Le prime indicazioni del garante privacy sulla didattica a distanza durante l’emergenza sanitaria Coronavirus

Le prime indicazioni del garante privacy sulla didattica a distanza durante l’emergenza sanitaria Coronavirus

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Garante per la protezione dei dati personali: Provvedimento n. 64 del 26 marzo 2020 – “Didattica a distanza: prime indicazioni”.

Premessa

Fra le prime misure restrittive adottate dal governo per il contrasto e la diffusione del coronavirus, come noto, vi è stata quella di sospendere lo svolgimento delle attività didattiche attraverso la frequenza negli istituti scolastici di ogni grado.

Corollario di tale misura, è stata la previsione dell’attivazione di modalità di didattica a distanza per tutto il periodo in cui sarà vigente la suddetta sospensione.

In considerazione di ciò, gli istituti scolastici si sono attrezzati per far fronte all’improvvisa sospensione dell’attività didattica e per garantire ai propri studenti il diritto all’istruzione attraverso le modalità a distanza.

Per poter effettuare tale servizio, il Ministero dell’istruzione – già nei primi giorni di marzo –  ha fornito delle indicazioni operative affinché le scuole utilizzino il registro elettronico nonché creino delle classi virtuali oppure utilizzino anche degli ulteriori strumenti e applicazioni digitali per poter produrre contenuti multimediali o comunque condividerli.

Nelle ultime settimane, quindi, il garante per la protezione dei dati personali ha ricevuto diverse segnalazioni e richieste di chiarimenti da parte dei responsabili per la protezione dei dati personali degli istituti scolastici nonché dagli stessi docenti e dalle famiglie degli alunni, circa le modalità con cui effettuare il trattamento di dati personali connesso all’utilizzo di sistemi informatici a distanza per lo svolgimento dell’attività didattica.

Il garante ha, quindi, ritenuto opportuno adottare, con un provvedimento del 26 marzo 2020, alcune prime indicazioni sullo svolgimento della didattica distanza, evidenziando che, anche in una fase emergenziale come quella in cui ci troviamo, deve comunque essere garantita la protezione dei dati personali e che lo stesso Garante si riserva di effettuare dei controlli sui fornitori delle piattaforme on line dove verrà svolta l’attività didattica a distanza al fine di verificare che i connessi trattamenti di dati si svolgano nel rispetto della normativa vigente in materia di privacy.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



 

Le indicazioni adottate dal Garante

1. La base giuridica del trattamento.

Il primo aspetto esaminato dal garante all’interno delle indicazioni adottate, riguarda la base giuridica che legittima il trattamento dati nelle suddette attività di didattica a distanza.

In particolare, viene evidenziato come le scuole e le università siano autorizzate a trattare i dati, anche quelli relativi a categorie particolari (i cosiddetti dati sensibili) di insegnanti, genitori e alunni (anche minorenni) che servono per lo svolgimento dell’attività didattica a distanza, dalle disposizioni contenute nella normativa di settore (ivi compresi i recenti provvedimenti adottati dal governo per il contenimento del coronavirus). Infatti, le norme che hanno disposto la sospensione delle attività didattiche svolte alla presenza degli alunni e l’attivazione delle modalità di didattica distanza legittimano il trattamento dei suddetti dati, da parte delle scuole, per tutto il periodo in cui durerà la sospensione.

In altri termini, per lo svolgimento dell’attività didattica a distanza le scuole non dovranno richiedere uno specifico consenso degli interessati per trattare i necessari dati personali.

2. Rispetto della privacy by design e by default.

Il secondo aspetto di cui si occupano le indicazioni adottate dal garante privacy, riguarda il rispetto da parte delle scuole e dei fornitori delle piattaforme on-line dei principi della privacy by design e by default nell’utilizzo dei sistemi di didattica distanza.

I principi summenzionati, infatti, impongono ai titolari dei trattamenti (come, nel caso della didattica a distanza, gli istituti scolastici) di prevedere delle adeguate misure di protezione dei dati degli interessati già nel momento in cui vengono ideati i trattamenti (quindi, quando ancora il trattamento stesso non è iniziato) e di svolgere l’intero trattamento attraverso delle modalità e per una durata di tempo strettamente indispensabili per raggiungere le finalità per cui il trattamento è stato previsto (cioè, nel caso in esame, la didattica a distanza).

Ciò significa, quindi, che la responsabilità della scelta degli strumenti da utilizzare per svolgere l’attività didattica a distanza nonché la previsione delle modalità attraverso cui effettuarla spetterà alle scuole, in qualità di titolare del trattamento, le quali dovranno però rispettare i principi suddetti.

A tal proposito, il garante evidenzia come vi siano numerose piattaforme o servizi on-line che permettono di svolgere l’attività didattica a distanza, anche attraverso la creazione di classi virtuali o la pubblicazione di materiali didattici nonché attraverso lo svolgimento di video lezioni on-line e l’interazione in formato social tra docenti, studenti e famiglie, e che permettono altresì di valutare i risultati conseguiti dagli alunni. Inoltre, precisa il garante, che vi sono anche alcune piattaforme che offrono servizi ulteriori che molto spesso non riguardano l’attività didattica.

Ebbene, come detto, spetterà alle scuole scegliere le piattaforme che offrono garanzie da un punto di vista della protezione dei dati personali e la responsabilità di tale scelta graverà, ovviamente, sulla scuola in quanto titolare del trattamento (in quanto tale, tenuta a garantire la protezione dei dati personali degli interessati, siano essi docenti, alunni o loro famiglie).

3. La non necessità della valutazione di impatto.

Il garante, inoltre, affronta il delicato tema della valutazione di impatto prevista dal regolamento europeo sulla protezione dei dati personali (GDPR) che, nei casi in cui vi sono rischi elevati per la tutela dei dati, impone al titolare di valutare preventivamente detti rischi attraverso un’apposita procedura.

Ebbene, il garante ha precisato che i trattamenti effettuati dalle istituzioni scolastiche per la didattica a distanza non richiedono necessariamente il compimento della valutazione di impatto, a meno che non vi siano delle ulteriori caratteristiche che possono comportare un aggravamento dei rischi per i diritti e le libertà degli interessati.

In altri termini, le scuole non dovranno effettuare la valutazione di impatto anche se vengono trattati dati di persone che hanno delle condizioni particolari, come i minorenni e i lavoratori. Tale valutazione dovrà essere effettuata solo se sussistono, nel caso specifico, delle caratteristiche del trattamento che possono comportare un rischio per i diritti e le libertà degli interessati (potrebbe essere il caso, per esempio, dell’utilizzo di un sistema di didattica a distanza che per permettere il login degli alunni o dei docenti richiede i dati biometrici degli interessati).

Invece, per esempio, non sarà richiesta la valutazione di impatto per l’uso da parte di una singola scuola di un sistema on-line di videoconferenza per lo svolgimento delle lezioni oppure per l’utilizzo di una piattaforma che non effettua il monitoraggio in maniera sistematica degli utenti.

 

4. Contratto tra scuola e fornitore del servizio informatico.

Un altro aspetto molto importante analizzato dalle indicazioni del garante, riguarda i rapporti che devono intercorrere tra l’istituto scolastico e la società che fornisce il sistema informatico/tecnologico per lo svolgimento dell’attività didattica a distanza.

In particolare, viene previsto che, poiché nel caso in cui la piattaforma scelta per lo svolgimento delle attività distanza comporta il trattamento di dati personali si crea un rapporto tra la scuola (quale titolare del trattamento) e il fornitore del servizio (quale responsabile del trattamento), tale rapporto dovrà essere regolato attraverso un contratto tra le parti (o comunque da un altro atto giuridico).

All’interno di detto contratto, quindi, la scuola dovrà dare al fornitore del servizio tutte le istruzioni necessarie per effettuare dei trattamenti conformi alla normativa in materia di privacy.

Il garante consiglia poi di sfruttare al massimo possibile gli strumenti forniti dal registro elettronico per svolgere l’attività didattica a distanza. Nel caso in cui tale piattaforma non permettesse l’uso di alcune modalità ritenute necessarie dall’istituto scolastico, come per esempio le video lezioni, il garante consiglia di utilizzare i servizi on-line, direttamente accessibili dagli utenti in maniera autonoma, che abbiano la funzionalità della videoconferenza con accesso riservato, soprattutto quelli che possono essere utilizzati dagli utenti anche senza che questi ultimi debbano creare un apposito profilo (ciò, evidentemente, limiterebbe il trattamento di dati personali). In questo modo, quindi, l’istituto scolastico, non dovrebbe designare ulteriori responsabili del trattamento.

Nel caso in cui, invece, gli istituti scolastici decidano di utilizzare delle piattaforme che forniscono servizi non soltanto didattici, sarà necessario che la scuola attivi soltanto i servizi che sono strettamente necessari per la formazione a distanza, in modo che i dati personali trattati siano minimi. Tale onere a carico dell’Istituto scolastico sarà presente non soltanto nella fase in cui il servizio di didattica a distanza viene attivato, ma anche durante tutto lo svolgimento di tali servizi.

Inoltre, il garante precisa che l’istituto scolastico dovrà evitare l’uso di piattaforme che prevedano il trattamento di dati sulla geolocalizzazione degli utenti oppure che prevedano sistemi di login attraverso i canali social (perché ciò comporterebbe maggiori rischi per i dati trattati).

 

5. La limitazione delle finalità del trattamento.

Un altro onere a carico degli istituti scolastici riguarda quello di assicurarsi che i dati che vengono trattati dalle piattaforme on-line, per conto della scuola stessa, siano utilizzati soltanto per la didattica distanza e non per finalità diverse.

Per poter assolvere a tale onere, l’istituto scolastico dovrà, all’interno del contratto che regolamenta i rapporti con il fornitore dei servizi on-line, fornire specifiche istruzioni sulla conservazione dei dati e sulla loro cancellazione immediata al termine del servizio di didattica.

Infine, il garante suggerisce agli istituti scolastici di effettuare delle iniziative di sensibilizzazione degli utenti (docenti, alunni e famiglie), volte a renderli consapevoli dell’uso degli strumenti tecnologici e dei rischi sulla tutela dei dati personali che essi possono comportare.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!