Dopo la pausa estiva sono riprese le lezioni e la didattica “a distanza” (ormai nota anche come “Dad”) ha catapultato l’istituzione che quasi per sua implicita definizione è un luogo necessariamente fisico, dove per eccellenza si svolge quotidianamente l’interazione didattica e umana tra docenti e alunni e tra gli stessi alunni, nella dimensione intangibile, o meglio, virtuale delle piattaforme web.
Il passaggio dalla sospensione dell’attività didattica, nella sua veste che da sempre siamo stati abituati a conoscere, all’avvio della didattica a distanza ha trovato impreparati, come era facile prevedere, tutti gli attori del rapporto docente/alunno e ha inevitabilmente sollevato una serie di questioni in materia di privacy, di trattamento dei dati personali e di categorie particolari di dati, determinando uno smisurato aumento dell’esposizione dei dati – peraltro di una moltitudine di minori – a possibili abusi.
Dad: quadro normativo di riferimento
In primo luogo, è necessario collocare la didattica a distanza partendo dalla normativa vigente in materia.
Come noto, il trattamento dei dati personali è disciplinato in Italia, e in tutti gli Stati Membri dell’Unione europea, dal Regolamento UE n. 2016/679 (di seguito anche solo il “GDPR”). In Italia, vige altresì nella versione adeguata al GDPR, il Codice Privacy (D.Lgs. n. 196/2003 modificato dal D.lgs. n. 28/2018). Accanto a questi testi normativi, la materia è ulteriormente disciplinata dai pareri del Comitato Europeo per la protezione dei dati personali (anche noto come EDPB) nonché dai pareri e dai provvedimenti di indirizzo e sanzionatori adottati dal Garante Privacy italiano.
Ebbene, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, n. 1) GDPR ).
Dunque, quando si parla di dato personale dell’alunno non si allude solo al nome e al cognome, ma anche all’indirizzo email, al numero di telefono, a un codice/matricola alfanumerico, al codice fiscale, ad una eventuale patologia o disabilità, a un’immagine fotografica o video. Sono infatti tutti dati che si riferiscono, e rendono identificata o identificabile, una persona fisica, ovvero l’Interessato (alunno, minore ma anche il singolo docente).
La precisazione è dirimente in quanto, qualora simili informazioni (nome, cognome, foto, indirizzo email, codice fiscale, indirizzo postale) riguardino una persona giuridica (ditta, srl, spa e qualsivoglia ente pubblico o privato) non si tratta di “dato personale”. Ma è altresì opportuno ricordare che nel caso in cui i dati definibili come personali, poiché afferenti una persona fisica, siano di pubblico dominio presso un albo, un elenco reperibile on line, un blog o un sito web ecco che limitatamente a quel dato personale che lo stesso interessato ha reso di pubblico dominio – come nel caso di un professore o uno studente che inserisce una propria foto, un proprio indirizzo email, il proprio indirizzo postale su un sito web o un blog personale o gestito da terzi oppure su una propria pagina social con profilo cd. “aperto”, pubblico – per quei dati non potrà trovare applicazione, o essere invocata, la tutela dettata dal GDPR per quei dati personali che loro stessi hanno reso fruibili a un pubblico indistinto di persone.
Il GDPR e i dati sensibili
Il GDPR e il Codice privacy tutelano altresì le categorie particolari di dati, ovvero i cd. dati sensibili che rivelano “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” (art. 9, parag. 1 GDPR).
Il trattamento dei dati personali – che sta a indicare qualsivoglia azione, condotta quale la raccolta, la registrazione, la conservazione, la comunicazione, la pubblicazione, la diffusione, la cancellazione e distruzione di dati personali – deve svolgersi nel rispetto dei principi di liceità, trasparenza, finalità, limitazione, minimizzazione, correttezza, integrità dei dati (art. 5 GDPR).
Non solo.
Il trattamento dei dati personali è lecito non solo ove rispetti i suddetti principi, ma anche laddove sia lecito (art. 6 GDPR), ovvero quando:
- l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Tale ultima previsione non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
Una volta reso il consenso, che per essere valido deve essere espresso in forma inequivocabile in modo informato, consapevole e libero, lo stesso non deve essere nuovamente raccolto – se non sono ovviamente mutati le identità del soggetto titolare del trattamento e le finalità del trattamento di dati raccolti –, ma può essere revocato dall’interessato il quale “ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di prestare il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato” (art. 7, parag. 3 del GDPR).
Per meglio rendere fruibile l’insegnamento a distanza, da un lato il ministero dell’Istruzione è intervenuto con la Circolare n. 388 del 17.03.2020; dall’altro non si è fatto attendere l’intervento di Antonello Soro, Garante per la protezione dei dati personali, il quale ha avvertito la necessità di formulare, con l’atto del 26.03.2020, delle Linee guida per un corretto svolgimento dell’attività didattica svolta a distanza nel rispetto della tutela dei dati personali e al GDPR.
In primo luogo, nella Nota del ministero dell’Istruzione n. 388 del 17.03.2020 viene dato rilievo al momento emergenziale e a come tale circostanza non debba incidere negativamente o precludere il diritto all’istruzione degli studenti. Si sottolinea altresì il dovere etico e morale di garantire la prosecuzione delle attività didattiche anche al fine di scongiurare forme di isolamento e di demotivazione degli studenti, coinvolgendo ogni ragazzo in attività significative.
Sotto il profilo della privacy, con la medesima Nota il ministero dell’Istruzione afferma che “le istituzioni scolastiche non devono richiedere il consenso per effettuare il trattamento dei dati personali (già rilasciato al momento dell’iscrizione) connessi allo svolgimento del loro compito istituzionale, quale la didattica, sia pure in modalità “virtuale” e non nell’ambiente fisico della classe”. Al contempo, prevede che le istituzioni scolastiche sono tenute, qualora non lo abbiano già fatto, a informare gli Interessati – gli studenti e i loro genitori – del trattamento secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679 e, dunque, sono tenute a:
- a garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, che siano raccolti per finalità determinate, esplicite e legittime, che siano trattati in modo non incompatibile con tali finalità, evitando qualsiasi forma di profilazione, nonché di diffusione e comunicazione dei dati personali raccolti a tal fine, che essi siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati, e trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;
- a stipulare contratti o atti di individuazione del responsabile del trattamento ai sensi dell’articolo 28 del Regolamento, che per conto delle stesse tratta i dati personali necessari per l’attivazione della modalità didattica a distanza;
- a sottoporre i trattamenti dei dati personali coinvolti a valutazione di impatto ai sensi dell’articolo 35 del regolamento.
La figura del Team digitale
Da ultimo, la Nota n. 388 del 17.03.2020 ricorda come il Dirigente scolastico debba coinvolgere anche la figura del Team digitale: raccomandazione importante considerato che attraverso questa figura si sarebbe dovuto garantire, laddove fosse stato necessario, un immediato dialogo costruttivo atto ad informare correttamente studenti e/o genitori in difficoltà nella gestione degli account della postazione virtuale degli alunni o semplicemente diffidenti o dubbiosi circa il rispetto della normativa sulla sicurezza dei dati personali, così da essere tempestivamente messi a conoscenza sulle garanzie in termini di sicurezza predisposte dal fornitore della piattaforma utilizzata da singolo Istituto scolastico.
Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente loro assegnate.
La base giuridica del trattamento risiede negli articoli artt. 6, parr. 1, lett. e) e art. 3, lett. b) del GDPR, nonché nell’art. 9, par. 2, lett. g) del GDPR e artt. 2-ter e 2-sexies del Codice Privacy, ovvero: i) nell’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e ii) nell’adempimento di un obbligo di legge quale, specificatamente, la normativa di settore, comprensiva anche delle disposizioni contenute nei decreti, emanati ai sensi dell’art. 3 del d.l. 23 febbraio 2020, n. 6 , (art. 2, lett. m) e n), del d.P.C.M. dell’8 marzo 2020).
Tuttavia, la scelta e la regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza da parte di scuole e università devono, e dovranno, essere orientate verso strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure per la protezione dei dati.
Venendo alle indicazioni rese dal Garante privacy italiano con atto del 26.03.2020, viene ribadito che l’Istituto scolastico non deve richiedere agli interessati (alunni, genitori e docenti) uno specifico consenso al trattamento dei propri dati personali funzionali allo svolgimento dell’attività didattica a distanza, in quanto è riconducibile – come aveva già evidenziato Il Ministero dell’Istruzione nella nota del 17.03.2020 – “nonostante tali modalità innovative” alle funzioni istituzionalmente assegnate alle Scuole e alle Università. Il Garante, riconosce che le scuole, in qualità di Titolari del trattamento dei dati personali dei propri alunni, docenti e dei genitori degli alunni, devono scegliere e regolamentare gli strumenti più adatti alla realizzazione della didattica a distanza. Tali scelte dovranno tener conto e osservare gli artt. 24 e 25 del GDPR, ovvero la responsabilità del Titolare del trattamento, il quale deve agire nel rispetto del principio di “accountabilty” (responsabilizzazione) e dunque deve poter dimostrare le ragioni, e a monte le valutazioni, delle scelte tecniche e organizzative adottate per garantire la tutela e la sicurezza dei dati personale operando secondo i principi di privacy by design e privacy by default.
Tali valutazioni e scelte devono essere svolte anche avvalendosi dell’intervento del Responsabile per la protezione dei dati ovvero del DPO (o RDP) della scuola o dell’ateneo.
Sempre alla stregua di quanto evidenziato dal Garante privacy non è necessaria la valutazione di impatto, prevista dall’art. 35 del GDPR nelle ipotesi di rischi elevati, “se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”.
Ciò posto, il Garante sottolinea come le società terze fornitrici degli strumenti necessari all’Istituto scolastico per la realizzazione della didattica a distanza debbano essere nominate, mediante contratto scritto, Responsabili del trattamento dei dati ai sensi dell’art. 28 del GDPR, specificando in tale atto di nomina le istruzioni impartite al fornitore per trattare i dati personali attraverso il dispositivo o la piattaforma fornita in modo sicuro e nel rispetto dei principi di liceità, minimizzazione e finalità del trattamento. Il Garante ribadisce come sia un obbligo delle scuole assicurarsi “anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi designato responsabile del trattamento), che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Saranno, in tal senso, utili specifiche istruzioni, tra l’altro, sulla conservazione dei dati, sulla cancellazione – al temine del progetto didattico – di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali”.
Dunque, è fondamentale che i fornitori gestori delle piattaforme non subordino o vincolino la possibilità per la scuola e gli studenti di fruire dei servizi di didattica a distanza alla sottoscrizione di un contratto o alla prestazione, da parte dei genitori o degli studenti, di un consenso al trattamento dei dati connesso alla fornitura di servizi on line ulteriori “non necessari all’attività didattica”. Anche quest’ultima indicazione del Garante si ricollega al dovere delle scuole di garantire la trasparenza e la correttezza del trattamento dei dati personali mediante l’adempimento del dovere di informazione agli Interessati di cui agli artt. 13 e 14 del GDPR, nonché mediante un operato proattivo che non dovrebbe portarle a subire passivamente le policy delle multinazionali fornitrici delle piattaforme, inaugurando, come purtroppo in parte è stato, una sorta di “grande pesca” dei dati personali.
Sempre il Garante Privacy, nella lettera trasmessa al ministero dell’Istruzione in data 04.05.2020 afferma che “sarebbe anzitutto necessario provvedere al perfezionamento della disciplina di settore, adottando segnatamente il “Piano per la dematerializzazione delle procedure amministrative in materia di istruzione, università e ricerca e dei rapporti con le comunità dei docenti, del personale, studenti e famiglie” (…).
Sennonché, in assenza di direttive specifiche, gli istituti scolastici hanno sino ad oggi proceduto alla messa in atto della Dad ricorrendo a soluzioni tecnologiche non sempre sostenute da garanzie adeguate in termini di protezione dei dati personali e talora notevolmente vulnerabili.
La crescente rilevanza assunta, nella fase dell’emergenza Covid-19 dagli strumenti volti a consentire lo svolgimento dell’attività didattica a distanza impone, tuttavia, di riservare maggiore attenzione alle questioni inerenti la sicurezza e la protezione dei dati personali affidati a una serie di trattamenti attraverso tali piattaforme.
Pertanto – come già rappresentato nell’ambito del provvedimento del 26 marzo sulla didattica a distanza – tra i criteri da seguire nella scelta degli strumenti tecnologici per lo svolgimento dell’attività formativa da remoto, devono assumere rilievo anche quelli inerenti le garanzie offerte in termini di protezione dei dati. In questo senso, “il registro elettronico – fornito da soggetti già designati responsabili del trattamento – potrebbe rappresentare lo strumento elettivo mediante cui realizzare (almeno) una parte significativa dell’attività didattica, riducendo proporzionalmente il ricorso a piattaforme esterne che oltretutto non sempre si limitano all’erogazione di servizi funzionali all’attività formativa” (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9334326 – Lettera del Garante 04.05.2020).
Risvolti sul piano operativo della Dad
Ebbene, alla luce del susseguirsi dei primi provvedimenti adottati da ministero dell’Istruzione e della Ricerca e dal Garante Privacy italiano, gli istituti scolastici hanno dovuto in primo luogo pubblicare sui rispettivi siti web istituzionali i provvedimenti (le Circolari) con cui hanno deliberato la scelta di una o più piattaforme attivate per lo svolgimento della didattica da remoto e garantire il diritto allo studio senza incorrere in discriminazioni o ritardi.
Per agevolare tale scelta sul sito del MIUR sono state suggerite le soluzioni delle piattaforme Google Suite for Education, (Google), Office 365 Education A1 (Microsoft) e Weschool (TIM). Ma diversi istituti hanno anche fatto ricorso ad altre soluzioni quali Jitsi, Zoom, Hangsout e Google Classroom.
Una volta scelte le piattaforme, scuole e università avrebbero dovuto immediatamente procedere, così come raccomandato tanto nella Circolare del MIUR quanto dal Garante privacy, con la nomina del fornitore dell’“aula virtuale” ai sensi dell’art. 28 del GDPR. Gli istituti scolastici avrebbero dovuto nominarli impartendo loro una serie di istruzioni, raccomandazioni prevedendo altresì delle penali e delle precise responsabilità in caso di omesso rispetto di quanto istruito o di inadempimento sotto il profilo del corretto operato secondo i dettami di GDPR e Codice privacy. Tuttavia, tale adempimento è stato spesso omesso come è emerso da alcune notizie pubblicate sui quotidiani e i siti d’informazione, tra cui ad esempio si ricorda la decisione drastica della preside di una scuola di Fasano la quale non avendo ricevuto risposte da Google in merito alla nomina di Responsabile del trattamento i sensi dell’art. 28 Gdpr, aveva addirittura interrotto la didattica a distanza per l’assenza di trasparenza e garanzie sulla sicurezza dei dati personali di docenti e studenti trattati sulla piattaforma[1].
Ogni scuola ed università dovrebbe verificare che le piattaforme adottate eroghino le funzionalità e gli strumenti per lo svolgimento della Dad conformemente agli artt. 5 (rispetto dei principi di liceità e correttezza del trattamento dei dati), art. 28 (accettazione delle Istruzioni e degli obblighi di correttezza e sicurezza del trattamento impartire al fornitore / gestore della piattaforma dell’atto di nomina ai sensi dell’art. 28 GDPR come Responsabile del trattamento da parte della Scuola), art. 32 (misure di sicurezza del trattamento dei dati), art. 35 (Valutazione d’impatto del rischio del trattamento).
Il comportamento degli studenti
Tuttavia, in alcuni casi, spesso sui siti delle scuole non è stata pubblicata nemmeno l’informativa privacy aggiornata per gli studenti e i loro genitori (come raccomandato dalle indicazioni del Garante Privacy del 26.03.2020).
Non solo. In alcune circolari scolastiche si ricordava l’applicabilità delle previsioni del Regolamento d’Istituto alla didattica a distanza e che ad esso si sarebbe fatto riferimento in caso di “comportamenti inadeguati”. Sempre mediante le circolari veniva indicato agli studenti che nella didattica a distanza avrebbero dovuto accedere con il proprio nome e cognome visibili (se possibile anche con telecamera attiva) e l’obbligo di tenere “un comportamento corretto”.
Ebbene, in generale sarebbe stato auspicabile l’adozione di circolari recanti, anche e soprattutto con l’ausilio del confronto tra i docenti, i tecnici IT e il Dpo del singolo istituto scolastico, un decalogo, un protocollo comportamentale che gli alunni avrebbero dovuto rispettare durante le videoconferenze per un utilizzo più consapevole e sicuro degli strumenti informatici e digitali, della loro immagine e dei loro dati personali attraverso le videolezioni su piattaforma, anche per meglio tutelarli da potenziali discriminazioni o trattamenti abusivi del dato da parte di soggetti terzi.
Inoltre, è evidente che nell’ambito della didattica a distanza svolta mediante sistemi di videoconferenza l’alunno non può essere obbligato a usare la webcam se da tale impiego ne potesse derivare un danno a un altro diritto, quale ad esempio quello alla privacy familiare: si pensi allo studente che abbia la disponibilità di un solo pc munito di webcam installato però nello studio privato del genitore, oppure in una stanza frequentata anche da altri familiari quale può essere la cucina o un salotto. Si pensi, ancora, allo studente che non voglia mostrare, o si senta a disagio, nel mostrare ai suoi compagni di classe e ai suoi maestri o professori le condizioni non ottimali in cui versa l’immobile in cui vive. In tutte queste ipotesi, pare illegittimo chiedere all’alunno di accendere la webcam per collegarsi in modalità sincrona per una videolezione.
Pertanto, laddove dall’utilizzo della webcam attiva possano derivare lesioni di altri diritti fondamentali, tra cui quello alla privacy dello studente e/o dei suoi familiari o il diritto alla dignità personale, si può ritenere legittimo il rifiuto dello studente di utilizzare la webcam; allo stesso tempo, in tale ipotesi, si potrebbe evitare qualunque ripercussione negativa sul proprio rendimento scolastico adottando strumenti che consentano comunque all’alunno di poter usufruire della lezione: oltre al collegamento in differita, si pensi alla possibilità di assistere all’insegnamento in diretta disattivando la modalità video ma conservando quella audio, così da poter ascoltare la lezione, partecipare oralmente rimanendo solo visivamente non visibile in diretta.
Altra ipotesi è quella in cui un alunno pur dotato di webcam non voglia attivarla senza un giustificato motivo: in tal caso, la condotta negligente potrà rilevare ai fini dell’assegnazione del voto finale o sotto il profilo della condotta. Infatti, pur in assenza di un vero e proprio obbligo di attivare la webcam, il ministero rivolge a entrambe le parti, docenti e studenti, l’invito a comportarsi diligentemente affinché la didattica a distanza possa funzionare. Il ministero ha chiesto a docenti e studenti di cooperare, collaborare per rendere possibile e proficua l’attività di insegnamento a distanza. Ciò sta a significare che le due Parti (discenti e docenti) avrebbero, e in futuri dovranno, venirsi reciprocamente incontro nel reciproco rispetto senza ledere ciascuna i diritti e le libertà fondamentali dell’altra.
Affinché la didattica a distanza possa funzionare senza incorrere in condotte abusive, illecite o meramente discriminatorie, non basta dunque l’imprescindibile approccio proattivo all’insegna dell’accountability dei Titolari del trattamento (scuole e università), che devono adeguatamente formare il personale e informare alunni e genitori, ma devono (e dovranno) fare la propria parte anche gli alunni qualora in futuro sia nuovamente impossibile garantire loro l’istruzione e la formazione scolastica all’interno della scuola che ancora oggi e ancora a lungo è la scuola reale per eccellenza.
- Edizione dell’11 maggio 2020 – https://www.ilfattoquotidiano.it/2020/05/11/coronavirus-preside-ferma-la-didattica-a-distanza-su-google-suite-dubbi-sul-rispetto-della-privacy-degli-alunni/5797511/), la Dirigente scolastica afferma che ha immediatamente sospeso la didattica a distanza fatta con G-Suite “a tutela della privacy degli alunni. All’inizio di questa esperienza ho concesso l’uso di G-Suite ma dopo essermi confrontata con degli esperti e dopo aver letto le parole di Soro ho deciso di fermarmi e chiedere delle risposte in merito, ai miei superiori”. Nel caso dell’Istituto scolastico di Fasano pare che Google non avesse firmato, accettando, le istruzioni e le responsabilità previste nel contratto di nomina Responsabile del trattamento dei dati che il Garante privacy ha ribadito essere un atto doveroso che le scuole devono porre in essere per utilizzare le piattaforme di didattica a distanza. La dirigente sottolinea il fatto che è mancata una ratifica di Google del contratto avviato dalla scuola: “Non avrei voluto sollevare un polverone, ma ho avuto il coraggio di porre un problema che esiste. Mi aspetto una risposta dall’ufficio scolastico provinciale. Ho spiegato anche al ministero la mia posizione. Io semplicemente chiedo: si può proseguire con questa piattaforma? Fino a che punto Google può usare questi dati?”. ↑