Stampa

La privacy al tempo del Covid-19: ok lezioni online, ma prudenza sui dati personali

da Il Sole 24 Ore

di Pietro Alessio Palumbo

Il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie, nonché alle famiglie stesse, l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo alle risorse offerte dalle nuove tecnologie. La corretta gestione dei dati personali dei soggetti coinvolti nell’attività didattica a distanza rappresenta il presupposto indispensabile per rendere lo strumentario digitale una risorsa straordinaria per la garanzia del diritto costituzionale allo studio, al riparo da rischi di abusi o violazioni.

A tal fine il Garante Privacy ha approvato il provvedimento 64/2020 pubblicato il 30 marzo. Innanzitutto nessun bisogno di consenso. Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.

Circa la scelta e regolamentazione degli strumenti di didattica a distanza, scuole e università dovranno orientarsi verso tipologie che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati.

Non è necessaria la valutazione di impatto prevista dal Regolamento europeo privacy per i casi di rischi elevati se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenti ulteriori caratteristiche suscettibili di aggravare i pericoli.

Neppure è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti. Circa il ruolo dei fornitori dei servizi on line e delle piattaforme, se il sistema prescelto comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore dovrà essere regolato con contratto. È il caso del registro elettronico, il cui fornitore tratta i dati per conto della scuola.

Nel caso invece in cui si ritenga necessario ricorrere a piattaforme più complesse che eroghino servizi non rivolti esclusivamente alla didattica, si dovranno attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da “minimizzare” i dati personali da trattare ed evitando geolocalizzazione e social login.

Le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Il Garante Privacy vigilerà sull’operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie. Per quanto riguarda la limitazione delle finalità del trattamento dei dati, la lavorazione delle informazioni svolta dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità del fornitore.

I gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto da parte dello studente o dei genitori, per la fornitura di servizi ulteriori non collegati all’attività didattica. Ai dati personali dei minori, si badi, va garantita una specifica protezione poiché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Tale protezione speciale deve riguardare soprattutto l’utilizzo dei loro dati a fini di marketing o di profilazione.

Inoltre per quanto riguarda la correttezza e trasparenza nell’uso dati, per garantire l’accessibilità e la regolarità del trattamento, le istituzioni scolastiche e universitarie devono informare alunni, studenti, genitori e docenti, con un linguaggio comprensibile, chiaro e adeguato alla tipologia di interessato, riguardo in particolare, alle caratteristiche principali del trattamento e dell’utilizzo delle informazioni.

Infine relativamente ai docenti, scuole e università, nel rispetto della disciplina sui controlli a distanza, potranno trattare solo i dati strettamente necessari e in ogni caso senza effettuare osservazioni o “indagini” sulla sfera privata.

Versione per la stampa