Registro dei provvedimenti
n. 64 del 26 marzo 2020
n. 64 del 26 marzo 2020
GARANTE PER LA PROTEZIONE DEI
DATI PERSONALI
"Didattica a distanza:
prime indicazioni"
All:
n. 1
Didattica a distanza: prime indicazioni
1.
Base giuridica del trattamento dei dati personali
Le scuole e le
università sono autorizzate a trattare i dati, anche relativi a categorie
particolari, di insegnanti, alunni (anche minorenni), genitori e studenti,
funzionali all’attività didattica e formativa in ambito scolastico,
professionale, superiore o universitario (art. 6, parr. 1, lett. e), 3, lett.
b) e 9, par. 2, lett. g) del Regolamento e artt. 2-ter e 2-sexies del Codice).
In tal senso dispone
la normativa di settore, comprensiva anche delle disposizioni contenute nei
decreti, emanati ai sensi dell’art. 3 del d.l. 23 febbraio 2020, n. 6, che
hanno previsto- per tutta la durata della sospensione delle attività didattiche
“in presenza” nelle scuole, nelle università e nelle istituzioni di alta
formazione- l’attivazione di modalità di didattica a distanza, avuto anche
riguardo alle specifiche esigenze degli studenti con disabilità (cfr. spec.
art. 2, lett. m) e n), del d.P.C.M. dell’8 marzo 2020).
Non deve pertanto
essere richiesto agli interessati (docenti, alunni, studenti, genitori) uno
specifico consenso al trattamento dei propri dati personali funzionali allo
svolgimento dell’attività didattica a distanza, in quanto riconducibile –
nonostante tali modalità innovative – alle funzioni istituzionalmente assegnate
a scuole ed atenei.
2.
Privacy by design e by default: scelta e configurazione degli strumenti da
utilizzare
Spetta in primo
luogo alle scuole e alle università- quali titolari del trattamento - la
scelta e la regolamentazione, anche sulle base delle indicazioni fornite dalle
autorità competenti, degli strumenti più utili per la realizzazione della
didattica a distanza (cfr. anche, ove applicabile, art. 39 del Regolamento (UE)
2016/679, infra: “Regolamento”).
Tali scelte dovranno
conformarsi ai principi di privacy by design e by default, tenendo conto, in
particolare, del contesto e delle finalità del trattamento, nonché dei rischi
per i diritti e le libertà degli interessati (artt. 24 e 25 del Regolamento).
Varie piattaforme o
servizi on line permettono di effettuare attività di didattica a distanza,
consentendo la configurazione di “classi virtuali”, la pubblicazione di
materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni,
l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in
modo “social” tra docenti, studenti e famiglie. Alcune piattaforme offrono
anche molteplici ulteriori servizi, non sempre specificamente rivolti alla
didattica.
Tra i criteri che
devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno
includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive
di alunni e studenti, anche le garanzie offerte sul piano della protezione dei
dati personali (artt. 5 e ss. del Regolamento).
La valutazione di
impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati,
non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e
universitarie, ancorché relativo a soggetti in condizioni peculiari quali
minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di
aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio,
non è richiesta la valutazione di impatto per il trattamento effettuato da una
singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un
servizio on line di videoconferenza o di una piattaforma che non consente il
monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni
tecnologiche particolarmente invasive (quali, tra le altre, quelle che
comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).
3.
Il ruolo dei fornitori dei servizi on line e delle piattaforme
Qualora la
piattaforma prescelta comporti il trattamento di dati personali di studenti,
alunni o dei rispettivi genitori per conto della scuola o dell’università, il
rapporto con il fornitore (quale responsabile del trattamento) dovrà essere
regolato con contratto o altro atto giuridico (art. 28 del Regolamento). E’ il
caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per
conto della scuola e, pertanto, assume il ruolo di responsabile del
trattamento. Le eventuali, ulteriori attività di didattica a distanza, talora
fornite da alcuni registri elettronici, possono essere in alcuni casi già
disciplinate nello stesso contratto di fornitura stipulato.
Diversamente,
qualora il registro elettronico non consentisse videolezioni o altre forme di
interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non
dover designare ulteriori responsabili del trattamento- utilizzare servizi on
line accessibili al pubblico e forniti direttamente agli utenti, con
funzionalità di videoconferenza ad accesso riservato. Alcuni di questi servizi
sono, peraltro, facilmente utilizzabili anche senza la necessaria creazione di
un account da parte degli utenti.
Laddove, invece, si
ritenga necessario ricorrere a piattaforme più complesse e “generaliste”, che
non eroghino servizi rivolti esclusivamente alla didattica, si dovranno
attivare, di default, i soli servizi strettamente necessari alla formazione,
configurandoli in modo da minimizzare i dati personali da trattare, sia in fase
di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di
docenti e studenti (evitando, ad esempio, il ricorso a dati sulla
geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti
terzi, comportano maggiori rischi e responsabilità).
Le istituzioni
scolastiche e universitarie dovranno assicurarsi (anche in base a specifiche
previsioni del contratto stipulato con il fornitore dei servizi designato
responsabile del trattamento), che i dati trattati per loro conto siano
utilizzati solo per la didattica a distanza. Saranno, in tal senso, utili
specifiche istruzioni, tra l’altro, sulla conservazione dei dati, sulla
cancellazione - al temine del progetto didattico - di quelli non più necessari,
nonché sulle procedure di gestione di eventuali violazioni di dati personali.
L’Autorità vigilerà
sull’operato dei fornitori delle principali piattaforme per la didattica a
distanza, per assicurare che i dati di docenti, studenti e loro familiari siano
trattati nel pieno rispetto della disciplina di protezione dati e delle
indicazioni fornite dalle istituzioni scolastiche e universitarie.
Al fine di garantire
la massima consapevolezza nell’utilizzo di strumenti tecnologici - delle cui
implicazioni non tutti gli studenti (soprattutto se minorenni) hanno piena
cognizione- sarebbero auspicabili, in ogni caso, iniziative di
sensibilizzazione in tal senso, rivolte a famiglie e ragazzi.
4.
Limitazione delle finalità del trattamento
Ancora, con
riferimento al trattamento dei dati degli studenti svolti dalle piattaforme
quali responsabili del trattamento stesso, si ricorda che esso deve limitarsi a
quanto strettamente necessario per la fornitura dei servizi richiesti ai fini
della didattica on line, senza l’effettuazione di operazioni ulteriori,
preordinate al perseguimento di finalità proprie del fornitore. L’ammissibilità
di tali operazioni dovrà, infatti, essere valutata di volta in volta, rispetto
ai requisiti richiesti dal Regolamento quali, in particolare, i presupposti di
liceità e i principi applicabili al trattamento dei dati personali (artt. 5 e
ss.). Il trattamento ulteriore dei dati degli utenti, da parte dei gestori
delle piattaforme, nella diversa veste di titolari del trattamento, dovrà
naturalmente osservare, tra gli altri, gli obblighi di informazione e
trasparenza secondo quanto previsto dall’art. 13 del Regolamento.
E’ peraltro
inammissibile il condizionamento, da parte dei gestori delle piattaforme, della
fruizione dei servizi di didattica a distanza alla sottoscrizione di un
contratto o alla prestazione– da parte dello studente o dei genitori – del
consenso al trattamento dei dati connesso alla fornitura di ulteriori servizi
on line, non necessari all’attività didattica. Il consenso non sarebbe,
infatti, validamente prestato perché, appunto, indebitamente condizionato al
perseguimento di finalità ultronee rispetto a quelle proprie della didattica a
distanza (art. 7; cons. 43 del Regolamento).
I dati personali dei
minori, del resto, “meritano una specifica protezione relativamente ai loro
dati personali, in quanto possono essere meno consapevoli dei rischi, delle
conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti
in relazione al trattamento dei dati personali” (cons. 38 del Regolamento).
Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo di
tali dati a fini di marketing o di profilazione e, in senso lato, la relativa
raccolta nell’ambito della fornitura di servizi ai minori stessi (cons. 38
cit.).
5.
Liceità, correttezza e trasparenza del trattamento
Al fine di garantire
la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e
universitarie devono assicurare la trasparenza del trattamento informando gli
interessati (alunni, studenti, genitori e docenti), con un linguaggio
comprensibile anche ai minori, in ordine, in particolare, alle caratteristiche
essenziali del trattamento, che deve peraltro limitarsi all’esecuzione
dell’attività didattica a distanza, nel rispetto della riservatezza e della
dignità degli interessati (d.P.R. 24 giugno 1998, n. 249, spec. art. 1; art. 13
del Regolamento).
Nel trattare i dati
personali dei docenti funzionali allo svolgimento della didattica a distanza,
le scuole e le università dovranno rispettare presupposti e condizioni per il
legittimo impiego di strumenti tecnologici nel contesto lavorativo (artt. 5 e
88, par. 2, del Regolamento, art. 114 del Codice in materia di protezione dei
dati personali e art. 4 della legge 20 maggio 1970, n. 300) limitandosi a
utilizzare quelli strettamente necessari, comunque senza effettuare indagini sulla
sfera privata (art. 113 del citato Codice) o interferire con la libertà di
insegnamento.