Didattica a distanza e privacy: l’intervento del Garante

(di Camilla Baldassarre) Il Garante della Privacy con il provvedimento del 26 marzo scorso ha fornito delle prime indicazioni per la tutela dei dati nelle attività di didattica a distanza. La pandemia in corso ha infatti obbligato le scuole ad attivarsi con strumenti alternativi forniti dalle nuove tecnologie per poter proseguire l’attività didattica (piattaforme, programmi per web conference, whatsapp, ecc)  e i docenti a destreggiarsi con nuove modalità di interazione.

Le straordinarie potenzialità del digitale, tuttavia, implicano anche la necessità di valutare i rischi ad esso inevitabilmente connessi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento.

Ecco dunque l’opportuno intervento del Garante, dopo una prima breve fase in cui si è navigato a vista, intervento finalizzato a promuovere la consapevolezza e favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, con particolare attenzione alle attività destinate specificamente ai minori, nonché agli obblighi imposti ai titolari e i responsabili del trattamento.

Le indicazioni fondamentali da trarre dal documento, le “istruzioni per l’uso” per la scuola e i suoi operatori e fruitori sono così riassumibili: in primo luogo non deve essere richiesto agli interessati (docenti, alunni, studenti, genitori) uno specifico consenso al trattamento dei propri dati personali funzionali allo svolgimento dell’attività didattica a distanza, in quanto riconducibile – nonostante tali modalità innovative – alle funzioni istituzionalmente assegnate a scuole ed atenei. Le scuole, quali titolari del trattamento, hanno libertà di scelta e di regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza, orientando la scelta degli strumenti da utilizzare anche in base ai criteri dell’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, e delle garanzie offerte sul piano della protezione dei dati personali. La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche. Qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore, quale responsabile del trattamento, dovrà essere regolato con contratto o altro atto giuridico (come nel caso, ad esempio, del registro elettronico). Infine, laddove la scuola ritenga necessario ricorrere a piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, dovranno essere attivati, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi sia durante l’utilizzo degli stessi da parte di docenti e studenti. Evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che  – coinvolgendo soggetti terzi  – comportano maggiori rischi e responsabilità. Viene rammentato dal Garante, a chiusura dell’intervento, che le istituzioni scolastiche devono assicurare in ogni caso la trasparenza del trattamento attraverso una informativa agli interessati – alunni, studenti, genitori e docenti – esposta con un linguaggio comprensibile anche ai minori, in particolar modo con riferimento alle caratteristiche essenziali del trattamento, che deve peraltro limitarsi all’esecuzione dell’attività didattica a distanza, nel rispetto della riservatezza e della dignità degli interessati.