Didattica online avanti tutta, ma sarebbe errore fatale dimenticarsi della privacy. Necessario quindi ricordare quali sono gli adempimenti che devono porsi in essere per poter garantire l’osservanza della normativa relativa alla protezione dei dati personali anche in questo contesto di emergenza; nel quale la sospensione delle attività didattiche, disposta dal D.P.CM. dell’8 marzo 2020 in seguito allo scoppio dell’emergenza epidemiologica Covid-19, ha obbligato le scuole e le università a far ricorso alla didattica online, modificando le normali modalità di insegnamento e di conseguenza anche le relazioni tra docenti e discenti.
L’informativa privacy
Il punto è che le nuove modalità con le quali vengono esercitate le attività didattiche, tramite l’utilizzo di piattaforme online e senza più un rapporto diretto tra professore e studente, incidono obbligatoriamente anche sul trattamento dei dati personali degli interessati (docenti, alunni, genitori).
Tra i primi adempimenti che incombono sulle scuole e le università, quali titolari del trattamento, vi è certamente l’aggiornamento dell‘Informativa Privacy. L’informativa fornita ai sensi dell’art. 13 GDPR dovrà certamente indicare, tra le nuove finalità del trattamento quella, appunto, dell’esecuzione dell’attività didattica in modalità on line, evitando qualsiasi forma di profilazione, di diffusione e comunicazione dei dati personali raccolti a tal fine nonché garantire che quest’ultimi siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati.
Al fine di garantire il rispetto dei principi di liceità, correttezza e trasparenza del trattamento previsti dall’ articolo 5 del GDPR, le scuole e le università dovranno informare i data subject (interessati), con un linguaggio semplice e chiaro, anche ai minori, in merito alle caratteristiche essenziali del trattamento dati che verrà eseguito tramite l’attività didattica a distanza.
Come ribadito nella nota del MIUR n. 388 del 17 marzo 2020 e dal Garante privacy con il provvedimento del 26 marzo 2020, entrambi concernenti la didattica a distanza, per tale tipologia di trattamento non occorrerà il consenso degli interessati, essendo tale trattamento necessario ai sensi dell’art. 6, par.1, lett. f GDPR per l’esecuzione di un compito di interesse pubblico di cui è investito il titolare del trattamento.
Diverso sarà il caso se le scuole, le università o gli stessi studenti, volessero registrare le lezioni impartite con la modalità on line. Ebbene, qui occorrerà fare dei distinguo. Difatti, qualora, a titolo di esempio, gli istituti scolastici volessero registrare il contenuto delle lezioni, sia con l’intervento dei professori che dei rispettivi alunni, per poi utilizzare le stesse per ulteriori finalità quale può essere la diffusione a soggetti terzi, in tal caso si renderà necessario il consenso di tutti gli interessati.
Diversamente, qualora il trattamento avvenisse ai sensi dell’art. 2, par. 2, lett. c) del Regolamento (UE) 2016/679, ovverosia un trattamento di dati personali effettuato da una persona fisica “per l’esercizio di attività a carattere esclusivamente personale o domestico”, come nel caso in cui fosse lo studente a registrare la lezione del professore, non si renderà necessario raccogliere, preventivamente, il consenso di tutti gli interessati poiché, tale ipotesi, non ricade nell’ambito di applicazione materiale del GDPR. Sul punto, è intervenuto anche il Garante privacy con le FAQ Scuola e Privacy del dicembre 2019 ribadendo che “è lecito registrare la lezione per scopi personali, ad esempio per motivi di studio individuale, compatibilmente con le specifiche disposizioni scolastiche al riguardo. Per ogni altro utilizzo o eventuale diffusione, anche su Internet, è necessario prima informare le persone coinvolte nella registrazione (professori, studenti…) e ottenere il loro consenso”.
Formazione e istruzioni
Fondamentale sarà anche prevedere delle sessioni di formazione per i professori, così da evitare che gli stessi si trovino impreparati ad affrontare le nuove modalità on line di insegnamento.
Ciò si renderà necessario anche in virtù delle nuove modalità di trattamento dei dati personali che, seppure con strumenti on line, deve avvenire sempre nel rispetto della riservatezza e della dignità degli interessati.
Per tale ragione le istituzioni scolastiche e universitarie, con l’ausilio del DPO designato e dell’Animatore Digitale, dovranno assicurarsi che i docenti, quali persone autorizzate al trattamento dei dati personali ai sensi dell’art. 29 GDPR, ricevano un’adeguata formazione. Ed ancora, i docenti avendo accesso ai dati personali degli studenti, ed ove occorresse anche a quelli dei genitori, devono ricevere dal titolare del trattamento (scuola o università) puntuali e adeguate istruzioni sulle modalità di trattamento della didattica online.
A tal proposito, potrebbe essere utile per le scuole e le università predisporre un apposito regolamento relativo alle modalità operative della didattica on line. Tale strumento dovrebbe indicare ai docenti passo dopo passo i vari passaggi operativi per l’utilizzo delle piattaforme online che la scuola fornisce per l’esercizio dell’attività didattica, nonché la corretta gestione dei dati personali nel rispetto della normativa privacy.
Da non dimenticare che tra gli interessati vi sono anche soggetti minori, alcuni dei quali appartenenti alle scuole primarie e pertanto soggetti più deboli rispetto ad altri, di conseguenza l’utilizzo della didattica on line, soprattutto per questi ultimi, dovrebbe essere sempre preceduta da una alfabetizzazione informatica dello studente, magari con l’ausilio dei genitori, così da tutelare la riservatezza e la dignità del minore e limitare i rischi di un utilizzo scorretto degli strumenti informatici e delle piattaforme on line utilizzate.
Sul punto, occorre ricordare che lo stesso considerando 38 del Regolamento, con riferimento ai dati personali dei minori, afferma che “meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.
Misure di sicurezza
Lo stato emergenziale attuale ha imposto la creazione delle cosiddette “classi virtuali” tramite collegamento immediato o differito, attraverso videoconferenze, video lezioni, chat di gruppo, nonché l’invio dei materiali didattici, attraverso il caricamento degli stessi su piattaforme digitali.
Una scelta oculata delle soluzioni tecnologiche utilizzate per garantire la didattica a distanza e di vitale importanza, trattandosi, nel caso di specie, di trattamento di dati personali relativi a soggetti in condizioni peculiari quali i minorenni e i lavoratori. Tale scelta dovrà ricadere su soluzioni non particolarmente invasive per i diritti e le libertà degli interessati, evitando trattamenti che comportino maggiori rischi, quali, ad esempio, la profilazione e il monitoraggio degli interessati. In ragione di ciò quale che sia lo strumento utilizzato per la didattica a distanza, sarà in ogni caso necessario che il servizio erogato sia esclusivamente dedicato alla didattica, ma soprattutto che garantisca delle misure di sicurezza adeguate, in modo da minimizzare i dati personali trattati, sia nella fase di attivazione del servizio, sia durante l’utilizzo degli stessi da parte dei discenti e del docente.
La scelta potrebbe ricadere sullo stesso fornitore del registro elettronico – previsto dal decreto-legge n. 95 del 6 Luglio 2012 – qualora questo permetta lo svolgimento di videolezioni tra docenti e studenti. Va da sé che, qualora si dovesse puntare su questa opzione, dovrà essere aggiornato il contratto o l’altro atto giuridico relativo al responsabile trattamento ex articolo 28 del GDPR, indicando tra le nuove finalità del trattamento quella, appunto, dell’esecuzione delle attività didattica in modalità on line.
Se diversamente la scelta dovesse ricadere su altri fornitori sarà opportuno utilizzare servizi on line o piattaforme che forniscano garanzie adeguate ed alti standard di sicurezza. Si rammenta che i fornitori delle piattaforme, quali responsabili del trattamento stesso, devono limitarsi a quanto strettamente necessario per la fornitura dei servizi richiesti ai fini della didattica on line, senza l’effettuazione di operazioni ulteriori.
Come ribadito anche dall’Autorità Garante della protezione dei dati personali sarebbe nondimeno inammissibile, nonché in palese violazione dell’articolo 7 del Regolamento, la condotta dei gestori dei servizi on line volta a condizionare la fruizione delle piattaforme per la didattica a distanza alla sottoscrizione – da parte dello studente o dei genitori – del consenso al trattamento dei dati per ulteriori finalità (es. profilazione o marketing) non necessarie all’attività didattica.
Quale che sia la scelta dello strumento tecnologico utilizzato, spetterà in ogni caso alle scuole e alle università, nella loro veste di titolari del trattamento, conformarsi ai principi di privacy by design e by default previsti dall’art. 25 del Regolamento, mettendo in atto misure tecniche ed organizzative adeguate, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati.
Conclusioni
Le istituzioni scolastiche e universitarie, pur continuando nell’esercizio della loro funzione pubblica, dovranno, pertanto, vigilare sull’operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina della protezione dei dati personali.
Le nuove sfide che le scuole e le università si trovano ad affrontare potrebbero essere un’opportunità per portare avanti iniziative di sensibilizzazione, rivolte a docenti, famiglie e ragazzi, sulla consapevolezza nell’utilizzo di strumenti tecnologici e per la creazione, anche nel nostro paese, di una nuova cultura sociale in merito alla protezione dati.
