Con il provvedimento del 26 marzo 2020, il Garante per la protezione dei dati personali interviene in tema di diritto alla protezione dei dati personali nella didattica a distanza, per fornire le indicazioni utili a scuole, atenei studenti e famiglie. L’obiettivo è di assicurare un utilizzo “quanto più consapevole e positivo delle nuove tecnologie a fini didattici”.
In particolare il Garante si sofferma sul fatto che le scuole e le università non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, in quanto esso rientra nelle funzioni istituzionalmente assegnate alle stesse scuole e università.
È comunque necessario che le scuole e le università prestino particolare attenzione alla scelta e regolamentazione degli strumenti digitali utilizzati per la didattica a distanza. In particolare questi strumenti devono essere caratterizzati da misure di protezione dei dati sin dalla fase di progettazione e per “impostazioni predefinite”. E ancora, è possibile esimersi dalla valutazione d’impatto per il trattamento effettuato dalla singola istituzione scolastica nell’ambito di un servizio di videoconferenza o di una piattaforma che non prevede il controllo automatico degli utenti.
Nel caso in cui la piattaforma digitale selezionata comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, occorre regolare il rapporto con il fornitore attraverso un contratto o un altro atto giuridico come nel caso più comune del registro elettronico, per il quale il fornitore tratta i dati per conto della scuola.
Il provvedimento del Garante prevede inoltre che, nel caso in cui sia necessario utilizzare piattaforme più complesse, con servizi che non riguardano solo la didattica, devono comunque essere attivate solamente quelle funzioni strettamente necessarie alla formazione con una configurazione tale da minimizzare i dati personali da trattare, evitando ad esempio la geolocalizzazione, il social login, etc. In questo caso le scuole e gli atenei avranno cura di assicurare un utilizzo dei dati trattati per loro conto solo in riferimento alla didattica a distanza.
In ogni caso la disposizione prevede che il Garante vigili sul rispetto della disciplina di protezione dei dati personali, da parte dei fornitori delle principali piattaforme digitali per la didattica a distanza, con l’obiettivo di garantire un’adeguata tutela del trattamento dei dati dei docenti, degli studenti e delle famiglie.
Inoltre è specificato che il trattamento dati svolto dalle piattaforme per conto della scuola o dell’ateneo si deve limitare solamente ai servizi necessari per la fornitura della didattica online, senza ulteriori finalità proprie del fornitore, che non potrà condizionare la fruizione dei servizi ad alcuna sottoscrizione di contratto o alla prestazione del consenso del trattamento dati, che riguardino l’utilizzo di ulteriori funzioni, non collegate all’attività didattica.
Una particolare attenzione è poi focalizzata sui dati personali dei minori, per i quali deve essere garantita una specifica protezione, poiché essi hanno una minore consapevolezza delle conseguenze dei rischi dei loro diritti. Occorre quindi evitare preservare l’utilizzo dei dati di minori da finalità di profilazione o di marketing.
Infine il Garante si sofferma sulla necessità di garantire la trasparenza e la correttezza del trattamento e, in particolare, al fatto che le scuole e le università debbano informare gli interessati (alunni, studenti, genitori e docenti) con un linguaggio di facile comprensione anche ai minori, con particolare riferimento al trattamento dei dati effettuato.
Accedi al provvedimento del Garante del 26 marzo 2020 n. 64, cliccando qui.