Allo scopo di fornire a scuole, atenei, studenti e famiglie delle indicazioni utili per un uso consapevole e positivo delle nuove tecnologie a fini didattici, il Garante per la privacy, il presidente Antonello Soro, ha approvato uno specifico atto di indirizzo che individua le implicazioni più importanti dell’attività formativa a distanza sul diritto alla protezione dei dati personali. Nella lettera inviata al Ministro dell’Istruzione, al Ministro dell’Università e della ricerca e al Ministro per le pari opportunità e la famiglia per illustrare gli obiettivi del provvedimento, ha ricordato che “il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie, nonché alle famiglie stesse, l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo alle innumerevoli risorse offerte dalle nuove tecnologie. È una soluzione estremamente importante per garantire la continuità didattica”. È stato sottolineato la potenzialità del digitale che purtroppo non è scevro da rischi che possano derivare da un suo uso scorretto.
“Considerando che, spesso, per i minori che accedono a tali piattaforme si tratta delle prime esperienze (se non addirittura della prima) di utilizzo di simili spazi virtuali, è evidente come anche quest’attività vada svolta con la dovuta consapevolezza, anche sulla base delle indicazioni fornite a livello centrale”.
Queste sono in sintesi le prime “istruzioni per l’uso” indicate del Garante:
Nessun bisogno di consenso
Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.
Scelta e regolamentazione degli strumenti di didattica a distanza
Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza scuole e università dovranno orientarsi verso strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati. Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.
Ruolo dei fornitori dei servizi on line e delle piattaforme
Se la piattaforma prescelta comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico. È il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola. Nel caso, invece, in cui si ritenga necessario ricorrere a piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, si dovranno attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad esempio, geolocalizzazione e social login).
Le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza.
L’Autorità vigilerà sull’operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie.
Limitazione delle finalità del trattamento dei dati
Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.
I gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica.
Ai dati personali dei minori, inoltre, va garantita una specifica protezione poiché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Tale specifica protezione deve, in particolare, riguardare l’utilizzo dei loro dati a fini di marketing o di profilazione.
Correttezza e trasparenza nell’uso dati
Per garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono informare gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, riguardo, in particolare, alle caratteristiche essenziali del trattamento che viene effettuato. Relativamente ai docenti, scuole e università, nel rispetto della disciplina sui controlli a distanza, dovranno trattare solo i dati strettamente necessari e comunque senza effettuare indagini sulla sfera privata.
Quanto precisato dal Presidente Soro in questo primo documento, mette chiarezza sui molti dubbi che hanno percorso le menti dei docenti in questa fase della DAD, soprattutto perché ci si trova dinanzi ad una platea di studenti per lo più minorenni e l’attenzione a non violare la loro privacy è stata una priorità.
Didattica a distanza: Fondi stanziati spreco di denaro pubblico. Serve piattaforma unica e condivisa