Didattica a distanza: quali sono i principi per rispettare il GDPR

In questo periodo eccezionale, stiamo sperimentando una serie di attività digitali quali lo smart working, ma soprattutto la cosiddetta “Didattica a Distanza o D.A.D”.

Nonostante i problemi, quali ad esempio, la difficoltà di connessione, o la possibilità di raggiungere con strumenti adeguati tutti gli studenti, la scuola ci sta provando.

Non dimentichiamo però che per la maggior parte dei casi gli studenti sono minorenni, e che i nuovi strumenti digitali li possono esporre a diversi rischi, primo tra tutti l’utilizzo illecito dei loro dati.

Vediamo allora quali sono le prime indicazioni, fornite dal Garante Privacy nel suo Provvedimento del 26 marzo 2020:

• BASE GIURIDICA DEL TRATTAMENTO: Le scuole e le università sono autorizzate a trattare i dati, anche relativi a categorie particolari, di insegnanti, alunni (anche minorenni), genitori e studenti, funzionali all’attività didattica e formativa in ambito scolastico, professionale, superiore o universitario (art. 6, parr. 1, lett. e), 3, lett. b) e 9, par. 2, lett. g) del Regolamento e artt. 2-ter e 2-sexies del Codice). Non deve pertanto essere richiesto agli interessati (docenti, alunni, studenti, genitori) uno specifico consenso al trattamento dei propri dati personali funzionali allo svolgimento dell’attività didattica a distanza, in quanto riconducibile – nonostante tali modalità innovative – alle funzioni istituzionalmente assegnate a scuole ed atenei.

• PRIVACY BY DESIGN E BY DEFAULT: SCELTA E CONFIGURAZIONE DEGLI STRUMENTI DA UTILIZZARE: Spetta in primo luogo alle scuole e alle università- quali titolari del trattamento – la scelta e la regolamentazione, anche sulle base delle indicazioni fornite dalle autorità competenti, degli strumenti più utili per la realizzazione della didattica a distanza (cfr. anche, ove applicabile, art. 39 del Regolamento (UE) 2016/679, infra: “Regolamento”).

• VALUTAZIONE D’IMPATTO PRIVACY O DPIA: La valutazione di impatto non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).

• RESPONSABILI DEL TRATTAMENTO: Qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico (art. 28 del Regolamento). È il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento. Le eventuali, ulteriori attività di didattica a distanza, talora fornite da alcuni registri elettronici, possono essere in alcuni casi già disciplinate nello stesso contratto di fornitura stipulato.

• PIATTAFORME GENERICHE PER D.A.D: Laddove si ritenga necessario ricorrere a piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità). Le istituzioni scolastiche e universitarie dovranno assicurarsi (anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi designato responsabile del trattamento), che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Saranno, in tal senso, utili specifiche istruzioni, tra l’altro, sulla conservazione dei dati, sulla cancellazione – al temine del progetto didattico – di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali.

• LIMITAZIONE DELLA FINALITA DI TRATTAMENTO: Il trattamento dei dati degli studenti svolti dalle piattaforme quali responsabili del trattamento stesso, deve limitarsi a quanto strettamente necessario per la fornitura dei servizi richiesti ai fini della didattica on line, senza l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore. E’ quindi inammissibile il condizionamento, da parte dei gestori delle piattaforme, della fruizione dei servizi di didattica a distanza alla sottoscrizione di un contratto o alla prestazione– da parte dello studente o dei genitori – del consenso al trattamento dei dati connesso alla fornitura di ulteriori servizi on line, non necessari all’attività didattica.