il provvedimento richiamato, ha avuto modo di chiarire che gli istituti scolastici “dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 del Regolamento).Varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di “classi virtuali”, la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in modo “social” tra docenti, studenti e famiglie. Alcune piattaforme offrono anche molteplici ulteriori servizi, non sempre specificamente rivolti alla didattica. Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento)”.
La base giuridica
Interessanti e meritevoli di particolare attenzione sono le precisazioni che l’Autorità ha avuto modo di fare con riferimento alla base giuridica che legittima il trattamento dei dati in queste circostanze. In effetti, già prima del GDPR, il Garante aveva pubblicato un vademecum per illustrare gli adempimenti privacy nelle scuole chiarendo, in quell’occasione, che il consenso per il trattamento dei dati degli studenti non fosse necessario perché legittimato all’esecuzione di un contratto di cui l’interessato è parte ovvero all’esecuzione di un compito d’interesse pubblico (basi giuridiche oggi corrispondenti all’art. 6 lett. b) ed e) del Regolamento). Tuttavia, con il provvedimento del 26 marzo il Garante chiarisce un punto in più che ha ad oggetto i dati particolari. Le scuole e le università saranno autorizzate a trattare i dati, anche relativi a categorie particolari, di insegnanti, alunni (anche minorenni), genitori perché legittimate dall’art. 9 lett. g) del Regolamento e dagli artt. 2-ter e 2-sexies del Codice Privacy, in assenza dunque di un preventivo consenso.
Probabilmente l’esigenza della precisazione nasce proprio dal fatto che il distanziamento sociale potrebbe importare per la prestazione dei servizi il trattamento di dati non solo comuni: si faccia, per esempio, il caso delle Università che devono garantire ai propri studenti la possibilità di sostenere le prove d’esame calendarizzate per l’anno accademico in corso. La necessità di garantire la validità della prova potrebbe importare l’esigenza di trattare il dato biometrico dello studente.
Invero, ad avviso di chi scrive, alcuni punti rimangono aleatori.
Il primo. Ci si chiede se la possibilità utilizzare l’interesse pubblico rilevante quale base giuridica legittimante il trattamento dei dati particolari varrà sempre oppure sarà limitato al periodo dell’emergenza e se possa esser applicabile anche al trattamento del dato biometrico. Sarebbe interessante, in questo caso, capire cosa si intende per periodo dell’emergenza e se lo stesso termini automaticamente con i futuri provvedimenti governativi ovvero possa intendersi anche come un periodo più lungo che potrebbe portare gli istituti scolastici ad utilizzare gli strumenti implementati nel periodo dell’emergenza anche dopo la stessa, senza apportare alcune modifiche dal punto di vista privacy ai processi strutturati. Del resto, il provvedimento del Garante è stato dettato dall’emergenza Covid-19.
Il secondo. Occorrerebbe chiarire se le valutazioni condotte per tutti i dati particolari genericamente intesi possa valere anche per dati il cui trattamento è particolarmente rischioso e invasivo per i diritti e le libertà degli individui. Si faccia il caso, in questo senso, al dato biometrico che, si badi, in un altro punto dello stesso provvedimento è preso in esame dall’Autorità. È statuito, infatti, che l’utilizzo di tecnologie di ultima generazione che importano il trattamento di categorie di dati particolari, quali il biometrico, non esime il titolare dal condurre una valutazione di impatto.
Potrebbe, quindi, immaginarsi che, anche in un’ottica di accountability, le Università e gli istituti scolastici decidano di utilizzare il consenso quale base giuridica per legittimare il trattamento del dato biometrico, in sostituzione dell’interesse pubblico come base giuridica. Questa circostanza, tuttavia, non dovrà in alcun modo incidere sulle caratteristiche previste dal GDPR per il consenso che dovrà, perciò, essere libero, specifico, informato, esplicito ed inequivocabile.
Ne consegue che se si dovesse decidere di utilizzare una piattaforma che utilizzi il dato biometrico degli alunni per sostenere gli esami al fine di garantire la serietà e il rigore della prova legittimando tale trattamento alla luce del consenso, sarà necessario che l’università o l’istituto scolastico di riferimento assicurino forme alternative per sostenere l’esame per evitare che quel consenso appaia obbligatorio e condizionato e, dunque, non conforme ai requisiti richiesti dalla normativa e dalla giurisprudenza costante.
L’adozione di software è la panacea?
Il MIUR ha creato una pagina web interamente dedicata alla didattica a distanza, per assicurare a tutte le scuole che ne facciano richiesta la possibilità di avere gratuitamente strumenti e mezzi che garantiscano a tutti il diritto allo studio.
Tuttavia, l’emergenza presta il fianco ad attacchi e a soggetti malintenzionati che, facendo leva sull’attuale situazione, inviano e-mail e pec sospette che a volte contengono dei veri e propri malware.
Per tali ragioni, se da un lato l’utilizzo di queste piattaforme è senz’altro utile oltre che consigliato, dall’altro impone l’adozione di ulteriori e più rigide misure di sicurezza, anche atte a limitare errori umani.
Quale strada per trovare il delicato equilibrio
È evidente che trovare un equilibrio tra gli interessi in gioco non è facile perché se, da un lato, è necessario garantire sempre e comunque il diritto allo studio, dall’altro, è anche fondamentale tutelare i diritti di soggetti che, se minori, sono a fortiori da considerare deboli.
Del resto, anche con riferimento al riparto delle responsabilità, sembra opportuna una riflessione.
A mente del Considerando 78 del GDPR “in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati”. Ne consegue che tutte le piattaforme che offrono un servizio per mezzo del quale si trattano dati personali dovrebbero avere già predisposto tutte le misure di sicurezza idonee a fornire tutela per la sicurezza dei dati degli interessati. Tuttavia, tutto ciò non comporta l’automatico adempimento da parte del titolare del trattamento degli obblighi cui lo stesso è destinatario. Infatti, il Garante Privacy ha avuto modo di precisare ancor meglio che, al fine di non rispondere per culpa in vigilando, “le istituzioni scolastiche e universitarie dovranno assicurarsi (anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi designato responsabile del trattamento), che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Saranno, in tal senso, utili specifiche istruzioni, tra l’altro, sulla conservazione dei dati, sulla cancellazione – al temine del progetto didattico – di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali”.
È evidente che, nonostante i tempi stringenti dettati dalla situazione di emergenza, l’unico modo per raggiungere un punto di equilibrio tra gli interessi in gioco è quello di strutturare dei processi che tengano conto dei rischi derivanti dal trattamento dei dati e, nei limiti delle regole dettate da un approccio basato sul rischio, di tutte le variabili allo stesso correlate.
