Nelle scorse settimane, il Garante della privacy è intervenuto proattivamente fornendo indicazioni per assicurare il rispetto del GDPR e del Codice Privacy nell’utilizzo degli strumenti per fornire i servizi dell’istruzione da remoto, largamente utilizzati in questo periodo di emergenza. Il provvedimento contiene indicazioni molto utili per DPO, docenti e dirigenti di scuole, università e altri istituti di formazione.
Cosa dice l’intervento del Garante
L’esigenza di garantire la continuità didattica rispettando i doverosi obblighi di distanziamento sociale ha imposto il ricorso a soluzioni innovative grazie alle innumerevoli risorse offerte dalle nuove tecnologie. Non solo lezioni a distanza e compiti scambiati online, la prosecuzione dell’attività formativa è stata resa possibile grazie al “lodevole sforzo delle istituzioni scolastiche e universitarie, degli studenti e degli stessi genitori”, come sottolineato dal presidente dell’Autorità Garante, Antonello Soro, nella lettera inviata al Ministro dell’Istruzione, al Ministro dell’Università e della ricerca e al Ministro per le Pari opportunità e la famiglia. Tuttavia, sottolinea Soro, è necessario non sottovalutare i rischi che possono derivare da un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento.
Non sorprende infatti che il Garante abbia ricevuto diversi quesiti e segnalazioni da parte dei DPO degli istituti scolastici, ai quali ha provveduto a dare riscontro con l’approvazione di uno specifico atto di indirizzo nell’intento di fornire un supporto utile alla migliore gestione dei dati personali di tutti i soggetti coinvolti nell’attività didattica a distanza.
Necessità del consenso e della nomina a responsabile del trattamento
Con riferimento alla base legale del trattamento dei dati personali effettuato tramite i servizi di didattica online, il Garante chiarisce che scuole e università sono autorizzate a trattare i dati, anche relativi a categorie particolari (come le informazioni sulle convinzioni religiose o sulla salute), di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei e pertanto non è necessario richiedere un consenso specifico.
Quanto al ruolo dei fornitori, il provvedimento sottolinea che se il trattamento dei dati attraverso la piattaforma viene effettuato per conto della scuola o dell’università, e cioè se l’istituto è nella posizione non soltanto di decidere i mezzi tecnici per trattare i dati personali, ma anche quali dati saranno trattati, quali terzi avranno accesso ai dati, quando tali dati saranno eliminati, e le altre decisioni rilevanti in relazione al trattamento[1], allora il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico al fine di designarlo responsabile del trattamento.
In questo senso l’Autorità evidenzia come sia necessario il rispetto del principio di limitazione delle finalità del trattamento, esortando gli istituti ad accertarsi che i dati trattati per loro conto siano utilizzati esclusivamente per finalità di didattica online, anche fornendo le adeguate istruzioni sul trattamento (che potranno essere incluse all’interno della nomina a responsabile), quali ad esempio quelle sulla conservazione dei dati, nonché sulle procedure di gestione di eventuali violazioni di dati personali.
Privacy by design e configurazione degli strumenti
L’Autorità evidenzia come l’attenta selezione e la configurazione adeguata degli strumenti per la didattica online spetti proprio alle scuole e alle università, in quanto titolari del trattamento. Tali scelte – sottolinea il Garante – dovranno conformarsi ai principi di privacy by design e by default del GDPR, tenendo conto sia del contesto didattico e delle finalità di insegnamento legate all’utilizzo dei dati, sia dei rischi connessi per i soggetti coinvolti, che possono essere anche minorenni.
In questo senso il Garante rimarca che è essenziale scegliere con cura la soluzione migliore tenendo conto anche delle garanzie offerte in relazione alla protezione dei dati personali, in quanto, alcune piattaforme offrono servizi ulteriori rispetto a quelli per meri fini didattici. Si renderà pertanto necessario configurarle nel rispetto del principio di minimizzazione, in modo da limitare il trattamento dei dati a quanto strettamente necessario, anche prevedendo un termine di cancellazione al temine del progetto didattico.
Nel provvedimento l’Autorità dichiara che vigilerà sull’operato dei fornitori delle principali piattaforme per la didattica a distanza, ritiene infatti inammissibile l’operato di alcune piattaforme, che condizionano la fornitura dei servizi di didattica al rilascio del consenso – da parte dello studente o dei genitori – per l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore.
Valutazione d’impatto e informativa: entra in gioco il legal design
Alla luce dei rischi specifici connessi all’utilizzo delle piattaforme, potrebbe rendersi necessaria una valutazione d’impatto privacy ai sensi dell’art. 35 del GDPR, per verificare che siano state poste in essere le adeguate misure di sicurezza per limitare i rischi e garantire che il trattamento rispetti i principi del Regolamento privacy. Tale analisi tuttavia, non è richiesta per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma, a condizione che non consenta il monitoraggio sistematico degli utenti o comunque non implichi l’utilizzo di soluzioni tecnologiche particolarmente invasive, come la geolocalizzazione o l’uso di dati biometrici.
L’Autorità chiarisce inoltre quanto sia essenziale rendere pienamente consapevoli docenti, studenti e genitori delle caratteristiche del trattamento e delle misure di salvaguardia nonché dei loro diritti in relazione al trattamento. In tal senso è importante notare che il Garante consiglia l’adozione di iniziative di sensibilizzazione per familiarizzare con l’uso degli strumenti e sottolinea al contempo l’esigenza di adottare un approccio trasparente, chiaro in relazione alle informative privacy. In tal senso un valido supporto può derivare dall’adozione di soluzioni di legal design, per assicurare che i contenuti informativi siano veicolati nella maniera più adeguata in base al target, calibrando adeguatamente gli aspetti formali e sostanziali tenendo conto delle specificità e della consapevolezza dei soggetti di riferimento, siano essi minorenni o professori.
- Per maggiori chiarimenti si veda il Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento” del Gruppo di lavoro ex articolo 29 per la protezione dei dati. ↑