Didattica a distanza e Privacy: il Garante finalmente si esprime, ecco le indicazioni

A 25 giorni dalla chiusura di tutte le scuole d’Italia e in risposta ai tantissimi quesiti posti dai docenti su come devono comportarsi nell’uso degli strumenti on line, il Garante dell privacy il 30 marzo ha pubblicato le “prime istruzioni per l’uso” (ecco qui il link al documento ufficiale).

Nelle istruzioni per l’uso troviamo tante risposte ai nostri quesiti ma anche alcuni dubbi che restano aperti. Vediamo di sciogliere i vari nodi in un elenco ben preciso così da avere tutto chiaro:

  • Non ch’è bisogno richiedere a docenti, studenti e genitori alcun consenso al trattamento dei dati. Questo punto è importante ma va visto alla luce dei seguenti.
  • Non è necessaria la valutazione di impatto per i servizi on line che non prevedono raccolta dati sensibili automaticamente. Nello specifico il Garante precisa: “Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.” Questo è un punto focale importante che fornisce risposta a diversi interrogativi in merito. Tuttavia sottolinea in fatto che la valutazione compete a tutta la scuola non al singolo docente che di fatto non è titolare del trattamento dei dati.
  • Trattamento dei dati da parte dei fornitori di servizi. Qui il discorso si fa più complesso. Nel caso in cui si usino servizi che trattano i dati nostri e degli studenti cosa occorre fare? Il Garante fa un esempio come quello del RE che di fatto tratta dati sensibili e che è conforme alla normativa per via la sottoscrizione del contratto di fornitura alle scuole che lo obbliga. Quando si usano servizi non specificatamente legati alle scuole, occorre accertarsi che questi non trattino i dati dei singoli utenti sempre nel rispetto della Privacy. Anche se lo fanno, potrebbe sfuggire alla scuola il controllo dell’ente terzo che ne tratta i dati, quindi le indicazioni suggeriscono che siano le scuole ad indicare e sottoscrivere contratti e accordi per il trattamento dei dati con enti terzi. E’ ad esempio ciò che accade con GSuite o Microsoft Office 365, che promettono di non trattare i dati sensibili all’interno delle suite didattiche. E’ anche ciò che accade con le piattaforme legate alle case editrici. Sono da escludere iniziative personali da parte dei docenti che propongono ai docenti l’iscrizione a servizi on line a titolo individuale senza che l’account possa essere gestito dalla scuola. in quel caso il consenso verrebbe dato direttamente dallo studente al fornito di servizi senza mediazione da parte della scuola, come avviene per il registro elettronico. Si configurerebbe un rischio di violazione in quanto il minore potrebbe fornire il consenso non avendone titolo.
  • Limitazione nelle finalità del trattamento dei dati. Gli enti fornitori di servizi non possono raccogliere dati per fini diversi da quelli relativi alla didattica. Quindi se per caso al docente viene in mente di far sottoscrivere un account ad un servizio gratuito on line che propone pubblicità o upgrade a servizi a pagamento, si configura una violazione dell’uso di dati sensibili. Stessa cosa vale se è la scuola a indicare una soluzione on line che usi i dati degli studenti per altri fini non didattici.
  • Infine si fa riferimento alla correttezza ed alla trasparenza chiedendo di indicare a tutti gli attori del sistema, docenti e studenti, in primis i le regole ed i rischi che derivano dalla loro violazione.

E’ chiaro ed evidente che l’intervento del garante in questo caso sia previdenziale anche se tardivo perché risponde a molti quesiti dei docenti. E’ anche evidente che il linguaggio utilizzato senza dover far riferimento a particolari piattaforme e servizi va interpretato adeguatamente.
Proviamo a rispondere ad eventuali quesiti:

  • L’uso del registro elettronico è conforme alle norme sulla privacy? Sì, il RE è il primo servizio già conforme che non richiede alcun consenso aggiuntivo.
  • Posso fare videoconferenze utilizzando un particolare servizio on line non presente nelle piattaforme come GSuite e Microsoft? Sì, purché sul servizio non preveda la tracciatura dell’utente né la sua registrazione con uso dell’indirizzo email o numero di cellulare. Se il servizio si attiva mediante un codice fornito dal docente, esso potrà essere usato, altrimenti, se richiede la registrazione è preferibile evitare.
  • Posso usare WhatsApp come strumento di appoggio? Non ci sono indicazioni in merito da parte del Garante. WhatsApp non raccoglie dati sensibili se si usa ad esempio in un gruppo, tuttavia consente di fornire a docenti e studenti il proprio numero di cellulare. E’ su questo punto che occorre fare attenzione. L’uso di WA implicherebbe rendere pubblico il proprio numero di cellulare. La normativa prevede che sia l’istituzione scolastica a custodirlo.
  • Posso registrare le videolezioni in cui c’è la presenza degli studenti? E’ preferibile evitare la registrazione che visualizzi immagini degli studenti. Se proprio deve essere necessario, sarebbe opportuno oscurare le parti in questione. In ogni caso la lezione è qualcosa che avviene all’interno della classe, anche virtuale, quindi la sua registrazione dovrebbe rimanere un fatto privato che il docente è invitato a non divulgare al di fuori della classe.

Eccovi il link al testo del Garante

  •  
  •  
  •  
  •