GDPR. Privacy e insegnamento a distanza

Come si devono comportare le scuole in questo periodo in cui l’insegnamento a distanza appare un valido strumento per il contrasto e il contenimento della diffusione del virus Covid-19 alla luce della normativa privacy. Il Garante pubblica sul proprio sito le domande più frequenti.

L’Autorità Garante per la protezione dei dati personali, al fine di offrire una risposta il più esaustiva possibile ai mille quesiti che, in questo periodo, gli operatori si pongono nei più diversi settori per far convivere l’emergenza sanitaria con il rispetto della tutela dei dati personali, ha reso disponibile sul proprio sito web, una sezione in cui sono raccolte le risposte alle domande più frequenti ricevute nei diversi ambiti operativi.

Si va dal lavoro dipendente, sia esso pubblico o privato, al mondo sanitario all’universo scuola.

Vediamo quali sono le curiosità più frequenti e le relative risposte del Garante. Scopriamo cosa chiedono i professori e i dirigenti scolastici.

In particolare, relativamente all’ambito della scuola, il Garante ha chiarito che:

Acquisizione del consenso per attivazione ed erogazione della didattica a distanza. – La richiesta del consenso e la relativa raccolta delle volontà espresse non è necessaria da parte degli istituti scolastici. Per questi, infatti, l’attività di didattica a distanza rientra sicuramente tra le finalità istituzionali del soggetto scuola è dunque non è necessario né chiedere il consenso, né prestarlo da parte di insegnanti, studenti (anche minorenni) e genitori.

Predisposizione e distribuzione dell’informativa in caso di erogazione della didattica a distanza. – L’informativa, diversamente da quanto chiarito per il consenso, deve invece essere necessariamente fornita.In particolare, nel rispetto del dovuto principio di trasparenza, deve essere redatta con un linguaggio che sia “facilmente comprensibile” dai minori. La scuola deve, inoltre, prestare particolare attenzione nell’esplicitare:

  • tipologia dei dati trattati;
  • modalità di trattamento;
  • tempi di conservazione;
  • eventuali altre operazione che sono effettuate sui dati.

È necessario, inoltre, sottolineare che il trattamento persegue delle finalità specifiche e limitate all’ambito della didattica a distanza, ma che comunque si basa sugli stessi presupposti dell’attività didattica tradizionale di cui acquisisce le medesime o analoghe garanzie.

Comunicazione identità di alunni o famigliari positivi al Covid-19 – Sicuramente no. Questo tipo di informazioni sono di stretta competenza delle autorità sanitarie che hanno nei loro fini istituzionali questo tipo di informazioni per poter effettuare e mettere in atto le dovute misure di contrasto al contagio. Gli istituti scolastici dovranno, di contro, collaborare con queste fornendo tutte le informazioni in loro possesso ritenute necessarie per poter ricostruire le dinamiche dell’eventuale contatto.

Organizzazione e svolgimento di riunioni tra docenti in video-conferenza – È possibile per gli istituti organizzare delle riunioni in video conferenza. Come analogamente accaduto per il ricorso allo smart-working (lavoro agile) nei casi di servizi amministrativi, così per le scuole è ammesso il ricorso alle modalità telematiche per organizzare e tenere riunioni tra docenti per le “attività indifferibili”, anche alla luce delle indicazioni emanate dal Ministro per la Pubblica Amministrazione e del Ministero dell’Istruzione.

Scelta e regolamentazione degli strumenti di didattica a distanza – È importante che le scuole e le università orientino la scelta degli strumenti più adatti per rispondere alle proprie esigenze di didattica a distanza verso quelli che abbiano, fin dalla progettazione e per impostazioni predefinite, misure a protezione dei dati. Non è necessario, inoltre, che le istituzioni scolastiche predispongano la valutazione di impatto (c.d. D.P.I.A.) se i trattamenti correlati a questa attività, relativamente agli interessati lavoratori e minorenni, non presentino ulteriori caratteristiche suscettibili di aggravare i rischi legati al trattamento. Per maggiore chiarezza il Garante esplicita che “non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti”.

Rapporti tra istituti scolastici e fornitori di piattaforme e servizi on-line – Qualora l’utilizzo della piattaforma o del servizio on-line comporti che il trattamento dei dati personali dei soggetti coinvolti (studenti e rispettivi genitori) sia effettuato per conto della scuola (come a esempio accade per il registro elettronico), è obbligatorio che il rapporto tra fornitore e scuola sia regolato da un contratto o da alta tipologia di atto giuridico e che le istituzioni scolastiche si assicurino che i dati trattati siano utilizzati solo per la didattica a distanza. Qualora la piattaforma scelta o il servizio on-line attivato preveda delle funzionalità più complesse, anche non esclusivamente necessarie per la didattica a distanza, sarà cura della scuola richiedere l’attivazione dei soli servizi “strettamente necessari alla formazione”, prestando attenzione alla loro configurazione in modo da tararla per minimizzare i dati personali da trattare. Si citano come esempio di servizi da non attivare la geo-localizzazione e il social login.

Finalità del trattamento dei dati – Il trattamento dei dati da parte dei gestori delle piattaforme o dei servizi on-line scelti dalla scuola, e svolto per conto di questa, dovrà limitarsi esclusivamente a quanto “strettamente necessario” alla fornitura del servizio scelto e/o richiesto per l’erogazione della didattica a distanza. È fatto esplicito divieto ai fornitori di servizi di trattare questi dati per finalità proprie. Così come gli stessi gestori non potranno condizionare, alla sottoscrizione di contratti o alla prestazione di specifico consenso per l’erogazione di altri servizi non connessi alla didattica a distanza, l’erogazione di questi servizi a favore dei singoli interessati siano essi studenti e/o genitori). Particolare attenzione, infine, andrà posta nella tutela degli interessati minori di età con particolare riguardo al non utilizzo dei loro dati per attività di marketing o profilazione.

Renato Carafa