In vista della ripresa dell’anno scolastico post Covid-19, gli Istituti scolastici hanno riorganizzato i propri mezzi per poter assicurare la didattica in sicurezza per la salute dei docenti e discenti, nel caso di didattica in presenza, e per la tutela della privacy degli stessi, in caso di didattica a distanza.
A tal fine, è stata pubblicata sul sito del MIUR la graduatoria degli istituti destinatari dei finanziamenti dell’Avviso per la realizzazione di smart class nel secondo ciclo: classi dotate di strumenti e dispositivi digitali, nonché software e licenze per piattaforme di e-learning che consentano di creare spazi digitali in vista della ripresa dell’anno scolastico.
Le nuove metodologie di apprendimento, sperimentate a casa o in aula, non possono prescindere dalla tematica relativa alla protezione dei dati personali di studenti – spesso anche minorenni – e docenti. Inoltre, per questi ultimi, nella doppia veste di interessati e lavoratori, i quesiti privacy si intrecciano fortemente con quelli di natura giuslavoristica.
La Didattica digitale integrata nel Piano Scuola 2020/21
Qualora dovessero configurarsi nuove situazioni emergenziali dovute al peggioramento dell’andamento epidemiologico, potrebbe essere disposta nuovamente la sospensione della didattica in presenza e la ripresa dell’attività a distanza, attraverso la modalità di Didattica Digitale Integrata.
A tal fine, il Documento per la pianificazione delle attività scolastiche, educative e formative in tutte le Istituzioni del Sistema nazionale di Istruzione per l’anno scolastico 2020/2021 (Piano Scuola 2020/21) prevede istruzioni in merito allo svolgimento dell’attività lavorativa a distanza. In particolare, è prevista la formazione del personale ATA e docente, anch’essa a distanza mediante webinar, in materia di didattica digitale e valutazione “a distanza”, includendo anche i temi correlati all’utilizzo delle soluzioni innovative digitali e della salute e sicurezza sul lavoro.
Inoltre, per i Dirigenti scolastici dovranno essere organizzati specifici momenti formativi sulla protezione dei dati personali e la sicurezza nella Didattica Digitale Integrata, oltre alla gestione a distanza dello stato emergenziale, delle riunioni e degli scrutini. Anche le attività di partecipazione studentesca, ove ciò sia reso necessario, dovranno essere svolte a distanza. Ciò comporta l’adozione di adeguata strumentazione informatica che garantisca la tutela della privacy degli studenti.
In considerazione di tali esigenze, il Ministero dell’Istruzione ha avviato uno studio in merito alla progettazione di una piattaforma finalizzata all’erogazione di contenuti didattici a distanza, per la quale si rimane in attesa di informazioni di dettaglio.
Ad ogni scuola spetta il compito di integrare il Piano triennale dell’offerta formativa con il Piano scolastico per la Didattica Digitale Integrata, con il quale dovranno essere individuate le modalità per riprogettare l’attività didattica, ivi inclusa la gestione della privacy.
Inoltre, con la nota del 3 settembre il MIUR ha analizzato i principali aspetti della disciplina in materia di protezione dei dati personali nella Didattica Digitale Integrata, fornendo specifiche indicazioni ai Dirigenti scolastici sulla base di quanto previsto dal Regolamento Europeo 2016/679 (Gdpr). L’allegato tecnico è stato predisposto da un Gruppo di lavoro congiunto tra MIUR e l’Ufficio del Garante per la protezione dei dati personali.
Come effettuare la scelta del fornitore della piattaforma DaD conforme alla normativa Privacy
Alla luce degli interventi presi dal Governo, i Dirigenti Scolastici si sono interrogati sulle modalità per poter gestire il rientro a scuola e le tematiche privacy correlate.
Secondo quanto emerso dal webinar “Didattica a distanza e tutela della privacy”, promosso da Fondazione Agnelli, EY e INDIRE, con la partecipazione dell’Ufficio del Garante per la protezione dei dati personali, le implicazioni derivanti dall’uso delle piattaforme educative e dei prodotti digitali per la scuola hanno sollevato la preoccupazione di personale scolastico e famiglie in termini di tutela della privacy.
Nonostante la pubblicazione di Linee Guida ad opera del MIUR e dell’Autorità Garante per la protezione dei dati personali, è bene ricordare che il Regolamento Europeo 2016/679 pone l’accento sulla “responsabilizzazione” (accountability) del titolare del trattamento, il quale deve essere in grado di dimostrare di aver adottato comportamenti proattivi e misure di sicurezza atte ad assicurare l’applicazione del Regolamento stesso. Ne deriva che l’Istituto scolastico, in qualità di titolare del trattamento nella persona del Dirigente Scolastico, è chiamato a decidere autonomamente le modalità di trattamento dei dati nel rispetto della normativa vigente in materia.
Senz’altro, la pubblicazione di ulteriori Linee Guida a livello nazionale potrebbe facilitare questo compito, senza dimenticare che la responsabilità ultima di un trattamento di dati personali non conforme alla normativa ricadrebbe comunque sull’Istituzione Scolastica Titolare del trattamento.
Pertanto, in considerazione delle attuali modalità di ripresa della didattica di settembre, i Dirigenti Scolastici sono chiamati a scegliere fornitori di piattaforme di e-learning e Didattica a Distanza ricorrendo unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate alla tutela dei diritti dell’interessato.
Ove siano utilizzate piattaforme non conformi, il rischio derivante dal trattamento illecito dei dati personali ovvero dalla lesione dei diritti e delle libertà degli interessati ricade unicamente sull’Istituzione Scolastica. Il momento della scelta della piattaforma più idonea per la Didattica a distanza rimane molto delicato: il Dirigente Scolastico dovrà valutare autonomamente la conformità della piattaforma alla vigente normativa privacy, eventualmente supportato in questo compito dal Responsabile per la Protezione dei Dati (Data Protection Officer).
Per far ciò, il Dirigente Scolastico dovrà seguire un processo di ingaggio del fornitore che non può prescindere dalle dovute verifiche in materia di protezione dei dati personali:
- valutazione delle garanzie offerte sul piano della protezione dei dati personali con esame dell’ammissibilità di operazioni ulteriori rispetto alla fornitura dei servizi richiesti ai fini della didattica online, preordinate al perseguimento di finalità proprie del fornitore;
- contrattualizzazione del fornitore come “Responsabile del trattamento” ex articolo 28 del GDPR;
- in caso di ricorso a nuove soluzioni tecnologiche particolarmente invasive (es. dati di geolocalizzazione, social login, dati biometrici), predisposizione di una Valutazione di Impatto Privacy (DPIA);
- definizione di ulteriori istruzioni specifiche per il fornitore non previste nel contratto.
