Didattica a distanza, ecco le regole del Garante della privacy
Antonello Soro ha approvato un atto di indirizzo che individua alcune implicazioni dell’attività formativa digitale sul diritto della protezione dei dati
L’emergenza sanitaria in corso, ha chiuso le scuole e ha dato spazio alla didattica a distanza. Una pratica nuova e ancora da perfezionare, che però potrebbe risultare in futuro molto utile. Il Garante della privacy nelle ultime ore ha approvato uno specifico atto di indirizzo che individua le implicazioni più importanti dell’attività formativa a distanza sul diritto della protezione dei dati personali.
Antonello Soro ha inviato una lettera ai ministri dell’Istruzione, dell’Università e della ricerca e al ministro per le pari opportunità e la famiglia, ricordando che “le straordinarie potenzialità del digitale non devono indurci a sottovalutare anche i rischi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici”.
Il consenso al trattamento dei dati
Innanzitutto viene sottolineato come scuole e università che utilizzano i sistemi di didattica a distanza non debbano richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei. “Le scuole e le università – riporta il documento – sono autorizzate a trattare i dati, anche relativi a categorie particolari, di insegnanti, alunni (anche minorenni), genitori e studenti, funzionali all’attività didattica e formativa in ambito scolastico, professionale, superiore o universitario (art. 6, parr. 1, lett. e), 3, lett. b) e 9, par. 2, lett. g) del Regolamento e artt. 2-ter e 2-sexies del Codice)”.
Privacy by design e by default
La scelta degli strumenti da utilizzare dovrà essere fatta su mezzi (scelti in primo luogo da scuole e università in quanto titolari del trattamento) che abbiano fin dalla progettazione misure a protezione dei dati. La scelta dovrà adeguarsi quindi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati.
Non è richiesta la valutazione di impatto prevista dal Gdpr, per il trattamento effettuato da una singola scuola (quindi, non sul larga scala) per quanto riguarda l’utilizzo di un servizio online di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.
Nel trattare i dati personali dei docenti funzionali allo svolgimento della didattica a distanza, le scuole e le università dovranno rispettare presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo.
Fornitori e servizi online
Il rapporto con il fornitore, come accade per il registro elettronico, dovrà essere regolato con un contratto o un atto giuridico se la piattaforma prescelta comporterà il trattamento dei dati personali di studenti, alunni e genitori (art. 28 del Regolamento). Le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Compito dell’Autorità sarà comunque quello di vigilare sull’operato corretto dei fornitori delle principali piattaforme per la didattica a distanza.
Se il registro elettronico non dovesse permettere l’effettuazione di videolezioni o altre forme di interazione tra docenti e studenti, possono essere sufficienti dei servizi online accessibili al pubblico e forniti direttamente agli utenti, con la possibilità di accedere alle videoconferenze grazie a un canale riservato.
Nel caso si voglia invece ricorrere a piattaforme più “generaliste” (cioè non necessariamente rivolte alla didattica), sarà necessario attivare i servizi strettamente necessari alla formazione, in modo da ridurre al massimo i dati personali da trattare per evitare maggiori rischi e responsabilità.
Il Garante della privacy, che vigilerà sempre sul corretto operato dei fornitori delle principali piattaforme online, tiene a precisare anche come sia indispensabile che ai dati personali dei minori vada garantita una protezione particolare e specifica (che si allarghi fino all’utilizzo dei dati a fini di marketing o di profilazione), in quanto questi ultimi possono essere inconsapevoli dei rischi, delle conseguenze e dei diritti.
Compito delle istituzioni scolastiche e universitarie, oltre ad assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza, è quello di informare in maniera comprensibile ed efficace i diretti interessati sulle caratteristiche essenziali del trattamento che viene effettuato. Docenti, scuole e università dovranno trattare solo dati strettamente necessari, senza indagini sulla sfera privata. Il Garante suggerisce comunque di attuare iniziative di sensibilizzazione rivolte a ragazzi e famiglie su un utilizzo adeguato e senza rischi degli strumenti tecnologici.
Il trattamento dei dati degli studenti svolti dalle piattaforme, dovrà limitarsi all’utilizzo dei servizi richiesti per la didattica online. L’ammissibilità di ulteriori operazioni dovrà essere valutata di volta in volta, rispetto ai requisiti richiesti dal Gdpr quali, in particolare, i presupposti di liceità e i principi applicabili al trattamento dei dati personali. I gestori delle piattaforme non potranno quindi in alcun modo condizionare le modalità di utilizzo dei servizi di didattica.
Vedi sul link in basso il testo completo del provvedimento
FONTE: garanteprivacy.it
didattica a distanza, garanteprivacy, gdpr, protezione dei dati personali, registro elettronico, servizi online