Best Practice e Didattica Digitale: Tra Diritto all’istruzione e Tutela Della Privacy

In questo contesto la corretta gestione dei dati personali nell’attività di didattica a distanza ...


Nel contesto emergenziale in cui anche il nostro Paese si è trovato ad operare, garantire la continuità didattica attraverso la formazione a distanza diventa una prerogativa fondamentale per tutte le istituzioni scolastiche, per gli alunni e le per loro famiglie.

Ma cosa si intende per didattica a distanza?

Il Ministero dell’Istruzione in una nota del 17 marzo 2020 premette che non può considerarsi didattica  a distanza “Il solo invio di materiali o la mera assegnazione di compiti, che non siano preceduti da una spiegazione relativa ai contenuti in argomento o che non prevedano un intervento successivo di chiarimento o restituzione da parte del docente […]”.[1]  E aggiunge: “Il collegamento diretto o indiretto, immediato o differito, attraverso videoconferenze, videolezioni, chat di gruppo; la trasmissione ragionata di materiali didattici, attraverso il caricamento degli stessi su piattaforme digitali e l’impiego dei registri di classe in tutte le loro funzioni di comunicazione e di supporto alla didattica, con successiva rielaborazione e discussione operata direttamente o indirettamente con il docente, l’interazione su sistemi e app interattive educative propriamente digitali: tutto ciò è didattica a distanza”.

In questo contesto la corretta gestione dei dati personali di tutti i soggetti coinvolti (docenti, alunni, famiglie) nell’attività di didattica a distanza rappresenta il presupposto indispensabile per rendere il “digitale” una risorsa straordinaria [2] e per garantire il diritto fondamentale all’istruzione, al riparo da rischi di abusi o violazioni.

L’Autorità Garante per la Protezione dei Dati Personali, nel compito di promuovere la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, con particolare attenzione alle attività destinate specificamente ai minori, nonché agli obblighi imposti ai titolari e i responsabili del trattamento, è intervenuto nel mese di marzo 2020 in nota ufficiale inviata al MIUR ed al Ministero per le Pari Opportunità e la Famiglia in tema di didattica a distanza adottando il provvedimento “Didattica a distanza: prime indicazioni” [3].

Le Indicazioni Generali per la Didattica Digitale Integrata [4] e le FAQ del MIUR (da ultimo aggiornate il 01.12.2020) [5] ricordano che spetta alla singola scuola, in qualità di titolare del trattamento, la scelta e la regolamentazione degli strumenti più adeguati al trattamento dei dati personali di personale scolastico, studenti e loro familiari. Tale scelta è effettuata dal Dirigente scolastico, con il supporto del Responsabile della protezione dei dati personali (DPO).

Riassumendo ed analizzando il contenuto delle predette “Indicazioni Generali”, integrate con le “FAQ del MIUR”, riguardo gli aspetti del diritto alla protezione dei dati personali, possiamo così estrapolare i seguenti punti:

1. Quali sono i principali attori coinvolti nella DDI previsti dal GDPR?

  • il Titolare del trattamento (il quale definisce finalità e modalità del trattamento ai sensi dell’art. 4 del GDPR) si identificata nella persona del Dirigente scolastico. 
  • Il Responsabile della Protezione dei Dati personali (il quale assicura l’applicazione della normativa in materia di protezione dei dati personali, offre consulenza e supporto al titolare nella scelta delle tecnologie più appropriate alla DDI, supporta la predisposizione dei contratti con i fornitori di servizi, è incaricato della formazione e sensibilizzazione del personale sull’uso consapevole delle tecnologie per la DDI) è appositamente designato dal Dirigente scolastico con apposita delibera e atto di nomina. Per evitare eventuali questioni di incompatibilità e/o conflitto di interessi si consiglia la nomina di un DPO “esterno” alla governace scolastica.
  • Le persone autorizzate al trattamento effettuano operazioni sui dati personali sotto l’autorità del titolare del trattamento e sulla base di istruzioni fornite dallo stesso. Nell'ambito dell'istituzione scolastica questa figura è rappresentata dal personale scolastico (docente che utilizza la piattaforma per DDI).
  • Il Responsabile del trattamento è la persona fisica o giuridica che tratta i dati personali per conto del titolare del trattamento. Nell'ambito dell'istituzione scolastica e nei limiti della DDI questa figura è identificata nei fornitori delle piattaforme web o dei servizi scelti.

2. Per la DDI la scuola deve richiedere il consenso alle famiglie?

No. Come chiarito dal Garante nel Provvedimento del 26 marzo 2020, n. 64[6] in relazione alla attività di DDI, il trattamento dei dati personali da parte delle istituzioni scolastiche è necessario in quanto collegato all'esecuzione di un compito di interesse pubblico di cui è investita la scuola. Il consenso dei genitori non è richiesto perché l’attività svolta, sia pure in ambiente virtuale, rientra tra le attività istituzionalmente assegnate all’istituzione scolastica.

3. Per la DDI la scuola deve fornire un’informativa sul trattamento dei dati specifica?

SI. Nel rispetto del principio di trasparenza e correttezza del trattamento dei dati, le istituzioni scolastiche che facciano ricorso a nuove piattaforme per l'erogazione della DDI, devono provvedere ad aggiornare l'informativa rilasciata agli interessati con indicazione della piattaforma scelta.

4. La scuola deve nominare il gestore della piattaforma digitale “responsabile del trattamento”?

SI. In qualità di titolare del trattamento dei dati personali, l’istituzione scolastica, che riterrà opportuno ricorrere a un fornitore “esterno” per la gestione dei servizi per la DDI che comportino il trattamento di dati personali per conto della scuola stessa, è tenuta a nominare tale soggetto come responsabile del trattamento con apposito atto redatto ai sensi dell’art. 28 del GDPR.

Con questo atto l’istituto definisce l’ambito, la durata, la natura e la finalità del trattamento, il tipo di dati trattati e le categorie di interessati, gli obblighi e i diritti del titolare, le figure dei sub-responsabili, le misure tecniche e organizzative adeguate agli specifici trattamenti posti in essere per conto dell’istituzione stessa, nonché le tempistiche di conservazione, cancellazione e restituzione dei dati.

5. La scuola dovrà assicurare che il sistema scelto per l’erogazione della DDI preveda il rispetto del termine per la cancellazione dei dati?

SI. Come si legge nelle indicazioni del MIUR “in relazione alla conservazione dei dati personali, prevista dall'art.5, lettera e) del Regolamento, il titolare del trattamento è chiamato ad assicurare che i dati non siano conservati più a lungo del necessario, ad esempio, disponendo che i dati siano cancellati al termine del progetto didattico. Pertanto, il Dirigente scolastico, coadiuvato dal RPD, dovrà assicurarsi che il sistema scelto per l’erogazione della DDI preveda il rispetto del termine per la conservazione e la successiva cancellazione dei dati, tenendo altresì conto, nella definizione del limite temporale della conservazione dei dati nell'ambito della DDI, della molteplicità e della quantità di soggetti coinvolti e del numero delle attività di trattamento connesse”. [7]

L’uso del servizio online è rapportato, quindi, ai tempi previsti dal Piano di Didattica Digitale Integrata approvato dall’istituto scolastico. È bene precisare che nel percorso scolastico può essere importante/necessario tracciare la storia degli alunni e mantenere alcune informazioni fino alla fine del ciclo scolastico. Inoltre, va aggiunto che gli istituti scolastici sono soggetti a specifiche e ulteriori indicazioni - rispetto al GDPR e al Codice Privacy - contenute nelle “Regole tecniche in materia di conservazione digitale degli atti” definite da AGID e nei tempi e nei modi indicati dalle “Linee Guida per le Istituzioni scolastiche” e dai “Piani di conservazione e scarto degli archivi scolastici” definiti dalla Direzione Generale degli Archivi presso il Ministero dei Beni Culturali.

6. Nell’ambito della DDI sono consentite le riprese e le registrazioni audio-video delle lezioni? [8]

Nell’ambito della DDI il docente può mettere a disposizione degli studenti, anche per il tramite delle piattaforme utilizzate a tali fini, materiali didattici consistenti anche in proprie video lezioni, su specifici argomenti, per la consultazione e i necessari approfondimenti da parte degli alunni.

Diversamente non è invece ammessa la video registrazione della lezione a distanza in cui si manifestano le dinamiche di classe. Ciò in quanto l’utilizzo delle piattaforme deve essere funzionale a ricreare lo “spazio virtuale” in cui si esplica la relazione e l’interazione tra il docente e gli studenti, non diversamente da quanto accade nelle lezioni in presenza [9].

7. L'istituzione scolastica può creare un account per la registrazione dello studente o del docente alle piattaforme per la didattica digitale integrata? [10]

SI, solo se l’account è utilizzato per finalità istituzionali didattiche e di formazione.

Quando la creazione di un account personale è necessaria per l’utilizzo di piattaforme per la DDI, il trattamento dei dati personali è ammesso purché vengano attivati, per impostazione predefinita - di default -, i soli servizi strettamente necessari allo svolgimento dell’attività didattica.

Nella configurazione degli account associati a studenti e docenti, occorre, inoltre, adottare adeguate procedure di identificazione e di autenticazione degli utenti.

In conclusione, per evitare illegittimi trattamenti è opportuno che l’istituzione scolastica sensibilizzi studenti e genitori sul tema del “digitale” e della “privacy” e formalizzi un disciplinare sull’utilizzo dei servizi online per la didattica.

Alexandra Canestrari - Privacy and Data lawyer SIRO Consulting

 

[1] Nota n. 388 del 17.03.2020 del Ministero dell’Istruzione, dell’Università e della Ricerca

[2] Provvedimento dell’Autorità Garante della Protezione dei Dati personali del 26.03.2020 - “Didattica a distanza: prime indicazioni”- Antonello Soro: “le straordinarie potenzialità del digitale – rivelatesi soprattutto in questo frangente indispensabili per consentire l’esercizio di diritti e libertà con modalità e forme nuove – non devono indurci a sottovalutare anche i rischi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento”.

[3] Autorità Garante della Protezione dei Dati personali, Provvedimento del 26 marzo 2020 “Didattica a distanza: prime indicazioni” in https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9300784

[4] “Didattica Digitale Integrata e tutela della privacy: indicazioni generali”, nota prot. 11600 del 3 settembre 2020 del MIUR reperibile in https://www.istruzione.it/rientriamoascuola/allegati/Didattica-Digitale-Integrata-e-tutela-della-privacy-Indicazioni-generali.pdf

[5] FAQ al MIUR reperibili in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html

[6] Autorità Garante per la Protezione dei dati Personali, doc web n. 9300784 “Didattica a distanza: prime indicazioni “in www.garanteprivacy.it

[7]   FAQ del MIUR reperibile https://www.istruzione.it/rientriamoascuola/allegati/Didattica-Digitale-Integrata-e-tutela-della-privacy-Indicazioni-generali.pdf

[8]  FAQ del MIUR reperibile in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html

[9] cfr. FAQ del Garante “Scuola e privacy” in www.gpdp.it; vedi anche la sezione dedicata a “L'utilizzo degli strumenti e la tutela dei dati” delle richiamate “Linee guida in materia di didattica digitale integrata e tutela della privacy: indicazioni generali

[10] https://www.istruzione.it/rientriamoascuola/domandeerisposte.html