Il Garante per la Protezione dei Dati Personali, in data 26 marzo 2020, al fine di fornire a scuole, atenei, studenti e famiglie prime indicazioni funzionali a un utilizzo quanto più consapevole e positivo delle nuove tecnologie a fini didattici, ha approvato il provvedimento n. 64 (doc. web n. 9300784), intitolato “Didattica a distanza: prime indicazioni”.
Il documento in oggetto si inserisce nel particolare contesto emergenziale in cui versa il Paese e che ha imposto l’esigenza di proseguire l’attività didattica con modalità innovative, che annullassero, virtualmente, le distanze fisiche imposte dai doverosi obblighi di distanziamento sociale.
Infatti, le straordinarie potenzialità del digitale, rivelatesi indispensabili in questo frangente, non sono del tutto prive di rischi. Molte delle piattaforme impiegabili a fini didattici – ha sottolineato il Garante – funzionano come veri e propri social network che necessitano di una sia pur minima cognizione delle loro regole di utilizzo e delle implicazioni di ciascun “click”. Si consideri, inoltre, che per i minori che accedono a tali strumenti si tratta, spesso, delle prime esperienze in simili spazi virtuali.
Tra i numerosi punti trattati, per una completa disamina dei quali si rimanda al testo del Provvedimento, giova evidenziare quelli riguardanti la scelta e la configurazione degli strumenti per l’attuazione della didattica a distanza.
Sul tema, il Garante ha raccomandato che scuole e università si orientino verso piattaforme che garantiscano misure a protezione dei dati fin dalla progettazione e per impostazione predefinita.
Il riferimento è al principio sancito dall’art. 25 del GDPR, noto anche con la locuzione privacy by design e by default, che prescrive ai titolari del trattamento due condotte:
- la prima, la messa in atto di misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, sia all’atto del trattamento sia al momento di determinare i mezzi dello stesso, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento dei dati personali, come anche dei rischi e della gravità per i diritti e le libertà degli interessati;
- la seconda, quella di mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
Successivamente – fa notare il Garante – se la piattaforma prescelta comporta il trattamento dei dati personali degli studenti o dei rispettivi genitori, per conto della scuola o dell’università, il fornitore della piattaforma o del servizio online deve essere considerato come responsabile del trattamento e, pertanto, il rapporto tra questo e la scuola o l’ateneo – titolare del trattamento – dovrà essere regolato con contratto o altro atto giuridico, ai sensi dell’art. 28 del Regolamento.
Nel caso in cui si ritenga necessario ricorrere a piattaforme complesse e “generaliste”, ossia che eroghino servizi non rivolti esclusivamente alla didattica online, si dovrà avere cura di attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad esempio, geolocalizzazione e social login).
Le istituzioni scolastiche e universitarie, in tale circostanza, dovranno assicurarsi – in particolare tramite specifiche previsioni del contratto stipulato con il fornitore dei servizi designato responsabile del trattamento – che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Ad esempio, saranno utili specifiche istruzioni, tra l’altro, sulla conservazione dei dati e sulla cancellazione – al temine del progetto didattico – di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali.
Il riferimento, in questo caso, è al principio della limitazione delle finalità del trattamento dei dati e al principio della minimizzazione dei dati, sanciti dall’art. 5 del Regolamento, per cui i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, nonché devono essere trattati solo i dati adeguati, pertinenti e limitati (nel senso di “non eccessivi”) a quanto necessario rispetto alle finalità per le quali sono trattati.
Questi, dunque, sono tra i principiali criteri che devono orientare scuole e atenei nella scelta e regolamentazione degli strumenti da impiegare per la didattica a distanza.
Allo stato attuale, considerato che l’avvio della “fase 2” ha confermato questo tipo di formazione sino alla chiusura dell’anno scolastico, le “prime indicazioni” fornite in materia dal Garante, nel provvedimento n. 64 del 26 marzo scorso, conservano il loro valore prescrittivo.
Si auspica, comunque, un ulteriore intervento che dia conto dei numerosi dubbi che nel frattempo sono sorti e che risponda ai quesiti sollevati dai numerosi titolari del trattamento, responsabili del trattamento e responsabili della protezione dei dati di scuole e atenei.
- “AI Chronicles”, il 1 Luglio un Convegno dedicato all’IA - 17 Giugno 2024
- Progetto ARC II, evento sul GDPR presso l’Università degli Studi di Cagliari - 6 Maggio 2024
- Nuovi scenari della giustizIA - 3 Ottobre 2022