Il Garante della Privacy ha fornito indicazioni precise per assicurare il corretto utilizzo di strumenti didattici da remoto in questo periodo di emergenza sanitaria nel rispetto della normativa dettata dal GDPR e dal Codice Privacy.
Con il Covid-19 e l’impossibilità di svolgere regolarmente lezioni sia in strutture scolastiche che negli atenei, si è reso necessario utilizzare altri modelli di insegnamento, che in molte realtà, soprattutto in ambiti specialistici, già si utilizzano largamente.
L’insegnamento a distanza, che consente una giusta alternativa a quello tradizionale, può essere effettuato solo utilizzando piattaforme.
Molti istituti stanno improvvisando il proprio approccio con la didattica a distanza abbracciando soluzioni quali Meet, Teams e Zoom, mentre altri hanno adottato soluzioni proprietarie o di minore diffusione.
In tutti i casi subentra però la tematica della tutela dei dati personali. Innanzitutto per quanto riguarda il consenso al trattamento dei dati personali il Garante ha chiarito che scuole e università sono autorizzate a trattare i dati del personale docente, degli alunni e dei genitori, in quanto rientra nelle funzioni istituzionalmente assegnate a scuole e atenei e quindi non è richiesto alcun consenso specifico.
Quel che è certo è che le regole devono valere per tutti, e che il Garante intende imporre come requisito sostanziale il rispetto della Privacy.
I dati dovranno quindi essere trattati e utilizzati al solo scopo della didattica online.
Proprio per questo è necessario il rispetto del principio di limitazione delle finalità del trattamento, per cui gli istituti debbono accertarsi che i dati trattati per loro conto siano utilizzati al solo scopo della didattica online, anche fornendo le adeguate istruzioni sul trattamento, includendole all’interno della nomina del responsabile, come quelle sulla conservazione dei dati, sulle procedure di gestione di eventuali violazioni di dati personali.
Sono quindi le stesse scuole e università che debbono scegliere l’attenta selezione e la configurazione adeguata degli strumenti per la didattica online, in quanto titolari del trattamento. Il Garante quindi segnala che dovranno essere rispettati i principi di privacy by design e by default del GDPR, tenendo conto del contesto didattico e delle finalità di insegnamento legate all’utilizzo dei dati e dei relativi rischi per i soggetti coinvolti, spesso minorenni.
Diviene quindi molto importante scegliere con cura la piattaforma di cui poi usufruire in relazione alla sicurezza della protezione dei dati sensibili. La scelta dovrebbe ricadere su uno strumento che riduca al minimo il trattamento dei dati personali con la previsione anche di un temine di cancellazione alla fine del progetto didattico.
Lo strumento utilizzato quindi per la programmazione didattica per singola scuola non ha l’obbligo della valutazione d’impatto privacy, ex art. 35 del GDPR, sempre che non vi sia monitoraggio sistematico di chi ne usufruisce o l’utilizzo di soluzioni tecnologiche invasive, come ad esempio la geolocalizzazione.
È essenziale che docenti, studenti e genitori vengano messi a conoscenza delle caratteristiche del trattamento e delle misure di salvaguardia, oltre ai loro diritti in relazione al trattamento. Diviene quindi necessario sensibilizzare ed informare sull’utilizzo degli strumenti e sulle informative privacy.
In questo senso un valido supporto può derivare dall’adozione di soluzioni di informazione adeguate tenendo presente il target, calibrando sia gli aspetti formali che sostanziali, tenendo conto dei soggetti di riferimento, siano essi allievi o professori.
Ringraziamo per il contributo
Valeria Antonini
SCOPRI LA PIATTAFORMA E-LEARNING
