Didattica a distanza: ecco le indicazioni del Garante

Con il Provvedimento appena pubblicato[1], datato 26 marzo scorso, il Garante per la protezione dei dati personali ha fornito le prime indicazioni per la didattica a distanza (DAD), attività che in questi giorni ha coinvolto migliaia di studenti, docenti e dirigenti di istituzioni scolastiche, di ogni ordine e grado, sul territorio nazionale.

Molte sono state le esperienze positive, ma altrettante le criticità registrate, soprattutto dovute alla difficoltà di adottare per tutti – in tempi brevissimi e senza alcun preavviso – organiche metodologie didattiche da attuare mediante l’uso di piattaforme digitali, che consentissero l’interazione proficua tra docenti e studenti.

Tuttavia, come ha sottolineato il Garante nella Nota istituzionale [2] con cui è stato trasmesso il Provvedimento ai Ministri competenti, non devono essere sottovalutati i rischi – soprattutto per i minori – derivanti dall’impiego di tali piattaforme telematiche, dovuti ad un potenziale uso scorretto o poco consapevole degli stessi, spesso derivante dalla loro oggettiva complessità di funzionamento.

Molte delle piattaforme suscettibili di utilizzo a fini didattici, ad esempio, funzionano come veri e propri social network che necessitano, come tali, di una minima cognizione delle loro regole di utilizzo e delle implicazioni di ciascun “click”, anche sui diritti relativi al corretto trattamento dei dati personali, propri e di terzi. Considerando che, spesso, per i minori che accedono a tali piattaforme si tratta delle prime esperienze (se non addirittura della prima) di utilizzo di simili spazi virtuali, è evidente come anche quest’attività vada svolta con la dovuta consapevolezza.

Ecco, in sintesi, quali sono le indicazioni dell’Autorità Garante per la protezione dei dati personali per la didattica a distanza (DAD):

Non deve essere richiesto il consenso per il trattamento dei dati personali

Nello specifico, il trattamento di dati personali degli interessati (alunni e studenti, anche quelli minorenni, docenti e genitori) funzionale allo svolgimento dell’attività didattica a distanza è riconducibile – anche quando effettuato mediante tali modalità innovative – alle funzioni già istituzionalmente svolte da scuole e atenei. Pertanto, la base giuridica di tali trattamenti di dati personali effettuati, anche di quelli relativi a categorie particolari (ed esempio, i dati relativi alla salute[3]), funzionali all’attività didattica e formativa in ambito scolastico, professionale, superiore o universitario si rintraccia negli art. 6, parr. 1, lett. e), 3, lett. b) e 9, par. 2, lett. g) del Regolamento 2016/679/UE (GDPR) e artt. 2-ter e 2-sexies del Codice in materi di trattamento dei dati personali (D.Lgs. n. 196/2003).

Scegliere gli strumenti da utilizzare secondo i principi di privacy by design e privacy by default

Ossia, in sede di scelta o predisposizione di una piattaforma per la didattica a distanza, occorre porre attenzione alle garanzie offerte e alle configurazioni disponibili in relazione al corretto trattamento dei dati personali.

In effetti, spetta in primo luogo alle scuole e alle università – quali titolari del trattamento – la scelta e la regolamentazione, anche sulle base delle indicazioni fornite dalle autorità competenti, degli strumenti più utili per la realizzazione della didattica a distanza, anche mediante il supporto del proprio DPO.

Tali scelte dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 del GDPR), seguendo criteri che includano, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del GDPR).

In proposito, il Garante ha altresì precisato che non occorre effettuare una valutazione di impatto, che l’art. 35 del GDPR richiede per i casi di rischi elevati, a meno che il trattamento non presenti ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati, come il monitoraggio sistematico o su larga scala degli utenti o comunque nuove soluzioni tecnologiche particolarmente invasive, quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).

Attenzione al ruolo dei fornitori dei servizi on line e delle piattaforme

Qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico (art. 28 del Regolamento). É il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento. Le eventuali, ulteriori attività di didattica a distanza, talora fornite da alcuni registri elettronici, possono essere in alcuni casi già disciplinate nello stesso contratto di fornitura stipulato.

In tali casi, le istituzioni scolastiche e universitarie dovranno assicurarsi (anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi designato responsabile del trattamento), che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Saranno, in tal senso, utili specifiche istruzioni, tra l’altro, sulla conservazione dei dati, sulla cancellazione – al temine del progetto didattico – di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali.

Diversamente, qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non dover designare ulteriori responsabili del trattamento – utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato. Alcuni di questi servizi sono, peraltro, facilmente utilizzabili anche senza la necessaria creazione di un account da parte degli utenti.

Laddove, invece, si ritenga necessario ricorrere a piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità), secondo i già richiamati principi di privacy by design e by default.

Al fine di garantire la massima consapevolezza nell’utilizzo di strumenti tecnologici – delle cui implicazioni non tutti gli studenti (soprattutto se minorenni) hanno piena cognizione- sarebbero auspicabili, in ogni caso, iniziative di sensibilizzazione in tal senso, rivolte a famiglie, alunni e studenti.

Rispetto del principio di limitazione delle finalitá del trattamento

In ossequio all’art. 5, par. 1, lett. b) del GDPR, l’autorità Garante sottolinea che, con riferimento al trattamento dei dati degli studenti svolti dalle piattaforme quali responsabili del trattamento stesso, esso deve limitarsi a quanto strettamente necessario per la fornitura dei servizi richiesti ai fini della didattica on line, senza l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore.

In tal senso, deve essere ritenuto inammissibile il condizionamento, da parte dei gestori delle piattaforme, della fruizione dei servizi di didattica a distanza alla sottoscrizione di un contratto o alla prestazione – da parte dello studente o dei genitori – del consenso al trattamento dei dati connesso alla fornitura di ulteriori servizi on line, non necessari all’attività didattica. Il consenso non sarebbe, infatti, validamente prestato perché, appunto, indebitamente condizionato al perseguimento di finalità ultronee rispetto a quelle proprie della didattica a distanza (art. 7 e Considerando 43 del GDPR), soprattutto in considerazione dal fatto che si tratta di dati personali di minori, i quali “meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” (Considerando 38 del GDPR).

Rispetto dei principi di trasparenza, correttezza e liceitá del trattamento

Al fine di garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono informare gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, in ordine, in particolare, alle caratteristiche essenziali del trattamento che viene svolto tramite le piattaforme per la didattica a distanza, che deve peraltro limitarsi all’esecuzione di tali attività, nel rispetto della riservatezza e della dignità degli interessati.

Pertanto, nel rispetto del principio di liceità del trattamento, nel trattare i dati personali dei docenti funzionali allo svolgimento della didattica a distanza, le scuole e le università dovranno rispettare presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo (artt. 5 e 88, par. 2, del GDPR, art. 114 del D.Lgs. 196/2003 e art. 4 della legge 20 maggio 1970, n. 300), limitandosi a utilizzare quelli strettamente necessari, comunque senza effettuare indagini sulla sfera privata (art. 113 del D.Lgs. 196/2003) o interferire con la libertà di insegnamento.

In definitiva, come evidenziato dall’Autorità garante, la corretta gestione dei dati personali di tutti i soggetti coinvolti, a vario titolo, nell’attività didattica a distanza rappresenta, in questo senso, il presupposto indispensabile per rendere il digitale una risorsa straordinaria per la promozione dei diritti (quello allo studio, in particolare), al riparo da rischi di abusi o violazioni.

[1] Provvedimento dell’Autorità Garante per la protezione dei dati personali del 26 marzo 2020 “Didattica a distanza: prime indicazioni”, registro dei provvedimenti n. 64 del 26 marzo 2020. Si veda anche il Comunicato del 30 marzo 2020.

[2] Nota istituzionale del Presidente del Garante, Antonello Soro, alla Signora Ministro dell’Istruzione, al Signor Ministro dell’Università e della ricerca e alla Signora Ministro per le pari opportunità e la famiglia in tema di didattica a distanza.

[3]In tal senso, riguardo alle specifiche esigenze degli studenti con disabilità, si veda l’art. 2, lett. m) e n), del D.P.C.M. dell’8 marzo 2020.

Foto di Tirachard Kumtanom da Pexels

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Didattica a distanza: ecco le indicazioni del Garante

Non deve essere richiesto il consenso per il trattamento dei dati personali

Scegliere gli strumenti da utilizzare secondo i principi di privacy by design e privacy by default

Attenzione al ruolo dei fornitori dei servizi on line e delle piattaforme

Rispetto del principio di limitazione delle finalitá del trattamento

Rispetto dei principi di trasparenza, correttezza e liceitá del trattamento

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA