Scuola, e-learning e privacy
Uno dei più evidenti effetti dell‘attuale contesto emergenziale di contrasto alla diffusione del Covid-19 è stato quello di provocare un’accelerazione nell’utilizzo generalizzato delle nuove tecnologie come strumento di interazione sociale e professionale. Tra i settori interessati da tale fenomeno vi è sicuramente quello dell‘istruzione, in cui è sorta l’esigenza di ricorrere a piattaforme e servizi tecnologici di didattica a distanza quale effetto della sospensione delle attività didattiche “in presenza” nelle scuole, nelle università e nelle istituzioni di alta formazione disposta con il dl 6/2020 e i successivi Dpcm 8 marzo 2020 e 10 aprile 2020. In sostanza l’emergenza ha catapultato improvvisamente il sistema scolastico italiano in una “dimensione tecnologica” a cui non era ancora adeguatamente preparato, obbligandolo a gestire l’istruzione, e la formazione, con modalità nuove.
Come spiegato gli avvocati Alessandro Vasta e Giulia Lorandi dello Studio Tonucci & Partners, «tali modalità che, comportando il trattamento informatizzato di grandi quantità di dati personali di alunni, anche minori, studenti, genitori, insegnanti (i c.d. interessati:), alcuni anche particolarmente sensibili come lo stato di salute, l’appartenenza ad un credo religioso, ecc., hanno reso opportuno l’intervento del Garante Privacy il quale, con provvedimento del 26 marzo 2020, ha fornito utili indicazioni per promuovere la consapevolezza in merito alle norme, alle garanzie e ai diritti da rispettare nel contesto dell’emergenza e dell’attività di didattica a distanza».
Innanzitutto, il Garante ha individuato nel perseguimento dell’interesse pubblico all’istruzione ed alla formazione in ambito scolastico, professionale, superiore od universitario (cfr. art. 6, parr. 1, lett. e), 3 lett.b), art. 9, par. 2, lett. g) del Regolamento UE 2016/679, ed artt. 2 ter e sexies D. Lgs. 196/2003) la base giuridica che legittima i Titolari del trattamento (i.e. Scuole ed Università) a trattare i dati personali degli interessati. Non sarà pertanto necessario richiedere lo specifico consenso di questi ultimi, fermo l’obbligo di fornire loro adeguata informativa, con linguaggio chiaro e comprensibile, in merito alle specifiche finalità ed alle caratteristiche del trattamento che li riguarda.
Un aspetto a cui il Garante dedica particolare attenzione è rappresentato dall’importanza della scelta della piattaforma o servizio on line mediante il quale espletare la didattica a distanza nelle sue varie forme (es. classi virtuali, videolezioni, chat, condivisione documenti didattici, ecc.); scelta che dovrà essere ispirata da alcuni criteri quali: (i) privilegio ai fornitori di servizi che garantiscano il rispetto dei principi di privacy by design e by default, adottando adeguate misure tecniche ed organizzative volte ad attuare i principi di corretto trattamento dei dati e di protezione dei diritti degli interessati; (ii) preferenza per servizi che non consentano un monitoraggio sistematico degli utenti o non ricorrano a soluzioni tecnologiche particolarmente invasive (es. biometria o geolocalizzazione); (iii) utilizzo del c.d. “registro elettronico” istituito da qualche anno per le relazioni tra professori ed alunni/genitori o, in caso di utilizzo di piattaforme “generaliste”, che non eroghino cioè servizi esclusivamente finalizzati alla didattica, necessità di attivare in default solo tali ultimi servizi, minimizzando qualità e quantità di dati raccolti, evitando l’offerta, soprattutto verso i minori, di prodotti o servizi non strettamente pertinenti nonché il perseguimento di finalità diverse da quella della didattica a distanza.
Quanto al ruolo dei fornitori di tali servizi on line, gli stessi vengono correttamente inquadrati nella figura del Responsabile del trattamento ex art. 28 del Reg. UE 2016/679, quale soggetto che tratta i dati per conto del Titolare. All’atto della nomina le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati personali degli interessati siano trattati, per loro conto, solo a fini di didattica a distanza e dovranno impartire “specifiche istruzioni, tra l’altro, sulla conservazione dei dati, sulla cancellazione – al temine del progetto didattico – di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali”. Indicazione del Garante corretta, ma che, dal punto di vista pratico, potrebbe scontrarsi con la ritrosia dei grandi gestori di piattaforme o servizi on line ad accettare istruzioni di trattamento diverse da quelle dagli stessi unilateralmente, ed impropriamente, imposte ai propri clienti / interlocutori.
Ultimo, ma non meno importante, è il richiamo del Garante privacy al rispetto di presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo, evitandone un utilizzo finalizzato a controlli a distanza del personale dipendente, ad indebite indagini sulla sfera privata o ad interferenze con la libertà di insegnamento.
Wall & Street