Il Garante per la Protezione dei Dati Personali torna a parlare di privacy nella scuola e lo fa con un provvedimento che fornisce indicazioni circa la corretta gestione della didattica on-line.

Dopo aver riassunto i suggerimenti per essere in linea con il GDPR in una situazione di “normalità” (consultabili cliccando qui), aggiungiamo un tassello mostrandovi i chiarimenti relativi alla situazione di emergenza in cui ci troviamo.

Ecco di seguito che cosa avrebbero dovuto e dovranno fare le scuole e le università per utilizzare a fini didattici in modo consapevole e positivo le nuove tecnologie.

  • Assicurare la trasparenza del trattamento dei dati, informando alunni, studenti, genitori e docenti (con un linguaggio comprensibile anche ai minori) delle caratteristiche essenziali del trattamento che viene effettuato.
  • Con riferimento ai docenti, nel rispetto della disciplina sui controlli a distanza dei lavoratori, trattare solo i dati strettamente necessari e senza effettuare indagini sulla sfera privata.
  • Non è necessaria alcuna richiesta di consenso al trattamento dei dati personali di docenti, alunni, studenti e genitori al fine dello svolgimento dell’attività didattica a distanza, poiché essa rientra nelle funzioni ad esse istituzionalmente assegnate.
  • Scegliere le piattaforme e gli strumenti di didattica on-line più adeguati alle competenze e alle capacità cognitive degli studenti – tenendo conto che spesso vengono offerti anche servizi non specificamente rivolti alla formazione – e considerare le garanzie sul piano della protezione dei dati personali.

È possibile utilizzare le piattaforme già in uso (ad esempio, il Registro Elettronico che offre anche altre funzionalità) oppure altri servizi on-line accessibili al pubblico, con funzionalità di videoconferenza ad accesso riservato.

È ammesso anche ricorrere a piattaforme che non eroghino servizi rivolti esclusivamente alla didattica, attivando però di default i soli servizi strettamente necessari alla formazione e configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, la raccolta di dati sulla geolocalizzazione e il ricorso a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).

  • Sono consigliate iniziative di sensibilizzazione, rivolte a famiglie e ragazzi, al fine di garantire la massima consapevolezza nell’utilizzo degli strumenti tecnologici.
  • Concludere con il fornitore della piattaforma prescelta – qualora tratti per conto dell’istituzione scolastica i dati personali di docenti, alunni, studenti e genitori – un apposito contratto e predisporre l’atto di nomina a Responsabile del trattamento dei dati, prevedendo che i dati siano utilizzati solo per la didattica a distanza e fornendo specifiche istruzioni sulla conservazione dei dati, sulla cancellazione – al temine del progetto didattico – di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali.
  • Non è necessaria la valutazione di impatto (DPIA) – prevista dal GDPR in caso di rischi elevati – se il trattamento dei dati, pur essendo relativo a minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravare i rischi (ad esempio, nel caso in cui sia la singola scuola ad effettuare il trattamento dei dati nell’ambito dell’utilizzo di un servizio on-line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti e non ricorra alla geolocalizzazione).

Inoltre, i fornitori delle piattaforme (Responsabili del trattamento dei dati):

  • dovranno limitarsi a trattare i dati per quanto strettamente necessario alla fornitura dei servizi richiesti ai fini didattici e non per proprie ulteriori finalità (l’ammissibilità di tali operazioni dovrà, infatti, essere valutata di volta in volta, rispetto ai requisiti richiesti dal GDPR quali, in particolare, i presupposti di liceità e i principi applicabili al trattamento dei dati personali);
  • non potranno, pertanto, condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on-line, non collegati all’attività didattica;
  • dovranno sempre tenere presente, infine, che i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate, nonché dei loro diritti in relazione al trattamento dei dati personali (soprattutto con riferimento all’utilizzo dei dati per finalità di marketing e di profilazione).

Conclusioni

Spesso abbiamo sentito parlare dell’arretratezza delle nostre scuole, di come gli strumenti offerti agli studenti non fossero al passo coi tempi. L’innovazione, infatti, spesso ha rappresentato uno spartiacque tra gli istituti, divisi tra quelli “avanzati” e quelli “rimasti indietro”.

Oggi, seppur in un momento difficile, assistiamo ad un rapido avanzamento tecnologico: abbiamo capito che si può imparare anche a distanza, grazie a strumenti che permettono a studenti e insegnanti di essere connessi, insieme, in “aule virtuali”.

Siamo così usciti dalla ancorata concezione dell’“andare a scuola”: oggi si va a scuola stando a casa. E non si smette mai di imparare.

Ovviamente, terminata l’emergenza torneremo sui banchi di scuola, ma non dimentichiamoci di questo esperimento che, seppur improvvisato, ha permesso a tutti di continuare a crescere e imparare insieme.

Ecco, allora, quando sarà tutto finito ricordiamoci di come è andata e facciamo tesoro di tutto quello che abbiamo imparato, magari implementando, anche nella gestione ordinaria, questi strumenti per permettere a chi non può (momentaneamente o per lunghi periodi) recarsi fisicamente a scuola, di partecipare, con i propri compagni, a questa grande esperienza che è la crescita personale.