Didattica a distanza e GDPR, indicazioni Garante Privacy: contenuti, punti critici, scelte consigliate ai dirigenti. Un primo commento

di Avv. Bruno Cantarone

item-thumbnail

Dall’esame dei primi pronunciamenti ufficiali del Garante per la protezione dei dati personali in ordine alla didattica a distanza (il Provvedimento del 26 marzo 2020, reperibile al seguente indirizzo, ed il Comunicato del 30 marzo 2020, reperibile al seguente indirizzo, sono arrivate alcune indicazioni utili delle quali tener conto nella concreta strutturazione della didattica online.

Con l’auspicio di rendere servizio utile ai preoccupati Dirigenti scolastici e di fugare almeno alcuni dei loro innumerevoli dubbi al riguardo, azzardiamo un commento a caldo di tali indicazioni, premettendo tuttavia alcune necessarie precisazioni metodologiche.

La prima è che il Provvedimento del 26 marzo 2020 (e, in particolare, il suo All. n. 1 “Didattica a distanza: prime indicazioni”) costituisce atto di indirizzo ed è pertanto da ritenere più completo e “ragionato” rispetto al secondo (“Coronavirus: didattica on line, dal Garante privacy prime istruzioni per l’uso”) che è invece un mero comunicato, come tale, più sintetico e parziale: ne discende che, in generale, deve tributarsi maggiore attenzione al Provvedimento e al suo Allegato piuttosto che al successivo Comunicato.

La seconda precisazione è che nel Comunicato si fa menzione di una lettera inviata al Miur dal Presidente dell’Autorità Garante “per illustrare gli obiettivi del provvedimento”: è facile quindi che giunga nei prossimi giorni un intervento “a cascata” del Miur che andrà opportunamente considerato.

La terza, non appaia ovvia, è che i due pronunciamenti del Garante forniscono solo le prime indicazioni-istruzioni per la d.a.d., costituendo solo un faro acceso nella notte di una navigazione che sinora è stata frettolosa e per lo più “a vista”, e che invece merita una rotta più definita e sicura.

La rozza metafora marinaresca tenta di esplicitare un retropensiero (altre e più dettagliate istruzioni operative dovranno affiorare perché la situazione si stabilizzi nel verso giusto) che forse è nascosto nella elegante circonlocuzione contenuta nello stesso preambolo del Provvedimento, laddove il Garante ha “ritenuto che … superata la prima fase emergenziale in cui sono state avviate d’urgenza iniziative di didattica a distanza, le scuole e le università potranno gradualmente valutare di adottare ulteriori misure per rafforzare la piena conformità al Regolamento e al Codice.”.

Il principale indizio del supposto retropensiero è il riferimento alla “graduale” valutazione che le scuole potranno effettuare alla luce del Provvedimento, una volta “superata la prima fase emergenziale”.

Nel merito, le principali indicazioni che emergono dai citati pronunciamenti del Garante sono riassumibili nel seguente decalogo:

il trattamento dei dati personali di docenti, alunni, studenti e genitori da parte della scuola che utilizza sistemi di didattica a distanza è riconducibile alle sue funzioni istituzionali e pertanto non è richiesto il consenso dell’interessato;
per il trattamento effettuato da una singola scuola non è necessaria la valutazione di impatto (DPIA) prevista dall’art. 35 del GDPR (contrariamente a quanto affermato dalla nota Miur prot. n. 388 del 17 marzo 2020 che rappresenta, sul punto, un errato ed ingannevole “fuor d’opera”);
spetta alle scuole – quali titolari del trattamento – la scelta degli strumenti più utili per la realizzazione della didattica a distanza;
tale scelta va effettuata tenendo conto della “adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti” nonché delle “garanzie offerte sul piano della protezione dei dati personali”;
le scuole “dovranno orientarsi verso strumenti che abbiano fin dalla progettazione (privacy by design) e per impostazioni predefinite (privacy by default), misure a protezione dei dati.”;
“qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico” ai sensi dell’art. 28 del Regolamento;
“qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non dover designare ulteriori responsabili del trattamento- utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato.”;
“Laddove, invece, si ritenga necessario ricorrere a piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità)”;
è “inammissibile il condizionamento, da parte dei gestori delle piattaforme, della fruizione dei servizi di didattica a distanza alla sottoscrizione di un contratto o alla prestazione – da parte dello studente o dei genitori – del consenso al trattamento dei dati connesso alla fornitura di ulteriori servizi on line, non necessari all’attività didattica.”;
per la trasparenza del trattamento occorre informare gli interessati (alunni, studenti, genitori e docenti).

Poiché questo è il massimo che è possibile trarre dai primi pronunciamenti del Garante, anticipando le richieste di chiarimenti conseguenti ed ulteriori che da essi possono scaturire, proviamo a fare alcuni passi avanti.

Gli elementi certi (ancora pochi ed invero scontati) sono: no al consenso; no alla DPIA; si all’informativa; no a servizi che richiedano da parte dello studente o dei genitori la sottoscrizione di un contratto o il rilascio del consenso “connesso alla fornitura di ulteriori servizi on line, non necessari all’attività didattica”; si alle videoconferenze ma solo se ad accesso riservato.

Il grosso delle perduranti incertezze si concentrerà sulla scelta degli strumenti da utilizzare per la d.a.d., scelta che, non più orientata dalle pur legittime preferenze espresse dai docenti nell’ambito della loro libertà di insegnamento, deve ora passare attraverso una approfondita analisi tecnica del singolo strumento (piattaforma online, applicazione, servizio telematico, ecc.), per stabilire se esso effettivamente disponga di misure a protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), se sia configurabile in modo da minimizzare i dati personali trattati e, dobbiamo aggiungere, se sia reso da un soggetto che accetti di contrattualizzarne le modalità di erogazione e di essere nominato Responsabile del trattamento dei dati per conto del titolare ai sensi dell’art. 28 del GDPR, conformandosi alle istruzioni ricevute, ad esempio, per quanto riguarda la cancellazione dei dati personali al termine del progetto didattico.

Nel probabile caso in cui le conoscenze specialistiche che una simile analisi richiede, travalichino le competenze professionali del Dirigente scolastico–titolare del trattamento, è opportuno che quest’ultimo, invece che “perdersi” nella varietà di proposte disponibili sul mercato digitale o assecondare acriticamente quelle più gradite ai docenti, orienti la sua scelta – almeno allo stato attuale delle cose – principalmente verso tutte le funzionalità ed i servizi dedicati alla d.a.d. resi disponibili dal Registro elettronico in uso nella propria scuola, in quanto provengono da fornitori che già operano quali Responsabili del trattamento in forza di un contratto e verrebbero proposti all’interno di una piattaforma con la quale gli studenti hanno sviluppato “confidenza”.

Altro non è possibile aggiungere, se non una rilevante indicazione: ricorrere di preferenza a fornitori che si siano sottoposti ed abbiano superato il percorso di qualificazione stabilito dall’Agid – Agenzia per l’Italia Digitale, accreditandosi nel Cloud Marketplace Agid ossia nel “Catalogo dei servizi Cloud per la PA” consultabile all’indirizzo https://cloud.italia.it/marketplace/

Verrà il tempo in cui, superata l’attuale fase emergenziale, la didattica a distanza che oggi si impone come l’unica percorribile ai tempi del coronavirus, potrà finalmente essere parte legittimata e legittimante della didattica integrata, affiancandosi alla didattica in presenza come modalità altra, non principale ma nemmeno straordinaria, e la libertà di insegnamento avrà allora modo di sprigionare tutte le sue energie nel proporre, valutare e selezionare in sede collegiale gli strumenti più efficaci e funzionali, all’interno dei consueti percorsi istituzionali di progettazione, condivisione e formazione professionale.

Versione stampabile
Argomenti:

soloformazione