Photo by JESHOOTS.COM

Un commento sulle prime indicazioni dell’Autorità Garante per la protezione dei dati personali in merito alla didattica online

In data 30 Marzo 2020 il Garante per la Protezione dei dati personali ha reso pubbliche le prime istruzioni per la “Didattica online”. Il nuovo concetto di didattica a distanza che già da tempo era stato oggetto di studio in virtù di una crescente evoluzione tecnologica ha trovato una consacrazione necessaria con la chiusura forzata di scuole ed università a seguito dell’emergenza Covid-19.

Le istruzioni del Garante del 30 Marzo seguono le prime indicazioni fornite il 26 Marzo 2020 e chiariscono alcune interessanti questioni che erano state poste già all’indomani dello stop forzato di scuole ed università.
Il Garante, innanzitutto, parte da due interessanti premesse:

  1. La consapevolezza delle enormi potenzialità della didattica online.
  2. Il riconoscimento del grande sforzo che le istituzioni scolastiche ed universitarie hanno fatto per rendere disponibile l’offerta didattica con le nuove modalità nel minor tempo possibile.

Quanto premesso, però, non deve permettere che la tutela del diritto alla riservatezza passi in secondo piano, anzi, è importante svolgere la didattica a distanza tramite le nuove modalità con straordinaria consapevolezza.
In merito al Consenso, obbligatorio secondo quanto previsto ex Art. 7 Reg.UE 679/2016 (c.d. GDPR) il Garante chiarisce che le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.

Inoltre, per quanto concerne la scelta della piattaforma da utilizzare si ricavano due interessanti osservazioni: in primo luogo il trattamento effettuato dalla singola scuola non è da considerarsi “trattamento su larga scala” che è criterio per l’obbligatorietà della nomina del Data Protection Officer ex Art. 37 GDPR, ed in secondo luogo l’istituzione scolastica od universitaria deve orientare la sua scelta verso il fornitore che garantisca una infrastruttura il più possibile attenta alla privacy fin dalla sua progettazione in piena ottemperanza dei principi della c.d. “privacy by default” e “privacy by design” introdotti all’Art. 25 del GDPR. Per tali sistemi, inoltre, salvo che non siano evidenziati particolari rischi non è necessaria la c.d. “Valutazione di impatto” la cui disciplina è rinvenibile dalla lettura in combinato disposto dell’Art. 35 del GDPR e dalle Linee Guida WP248.

Come è noto la dichiarazione d’impatto è una procedura che mira a descrivere un trattamento dei dati ed a valutarne la necessità, la proporzionalità e gli eventuali rischi al fine di predisporre misure idonee adeguate. Inoltre, se la scelta della piattaforma determina il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico.

Le scuole e le università dovranno vigilare sull’operato del fornitore e l’Autorità Garante porrà essa stessa appositi controlli di vigilanza.
Per quanto concerne la limitazione delle finalità del trattamento, il Garante esplicita in modo chiaro che Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore, non potendo, tra l’altro, i gestori delle piattaforme subordinare la fruizione delle stesse alla concessione di un consenso o alla sottoscrizione di un contratto da parte dello studente/alunno o dei genitori dello stesso.

Ai dati personali dei minori, inoltre, l’Autorità Garante richiede di garantire una specifica protezione poiché gli stessi possono essere meno consapevoli dei rischi e vieta che i dati dei minori siano sottoposti ad attività di profilazione e marketing.
In merito alla trasparenza sull’utilizzo dei dati le istituzioni scolastiche e universitarie devono informare gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, riguardo, in particolare, alle caratteristiche essenziali del trattamento che viene effettuato e garantire il rispetto del principio di minimizzazione dei dati come stabilito dall’Art. 5 del GDPR.

In conclusione, le prime indicazioni del Garante sembrano congrue ed aderenti al rispetto della normativa europea e alla relativa legge di attuazione nel nostro ordinamento, ma ciò che l’Autorità dovrà fare con grande attenzione è il monitoraggio ed il controllo sui fornitori delle piattaforme perché le grandi potenzialità della didattica a distanza non si trasformino in una grande falla di tutela.

Autore: Manfredi Domina

Ultimi articoli