Coronavirus, le indicazioni del Garante privacy per la didattica online

L’atto di indirizzo fornisce chiarimenti sul trattamento dei dati, sull’uso degli strumenti per la didattica online e sul ruolo dei fornitori. Il presidente Soro: soluzione importante vista l’emergenza ma non sottovalutare i rischi

L’emergenza coronavirus ha portato alla ribalta anche l’utilità della didattica online. E l’arretratezza del sistema scolastico italiano a riguardo, con istituti e atenei che sono riusciti in tempo breve a organizzare video lezioni e altri che ancora non hanno cominciato. Un bailamme che penalizza l’istruzione, in particolare quella dei minori che già hanno subito un cambiamento drastico nelle loro abitudini quotidiane a causa delle restrizioni.

Sul tema è intervenuto anche il Garante per la Privacy che mette in guardia dai possibili elementi di rischio, soprattutto per quanto riguarda il trattamento dei dati.

L’OBIETTIVO DEL GARANTE PRIVACY

Con l’atto di indirizzo approvato dal Garante, e inviato al ministro dell’Istruzione dell’Università e della Ricerca, Lucia Azzolina, e al ministro per le Pari opportunità e la famiglia, Elena Bonetti, si intende fornire a scuole, atenei, studenti e famiglie indicazioni per un uso “quanto più consapevole e positivo” delle nuove tecnologie a fini didattici. Nella lettera d’accompagnamento ai due dicasteri interessati, il presidente Antonello Soro ha ricordato che “il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie, nonché alle famiglie stesse, l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo alle innumerevoli risorse offerte dalle nuove tecnologie. È una soluzione estremamente importante per garantire la continuità didattica”.

Acclarata l’utilità del digitale non bisogna però sottovalutare i rischi esistenti “suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento”. Anche perché “spesso, per i minori che accedono a tali piattaforme si tratta delle prime esperienze (se non addirittura della prima) di utilizzo di simili spazi virtuali”. Da qui l’esigenza di un supporto del genere.

Questi i principali elementi del documento.

IL TRATTAMENTO DEI DATI

Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti per la didattica online e non per altre finalità proprie del fornitore. I gestori delle piattaforme non potranno condizionare la fruizione dei servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di servizi non collegati all’attività didattica.

Ai dati personali dei minori, inoltre, va garantita una specifica protezione perché possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Una specifica protezione deve riguardare l’utilizzo dei loro dati a fini di marketing o di profilazione.

Per garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono informare gli interessati (alunni, studenti, genitori e docenti) — con un linguaggio comprensibile anche ai minori — soprattutto per quanto concerne le caratteristiche essenziali del trattamento che viene effettuato. Bandita ogni indagine sulla sfera privata.

IL CONSENSO AL TRATTAMENTO DEI DATI

Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, in quanto il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.

GLI STRUMENTI PER LA DIDATTICA A DISTANZA

Nella scelta e nella regolamentazione degli strumenti più utili per la didattica a distanza scuole e università dovranno orientarsi verso strumenti che abbiano misure a protezione dei dati già dalla progettazione e dalle impostazioni predefinite. Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato da scuole e atenei, pure se relativo a minorenni e a lavoratori, non presenta caratteristiche che possano aggravare i rischi. Ad esempio, evidenzia il Garante privacy, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola che utilizzi un servizio online di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.

I FORNITORI DEI SERVIZI

Una parte dell’atto d’indirizzo è riservata ai fornitori di servizi online e delle piattaforme. Se c’è in ballo il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore dovrà essere regolato con un contratto o con un altro atto giuridico. È il caso, ad esempio, del registro elettronico. Se invece si ritenga necessario ricorrere a piattaforme che eroghino servizi più complessi — anche non rivolti esclusivamente alla didattica — si dovranno attivare solo i servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad esempio, geolocalizzazione e social login).

A vigilare sull’operato dei fornitori delle principali piattaforme per la didattica a distanza ci penserà l’Authority: l’obiettivo è quello di assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie.