Covid-19 Emergency and online education: the instructions of the Data Protection Authority.

The Italian government with its Legislative decree of 8 March 2020, suspended all educational activities from kindergartens to universities for children/students and their teachers. In the same decree a provision for teaching methods at a distance was activated. As a result of the same, the Italian Data Protection Authority in answer to the questions/reports received from the schools’ DPO, teachers and families, regarding the processing of a preliminary guide on how schools and universities should use such tools, guaranteeing the protection of the personal data of the students, their families and their teachers.

IL FATTO

Il Regolamento UE 679/2016 attribuisce al Garante, tra gli altri compiti, quello di promuovere la consapevolezza e favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, con particolare attenzione alle attività destinate specificamente ai minori, nonché agli obblighi imposti ai titolari e i responsabili del trattamento. Nell’attuale contesto emergenziale, il Garante ha pertanto ritenuto necessario fornire alcune prime indicazioni in merito al trattamento di dati personali nell’ambito dell’utilizzo di strumenti per la didattica online. L’intervento del Garante si è reso necessario anche in ragione delle diverse segnalazioni e richieste di chiarimenti ricevute da Data Protection Officers (Responsabili della protezione dei dati, ex art. 37 del Regolamento) di istituti scolastici, ma anche da studenti, famiglie e insegnanti.

Preliminarmente il Garante si è preoccupato di definire la base giuridica del trattamento svolto da scuole e università. Il Garante ha ritenuto legittimo il trattamento dei dati personali relativo a studenti, genitori ed insegnanti poiché il trattamento nel contesto delle attività di didattica online risulta funzionale all’attività formativa in ambito scolastico, professionale, superiore o universitario; tale finalità del trattamento, anche relativo a categorie particolari di dati personali, è svolto da scuole e università nell’esecuzione di un compito di interesse pubblico stabilito dal nostro Ordinamento, ossia il compito istituzionale a cui tali enti sono preposti. Il Garante ha pertanto confermato che non è necessario procedere alla richiesta di specifico consenso al trattamento dei dati personali.

L’assenza di un obbligo ad acquisire un consenso specifico non esenta tuttavia l’ente dall’informare gli interessati -alunni, studenti, genitori e docenti- in merito alle principali caratteristiche del trattamento dei dati personali per garantire liceità, correttezza e trasparenza del trattamento.

Per garantire il rispetto della normativa in materia di tutela dei dati personali, sarà invece determinante la scelta degli strumenti da utilizzare per le attività di didattica online. La scelta del fornitore deve essere guidata dai principi di privacy by design e by default, valutando attentamente le garanzie offerte dal fornitore con riferimento alla protezione dei dati personali e i rischi per gli interessati. Non sarà invece necessario procedere alla Valutazione di Impatto sui dati personali a sensi dell’art. 35 del Regolamento, poiché secondo quanto affermato dal Garante, il trattamento è certamente relativo a soggetti in condizioni particolari, quali minorenni e lavoratori, ma non presenta caratteristiche suscettibili di aggravare i rischi per i diritti e le libertà degli interessati.

Esistono diverse piattaforme che consentono di effettuare l’attività di didattica a distanza. Vi sono piattaforme dedicate alla didattica online che consentono ad esempio lo svolgimento di videolezioni, l’assegnazione dei compiti e il dialogo tra docenti, studenti e famiglie mentre piattaforme “generaliste” che consentono lo svolgimento di molteplici attività. Un esempio di piattaforma dedicata è quello di alcuni registri elettronici che offrono anche servizi di didattica a distanza. Le scuole che scelgano invece di affidarsi a piattaforme che non offrono esclusivamente servizi di didattica online ma molteplici servizi, dovranno prestare attenzione a che siano attivati di default solo i servizi strettamente necessari all’attività didattica, allo scopo di minimizzare i dati personali trattati dalla piattaforma. La piattaforma dovrà pertanto evitare il trattamento di dati ulteriori, come dati sulla geolocalizzazione o sistemi di social login che potrebbero comportare maggiori rischi e responsabilità.

Nelle ipotesi in cui la piattaforma prescelta comporti il trattamento di dati personali di studenti, docenti e genitori, il fornitore della piattaforma dovrà essere nominato responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE 679/2016. Nell’atto di nomina del fornitore o nel contratto per la regolamentazione del rapporto con il fornitore, i titolari del trattamento dovranno assicurarsi che il trattamento svolto per loro conto dai fornitori siano utilizzati solo per l’attività di didattica a distanza. Il Garante ritiene inoltre opportuno che istituti scolastici e università forniscano ai fornitori specifiche istruzioni sul trattamento, la conservazione e la cancellazione dei dati, nonché sulla gestione di eventuali data breach (violazioni di dati personali).

In ogni caso, il Garante per la protezione dei dati personali intende vigilare sull’operato dei fornitori delle principali piattaforme di didattica a distanza.

PERCHÉ È IMPORTANTE:

Queste prime e doverose indicazioni del Garante, consentono di far luce su alcuni aspetti del trattamento dei dati personali nell’attività di didattica a distanza. Alla luce delle numerose novità introdotte repentinamente nella quotidianità di tutti noi dall’emergenza coronavirus, è necessario prestare notevole attenzione alle implicazioni per la tutela dei dati personali e la sicurezza degli interessati, con particolare riferimento alle ipotesi in cui si tratti di minori e lavoratori.

Per non perderti le novità e gli approfondimenti di Tonucci & Partners, iscriviti alle nostre newsletter

    I have read the Privacy Policy
    and i authorized the treatment of my personal data

    No Comments
    Leave a Reply