Privacy scuola, Garante: per la Dad non si richiede consenso a docenti, studenti e genitori. Relazione 2020

Stampa

Il Garante per la protezione dei dati personali pubblica la relazione relativa all’attività del 2020. Una parte del documento viene dedicato all’istruzione scolastica. In riferimento all’anno Covid, il Garante scrive: “Particolarmente intensa è stata l’interlocuzione con il Ministero dell’istruzione, le istituzioni scolastiche e con altri soggetti pubblici nel corso di incontri e contatti volti a fornire chiarimenti e indicazioni in merito alla corretta applicazione della disciplina in materia di protezione dei dati personali, anche e soprattutto alla luce delle diverse iniziative assunte per assicurare la prosecuzione delle attività didattiche e formative nel contesto dell’emergenza epidemiologica da Covid-19”

A partire dalle prime settimane dell’emergenza sanitaria – segnala il Garante -numerosi sono stati i reclami, le segnalazioni e i quesiti riguardanti diversi profili relativi alla protezione dei dati personali sollevati dal crescente ricorso alle piattaforme per l’attività didattica
a distanza resosi necessario a seguito dalla sospensione delle attività scolastiche.

Il garante ricorda che con il provvedimento del 26 marzo 2020, n. 64 (doc. web n. 9300784, sul quale v. anche par. 13.2), è stato chiarito che scuole e università non devono richiedere a personale scolastico, studenti e genitori il consenso al trattamento dei dati personali necessari allo svolgimento dell’attività didattica a distanza in quanto tale trattamento è riconducibile alle funzioni istituzionalmente poste in essere.

Relazione annuale 2020

Il Garante ha infine ricordato alcune Faq:

  • il docente, per il tramite delle piattaforme utilizzate per la didattica digitale, può mettere a disposizione degli studenti materiali didattici (anche proprie video lezioni) per la consultazione e i necessari approfondimenti da
    parte degli alunni e che, invece, non è ammessa la videoregistrazione della lezione a distanza nel corso della quale si manifestano le dinamiche di classe. Ciò in quanto l’utilizzo delle piattaforme deve essere funzionale a ricreare lo spazio virtuale in cui si esplica la relazione e l’interazione tra il docente e gli studenti, non diversamente da
    quanto accade nelle lezioni in presenza.
  • quando la creazione di un account personale è necessaria per l’utilizzo di piattaforme per la DDI, il trattamento dei
    dati personali, riconducibile alle funzioni istituzionalmente assegnate alle scuole, è ammesso a condizione che vengano attivati i soli servizi strettamente necessari allo svolgimento dell’attività didattica: in tali casi non deve essere richiesto il consenso dell’utente (studente, genitore o docente) o la sottoscrizione di un contratto.
  • possibilità per gli istituti scolastici di pubblicare sul sito web istituzionale i dati relativi alla composizione delle classi in occasione dell’avvio del nuovo anno scolastico. Con la Faq n. 6 è stato chiarito che, in assenza di una specifica disposizione normativa, le scuole che intendano garantire in via preventiva la conoscibilità di tali informazioni devono utilizzare modalità idonee ad assicurare la tutela dei dati personali e dei diritti degli interessati, ad es. tramite apposita comunicazione all’indirizzo e-mail fornito dalla famiglia in fase di iscrizione per le classi prime delle scuole di ogni ordine e grado o utilizzando, nelle restanti ipotesi, l’area documentale riservata del registro elettronico a cui accedono tutti gli studenti della classe di riferimento.

Diffusione dati studenti e personale scolastico

Il Garante ha censurato il comportamento di due scuole che avevano pubblicato sul proprio sito web istituzionale graduatorie d’istituto relative al personale docente contenenti, oltre ad informazioni relative all’indirizzo di residenza, al numero di telefono (fisso o mobile), all’indirizzo e-mail, anche l’indicazione dei titoli di preferenza del personale scolastico e, tra questi, informazioni relative alle condizioni di salute: in proposito, è stato rilevato che l’associazione della lettera “S” (che individua la categoria degli “invalidi e mutilati civili”) a taluni nominativi comporta profili di illiceità nel trattamento, con violazione, quanto alla pubblicazione, degli artt. 6 e 9 RGPD e dell’art. 2-ter del Codice, nonché dei principi di liceità e minimizzazione del trattamento (art. 5 del RGPD); in relazione a tali elementi, ai sensi dell’art. 83 del RGPD, è stata comminata ad alcuni istituti
scolastici una sanzione amministrativa.

Un altro episodio riguarda la pubblicazione sul sito web di un istituto scolastico di dati personali di alcuni alunni, anche relativi allo stato di salute; in particolare, è stata accertata la pubblicazione di una graduatoria degli studenti contenente una
serie di informazioni relative alle votazioni riportate, all’indice Isee e allo stato di disabilità riferite ai minori. A seguito dell’intervento del Garante la graduatoria è stata prontamente rimossa e l’istituto è stato sanzionato

Stampa

Corso di perfezionamento in Metodologia CLIL: acquisisci i 60 CFU con Mnemosine, Ente accreditato Miur