Tonucci News
3.04.2020

Emergenza Covid-19 e didattica online: le istruzioni del Garante

Con il decreto legge dell’8 marzo 2020, il Presidente del Consiglio del Ministri ha disposto la sospensione dei servizi educativi per l’infanzia e delle attività didattiche nelle scuole di ogni ordine e grado, nonché la frequenza delle attività scolastiche e di formazione superiore, comprese le Università, prevedendo inoltre l’attivazione di modalità di didattica a distanza. In seguito a tale disposizione, sono pervenuti al Garante per la protezione dei dati personali alcuni quesiti e segnalazioni da parte di DPO di istituti scolastici, docenti e famiglie, in merito alle modalità di trattamento dei dati personali nel contesto delle attività di didattica online. Il Garante ha pertanto fornito alcune indicazioni preliminari al fine di guidare scuole e università nell’utilizzo di tali strumenti, garantendo la tutela dei dati personali di studenti, famiglie e docenti.

IL FATTO

Il Regolamento UE 679/2016 attribuisce al Garante, tra gli altri compiti, quello di promuovere la consapevolezza e favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, con particolare attenzione alle attività destinate specificamente ai minori, nonché agli obblighi imposti ai titolari e i responsabili del trattamento. Nell’attuale contesto emergenziale, il Garante ha pertanto ritenuto necessario fornire alcune prime indicazioni in merito al trattamento di dati personali nell’ambito dell’utilizzo di strumenti per la didattica online. L’intervento del Garante si è reso necessario anche in ragione delle diverse segnalazioni e richieste di chiarimenti ricevute da Data Protection Officers (Responsabili della protezione dei dati, ex art. 37 del Regolamento) di istituti scolastici, ma anche da studenti, famiglie e insegnanti.

Preliminarmente il Garante si è preoccupato di definire la base giuridica del trattamento svolto da scuole e università. Il Garante ha ritenuto legittimo il trattamento dei dati personali relativo a studenti, genitori ed insegnanti poiché il trattamento nel contesto delle attività di didattica online risulta funzionale all’attività formativa in ambito scolastico, professionale, superiore o universitario; tale finalità del trattamento, anche relativo a categorie particolari di dati personali, è svolto da scuole e università nell’esecuzione di un compito di interesse pubblico stabilito dal nostro Ordinamento, ossia il compito istituzionale a cui tali enti sono preposti. Il Garante ha pertanto confermato che non è necessario procedere alla richiesta di specifico consenso al trattamento dei dati personali.

L’assenza di un obbligo ad acquisire un consenso specifico non esenta tuttavia l’ente dall’informare gli interessati -alunni, studenti, genitori e docenti- in merito alle principali caratteristiche del trattamento dei dati personali per garantire liceità, correttezza e trasparenza del trattamento.

Per garantire il rispetto della normativa in materia di tutela dei dati personali, sarà invece determinante la scelta degli strumenti da utilizzare per le attività di didattica online. La scelta del fornitore deve essere guidata dai principi di privacy by design e by default, valutando attentamente le garanzie offerte dal fornitore con riferimento alla protezione dei dati personali e i rischi per gli interessati. Non sarà invece necessario procedere alla Valutazione di Impatto sui dati personali a sensi dell’art. 35 del Regolamento, poiché secondo quanto affermato dal Garante, il trattamento è certamente relativo a soggetti in condizioni particolari, quali minorenni e lavoratori, ma non presenta caratteristiche suscettibili di aggravare i rischi per i diritti e le libertà degli interessati.

Esistono diverse piattaforme che consentono di effettuare l’attività di didattica a distanza. Vi sono piattaforme dedicate alla didattica online che consentono ad esempio lo svolgimento di videolezioni, l’assegnazione dei compiti e il dialogo tra docenti, studenti e famiglie mentre piattaforme “generaliste” che consentono lo svolgimento di molteplici attività. Un esempio di piattaforma dedicata è quello di alcuni registri elettronici che offrono anche servizi di didattica a distanza. Le scuole che scelgano invece di affidarsi a piattaforme che non offrono esclusivamente servizi di didattica online ma molteplici servizi, dovranno prestare attenzione a che siano attivati di default solo i servizi strettamente necessari all’attività didattica, allo scopo di minimizzare i dati personali trattati dalla piattaforma. La piattaforma dovrà pertanto evitare il trattamento di dati ulteriori, come dati sulla geolocalizzazione o sistemi di social login che potrebbero comportare maggiori rischi e responsabilità.

Nelle ipotesi in cui la piattaforma prescelta comporti il trattamento di dati personali di studenti, docenti e genitori, il fornitore della piattaforma dovrà essere nominato responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE 679/2016. Nell’atto di nomina del fornitore o nel contratto per la regolamentazione del rapporto con il fornitore, i titolari del trattamento dovranno assicurarsi che il trattamento svolto per loro conto dai fornitori siano utilizzati solo per l’attività di didattica a distanza. Il Garante ritiene inoltre opportuno che istituti scolastici e università forniscano ai fornitori specifiche istruzioni sul trattamento, la conservazione e la cancellazione dei dati, nonché sulla gestione di eventuali data breach (violazioni di dati personali).

In ogni caso, il Garante per la protezione dei dati personali intende vigilare sull’operato dei fornitori delle principali piattaforme di didattica a distanza.

PERCHÉ È IMPORTANTE:

Queste prime e doverose indicazioni del Garante, consentono di far luce su alcuni aspetti del trattamento dei dati personali nell’attività di didattica a distanza. Alla luce delle numerose novità introdotte repentinamente nella quotidianità di tutti noi dall’emergenza coronavirus, è necessario prestare notevole attenzione alle implicazioni per la tutela dei dati personali e la sicurezza degli interessati, con particolare riferimento alle ipotesi in cui si tratti di minori e lavoratori.

26.05.2020
press

Tonucci & Partners con la Federazione Italiana Rugby per il suo ingresso tra i soci del Guinness PRO14.

Cristina MazzamauroBenedetto Blasi
Tonucci & Partners, con i soci Benedetto Blasi e Cristina Mazzamauro, ha assistito la Federazione Italiana Rugby (FIR) in un’articolata [...]
13.05.2020
coronavirus

Contagio come infortunio sul lavoro.

Cristina Mazzamauro
Tonucci & Partner, oltre ad aver rilasciato il 29.4.2020 il testo base aggiornato del Protocollo di sicurezza aziendale per le [...]