Ministero dell’Istruzione
Dipartimento per le risorse umane, finanziarie e strumentali
Ai Direttori Generali e ai Dirigenti preposti agli Uffici Scolastici Regionali LORO EMAIL
OGGETTO: Iniziative degli istituti scolastici e del personale docente, nell’ambito delle misure di contrasto alla diffusione del visus Sars Cov 2, volte a conoscere lo stato vaccinale degli studenti e delle rispettive famiglie.
Scuola: Garante privacy, i docenti non possono chiedere informazioni sullo stato vaccinale degli studenti
Lettera al Ministero dell’istruzione per sensibilizzare gli istituti scolastici sui rischi di alcune iniziative
L’Autorità Garante per la protezione dei dati personali ha scritto al Ministero dell’istruzione affinché sensibilizzi le scuole sui rischi per la privacy derivanti da iniziative finalizzate all’acquisizione di informazioni sullo stato vaccinale degli studenti e dei rispettivi familiari. Nella lettera si richiama inoltre l’attenzione sulle possibili conseguenze per i minori, anche sul piano educativo, derivanti da simili iniziative.
In queste settimane, il Garante Privacy ha ricevuto segnalazioni e richieste di chiarimenti a proposito di specifiche domande dei docenti o comportamenti volti ad acquisire, anche indirettamente, informazioni sull’avvenuta o meno vaccinazione, sia degli studenti (nella maggior parte dei casi minori) sia dei membri delle rispettive famiglie.
L’Autorità ricorda che, secondo il quadro normativo vigente, agli istituti scolastici non è consentito conoscere lo stato vaccinale degli studenti del primo e secondo ciclo di istruzione, né a questi (a differenza degli universitari) è richiesto il possesso e l’esibizione della certificazione verde per accedere alle strutture scolastiche. Per quanto riguarda i familiari, le amministrazioni scolastiche non possono trattare informazioni relative all’avvenuta o meno vaccinazione, ma limitarsi a verificare, mediante il personale autorizzato, il mero possesso della certificazione verde all’ingresso dei locali scolastici.
A proposito della deroga dall’indossare la mascherina nelle classi in cui tutti gli studenti abbiano completato il ciclo vaccinale o posseggano un certificato di guarigione in corso di validità, il Garante ha confermato piena collaborazione al Ministero dell’istruzione per individuare misure attuative che consentano di soddisfare le esigenze sanitarie di prevenzione epidemiologica e, allo stesso tempo, assicurino il rispetto della libertà di scelta individuale e il diritto alla protezione dei dati personali.
L’Autorità ribadisce la necessità che vengano in ogni caso individuate modalità che non rendano identificabili gli studenti interessati, anche al fine di prevenire possibili effetti discriminatori per coloro che non possano o non intendano sottoporsi alla vaccinazione.
Roma, 23 settembre 2021
Nota 29 settembre 2021, AOODPPR 1072
Iniziative degli istituti scolastici e del personale docente, nell’ambito delle misure di contrasto alla diffusione del visus Sars Cov 2, volte a conoscere lo stato vaccinale degli studenti e delle rispettive famiglie
Garante privacy: via libera alle nuove modalità di verifica del green pass nelle scuole
Il Garante per la protezione dei dati personali, in via d’urgenza, ha espresso parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che introduce modalità semplificate di verifica delle certificazioni verdi del personale scolastico, alternative a quelle ordinarie che prevedono l’uso dell’App VerificaC19, che rimane comunque utilizzabile.
Il testo recepisce le indicazioni fornite dal Garante nell’ambito delle interlocuzioni informali e delle riunioni con i rappresentati del Ministero dell’istruzione e del Ministero della salute, al fine di assicurare il corretto adempimento degli obblighi in materia di green pass per il personale scolastico e il rispetto della disciplina di protezione dei dati personali, nonché di evitare conseguenze discriminatorie, anche indirette, nel contesto lavorativo.
In particolare, le istituzioni scolastiche, in qualità di datori di lavoro, si limiteranno a verificare – attraverso il Sistema informativo dell’istruzione-Sidi e la Piattaforma nazionale-DGC – il mero possesso della certificazione verde Covid-19 da parte del personale, trattando esclusivamente i dati necessari.
Il processo di verifica dovrà essere effettuato quotidianamente prima dell’accesso dei lavoratori in sede e dovrà riguardare solo il personale per cui è prevista l’effettiva presenza in servizio nel giorno della verifica, escludendo comunque chi è assente per specifici motivi: ad esempio, per ferie, permessi o malattia.
A seguito dell’attività di controllo del green pass, i soggetti tenuti alle verifiche potranno raccogliere solo i dati strettamente necessari all’applicazione delle misure previste in caso di mancato rispetto degli obblighi sul green pass (ad esempio assenza ingiustificata, sospensione del rapporto di lavoro e del pagamento dello stipendio).
Particolare attenzione è stata posta anche sulle misure di sicurezza da adottare. I soggetti tenuti ai controlli potranno accedere, in modo selettivo, ai soli dati del personale in servizio presso le istituzioni scolastiche di propria competenza. Per evitare eventuali abusi, le operazioni di verifica del possesso delle certificazioni Covid-19 da parte dei soggetti tenuti ai controlli saranno oggetto di registrazione in appositi log (conservati per dodici mesi), senza però conservare traccia dell’esito delle verifiche.
È inoltre previsto che la valutazione di impatto, effettuata dal Ministero della Salute, relativa ai trattamenti connessi all’emissione e alla verifica delle certificazioni verdi Covid-19, sia integrata e aggiornata tenendo conto degli specifici scenari di rischio legati ai dati sanitari del circa un milione di lavoratori della scuola, prestando particolare attenzione alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo.
Roma, 31 agosto 2021
Parere sullo schema di decreto concernente Misure recanti modifiche ed integrazioni alle disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19” – 31 agosto 2021
Oggetto: Indicazioni generali sul rapporto tra obblighi di pubblicità e trasparenza e trattamento dei dati personali – Ordinanza Garante privacy n. 51 del 11/2/2021
Ratifica ed esecuzione del Protocollo di emendamento alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, fatto a Strasburgo il 10 ottobre 2018. (21G00068)
(GU Serie Generale n.110 del 10-05-2021)
Ministero dell’Istruzione
Dipartimento per il sistema educativo di istruzione e di formazione
Ai Direttori Generali e Dirigenti titolari degli Uffici scolastici regionali
e, p.c. All’Ufficio di Gabinetto
Al responsabile della protezione dei dati personali dott.ssa Antonietta D’Amato
al Sovrintendente Scolastico per la Scuola in lingua italiana di Bolzano
all’Intendente Scolastico per la Scuola in lingua tedesca di Bolzano
all’Intendente Scolastico per la Scuola delle località ladine di Bolzano
al Dirigente del Dipartimento Istruzione e cultura per la Provincia di Trento
al Sovrintendente Scolastico per la Regione Valle D’Aosta
Alle Organizzazioni sindacali del personale scuola e dei dirigenti scolastici
Oggetto: Comunicazione di dati personali del personale scolastico alle organizzazioni sindacali
Ministero dell’Istruzione
Ufficio di Gabinetto
Alla Direzione generale per il personale scolastico dgpersonalescuola@postacert.istruzione.it
e, p.c. Al Dipartimento per il sistema educativo di istruzione e di formazione dpit@postacert.istruzione.it
Oggetto: Chiarimenti in merito alla legittimità di fornire dati personali dei dipendenti alle organizzazioni sindacali – nota del Garante per la protezione dei dati personali prot.49472 del 28/12/20.
Nota Garante Privacy 28 dicembre 2020, prot.n. 49472
Chiarimenti in merito alla legittimità di fornire dati personali dei dipendenti alle organizzazioni sindacali
Oggetto: Chiarimenti in merito alla legittimità di fornire dati personali dei dipendenti alle organizzazioni sindacali
Ministero dell’Istruzione
Ufficio di Gabinetto
Dipartimento per le risorse umane, finanziarie e strumentali
Direzione Generale per le risorse umane, finanziarie e i contratti – Ufficio IX
Ai Direttori generali e non generali preposti agli Uffici scolastici regionali
Al Sovrintendente Scolastico per la Scuola in lingua italiana di Bolzano
All’Intendente Scolastico per la Scuola in lingua tedesca di Bolzano
All’Intendente Scolastico per la Scuola delle località ladine di Bolzano
Al Dirigente del Dipartimento Istruzione e cultura per la Provincia di Trento
Al Sovrintendente Scolastico per la Regione Valle D’Aosta
Loro indirizzi pec
e, per il loro tramite, ai Dirigenti Scolastici delle istituzioni scolastiche di ogni ordine e grado
e, per il loro tramite, ai Docenti
Loro sedi
e, p.c.
Al Capo Dipartimento per il sistema educativo di istruzione e formazione
Al Capo Dipartimento per le risorse umane, finanziarie e strumentali
Ai Direttori generali dell’Amministrazione centrale
Loro indirizzi pec
All’Autorità Garante per la protezione dei dati personali
protocollo@gpdp.it
Al Responsabile della protezione dei dati personali del Ministero dell’Istruzione
rpd@istruzione.it
Oggetto: Didattica Digitale Integrata e tutela della privacy: indicazioni generali.
A seguito dell’adozione delle Linee guida sulla Didattica digitale integrata con Decreto del Ministro dell’Istruzione n. 89 del 7 agosto u.s., a supporto delle istituzioni scolastiche, si trasmette il documento in allegato, predisposto da un Gruppo di lavoro congiunto tra Ministero dell’istruzione e l’Ufficio del Garante per la protezione dei dati personali, al fine di fornire linee di indirizzo comuni e i principi generali per l’implementazione della didattica digitale integrata, con particolare riguardo ai profili di sicurezza e protezione dei dati personali, sulla base di quanto previsto dal Regolamento (UE) 2016/679.
Si ringrazia per la consueta e fattiva collaborazione.
IL CAPO DI GABINETTO
Cons. Luigi Fiorentino
Privacy e voti: quali novità quali prospettive
di Cinzia Olivieri
In merito al rapporto tra privacy e voti si è detto tanto e non si dubitava sino alla circolare ministeriale n. 9168 del 9 giugno 2020, che segue ed esplica la nota prot. 8464 del 28 maggio 2020, la quale, per effetto delle deroghe disposte in considerazione della situazione di emergenza sanitaria, ha previsto che, in caso di amissione di alunni alla classe successiva con insufficienze, “anche i voti inferiori a sei decimi sono riportati, oltre che nei documenti di valutazione finale, nei prospetti generali da pubblicare sull’albo on line dell’istituzione scolastica”. Insomma la disposizione ha consentito la pubblicazione anche delle insufficienze sull’albo on line – in luogo della consueta cartellonistica – tra i “prospetti generali”, dunque con apparente modalità di estesa pubblicità.
Al di là delle esigenze attuali di evitare affollamenti innanzi ai manifesti cartacei, quanto meno per gli effetti di pubblicità legale il ricorso all’albo della scuola con la tradizionale affissione dei “quadri” poteva comunque considerarsi formalmente superato dalla previsione dell’art. 32, comma 1, la legge 69/2009 per la quale “a far data dal 1 gennaio 2010 (termine poi prorogato al 2011) gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicità legale si intendono assolti con la pubblicazione sui propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati”.
Garante privacy e voti
Per quanto attiene specificamente la privacy, già nella Newsletter del Garante 12 – 18 giugno 2000, si legge:“Continua ad essere diffusa sui mezzi d´informazione l´opinione che l´iniziativa del Ministero della pubblica istruzione di non far rendere note sui quadri esposti al pubblico le valutazioni finali analitiche a carico dei “bocciati” o dei non ammessi all´esame di maturità derivi dalla tutela della riservatezza personale o addirittura dal contenuto della legge n. 675 del 1996.
Ciò non è vero, dal momento che questa legge non prevede nulla del genere. D´altra parte una (discutibilissima in questo campo) tutela della riservatezza dello studente imporrebbe addirittura l´assenza di pubblicità su ogni esito scolastico, anche sintetico; e poi, su questa via, perché allora diffondere gli esiti degli altri studenti?
La realtà è che l´iniziativa del Ministero sembra rispondere alla diversa esigenza – giusta o sbagliata che sia – di cercare un rapporto con gli studenti in questa situazione difficile e con le loro famiglie.
Certo che la pubblicità degli esiti scolastici è invece la regola in generale: non può infatti dimenticarsi che vi sono essenziali esigenze di controllo sociale e professionale che dipendono proprio dalle conoscibilità delle valutazioni finali”.
Successivamente, in un documento del Garante del 28 agosto 2008, a proposito della pubblicità dei voti dell´esame di stato si afferma: “In riferimento a odierne dichiarazioni riportate dalle agenzie il Garante per la protezione dei dati personali ribadisce che, come già precisato più volte, nessun provvedimento dell´Autorità ha mai impedito la pubblicità dei voti dell´esame di stato. Il regime attuale relativo alla conoscibilità degli esiti degli esami di maturità è stato stabilito dal Ministero dell´istruzione indipendentemente da ogni parere o richiesta del Garante”.
Ed ancora, nel vademecum “La scuola a prova di privacy” del 2016, antecedente all’applicazione del Regolamento UE 679/2016, decorrente dal 25 maggio 2018, a proposito di voti, scrutini, esami di Stato è scritto: “I voti dei compiti in classe e delle interrogazioni, gli esiti degli scrutini o degli esami di Stato sono pubblici. Le informazioni sul rendimento scolastico sono soggette ad un regime di trasparenza e il regime della loro conoscibilità è stabilito dal Ministero dell´istruzione. E´ necessario però, nel pubblicare voti degli scrutini e degli esami nei tabelloni, che l´istituto eviti di fornire, anche indirettamente, informazioni sulle condizioni di salute degli studenti: il riferimento alle “prove differenziate” sostenute dagli studenti portatori di handicap, ad esempio, non va inserito nei tabelloni, ma deve essere indicato solamente nell´attestazione da rilasciare allo studente”.
Tanto si trova ribadito nelle FAQ del Garante.
Dunque è legittima la pubblicazione dei voti in considerazione dei principi di imparzialità e trasparenza della P.A. e del regime di conoscibilità stabilito dal Ministero con i limiti derivanti dalla possibilità di conoscenza di eventuali dati “particolari”
Art. 96 Dlgs 196/03 come modificato dal Dlgs 101/2018
Il Dlgs 30 giugno 2003, n. 196, come modificato dal Dlgs. n. 101/2018, per effetto del GDPR, ha preso in considerazione espressamente il trattamento dei dati degli studenti all’art. 96 stabilendo: “1. Al fine di agevolare l’orientamento, la formazione e l’inserimento professionale, anche all’estero, le istituzioni del sistema nazionale di istruzione, i centri di formazione professionale regionale, le scuole private non paritarie nonché le istituzioni di alta formazione artistica e coreutica e le università statali o non statali legalmente riconosciute su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti formativi, intermedi e finali, degli studenti e altri dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento, pertinenti in relazione alle predette finalità e indicati nelle informazioni rese agli interessati ai sensi dell’articolo 13 del Regolamento. I dati possono essere successivamente trattati esclusivamente per le predette finalità. 2. Resta ferma la disposizione di cui all’articolo 2, comma 2, del decreto del Presidente della Repubblica 24 giugno 1998, n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano altresì ferme le vigenti disposizioni in materia di pubblicazione dell’esito degli esami mediante affissione nell’albo dell’istituto e di rilascio di diplomi e certificati”.
Se il termine “affissione” appare collegato ad una pubblicità consistente appunto nell’affiggere manifesti o cartelli è lecito domandarsi se può essere utilizzato anche virtualmente o sia necessario il ricorso al cartaceo, seppur privo di valore di pubblicità legale; né può sottacersi la circostanza che l’ostensione del voto consente che questo oggettivamente possa continuare a circolare per un tempo sostanzialmente illimitato.
L’art. 1 del Regolamento UE 679/2016 dispone che i dati devono poter circolare liberamente, sebbene in maniera protetta a tutela dei diritti e delle libertà fondamentali delle persone fisiche.
Il controllo della PA nell’accesso civico generalizzato
D’altro canto, in attuazione dei principi di imparzialità e trasparenza della PA sono state previste ulteriori forme di accesso volte a operare quel “controllo” escluso dalla L 241/90.
Ci si riferisce in particolare all’accesso civico generalizzato del Dlgs. n. 33/2013, introdotto dal Dlgs 97/2016 all’art. 5 comma 2 e riconosciuto a chiunque senza formalità “Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico”. Pertanto qualunque cittadino “ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione” obbligatoria.
Tanto comporta che, in presenza di una istanza di accesso civico generalizzato, nella valutazione del pregiudizio concreto, si faccia riferimento ai principi generali sul trattamento di necessità, proporzionalità, pertinenza e non eccedenza, in conformità al nuovo quadro normativo in materia di protezione dei dati introdotto dal Regolamento (UE) n. 679/2016, verificando se ed in che misura la conoscenza indiscriminata di dati risulti non necessaria o comunque sproporzionata rispetto allo scopo di trasparenza e controllo ed effettuando un “bilanciamento degli interessi” tra il diritto alla conoscibilità e quello alla protezione dei dati personali (che non significa optare per la parte più pesante ma livellare i due piatti).
In considerazione poi della duplice previsione della «privacy by design» e «privacy by default» dell’art. 25 del GDPR, il titolare del trattamento (nella fattispecie la scuola nella persona del dirigente scolastico) è tenuto a porre in essere «misure tecniche e organizzative adeguate per garantire che siano trattati per impostazione predefinita solo i dati necessari per ogni specifica finalità del trattamento» nonché altre «quali la pseudonimizzazione, volta ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione […]». Esse impongono quindi al titolare di prevedere i rischi che possono incontrare per la tutela dei dati personali, scegliendo di conseguenza quali strumenti adottare.
La nota del 9 giugno
Ritornando alla nota del 9 giugno essa è stata introdotta dichiaratamente “Al fine di assicurare il rispetto del quadro normativo in materia di protezione dei dati – Regolamento (UE) 2016/679 e d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. n. 101/2018, Codice in materia di protezione dei dati personali”. Se ne desume che l’orientamento sia ora cambiato in considerazione del rischio collegato alla circostanza che i voti, una volta esposti, possono rimanere in rete per un tempo indefinito (il che poteva accadere anche prima) e quindi essere “registrati, utilizzati, incrociati” da chiunque con conseguente ingiustificata violazione del diritto alla riservatezza degli studenti.
Precisa la nota “che per pubblicazione on line degli esiti degli scrutini delle classi intermedie delle scuole primarie, secondarie di primo grado e secondarie di secondo grado si intende la pubblicazione in via esclusiva nel registro elettronico”, ribadendo quindi quanto già prescritto nella disposizione di maggio.
Ma in merito alle modalità di pubblicazione è ulteriormente chiarito che “gli esiti degli scrutini con la sola indicazione per ciascun studente “ammesso” e “non ammesso” alla classe successiva, sono pubblicati, distintamente per ogni classe, nell’area documentale riservata del registro elettronico, cui accedono tutti gli studenti della classe di riferimento. Diversamente i voti in decimi, compresi quelli inferiori a sei decimi, riferiti alle singole discipline, sono riportati, oltre che nel documento di valutazione, anche nell’area riservata del registro elettronico a cui può accedere il singolo studente mediante le proprie credenziali personali”.
Dunque si evince che la classe potrà leggere soltanto il giudizio di ammissione o non ammissione mentre l’accesso ai propri voti resta limitato a ciascuno studente con proprie credenziali.
La stessa nota raccomanda i dirigenti di predisporre uno specifico “disclaimer” con esclusione di responsabilità in caso di divulgazione del dato. A tal proposito è singolare come invece la normativa in tema di accesso civico preveda in generale la riutilizzabilità del dato (artt. 7 e 7 bis)
La pubblicazione all’albo cartaceo è consentita in via del tutto eccezionale e residuale nei casi di mancanza di registro elettronico “con la sola indicazione di ammissione/non ammissione alla classe successiva”.
Infine, fermo il rispetto dei noti principi di riservatezza, per evitare gli assembramenti in tal caso è prevista una calendarizzazione degli accessi ed un tempo massimo di pubblicazione non eccedente i 15 giorni.
Ebbene non si tratta di una norma derogatoria in considerazione di circostanze eccezionali ma di un cambiamento di orientamento dinanzi ad un impianto normativo allo stato invariato o comunque non significativamente modificato.
Che ne è della trasparenza (e imparzialità) della valutazione che continua ad essere richiamata nell’art. 1 del DPR 122/08 e del Dlgs 62/2017?
Considerati i principi alla base del diritto di accesso di cui al Dlgs 33/13 come modificato dal Dlgs 97/2016 non potrebbe accadere che le scuole si vedano destinatarie di numerose istanze di accesso (civico) al fine di realizzare quel controllo sull’operato in presenza di insufficienze?
Il voto dunque sarà assimilato ad un dato particolare e smetterà di essere pubblico?
Questo ridurrà o implementerà il contenzioso?
Lo scopriremo solo vivendo. Ma se da un lato tanto appare motivato dall’esigenza di tutela di un dato (il voto, pregiudizievole se negativo) dall’altro il “distanziamento” scuola – famiglia appare sempre più profondo, senza tuttavia averne la reale percezione perché da casa sarà tutto più facile, comodo e protetto.
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali (Ansa, 11 giugno 2020)
In relazione alla questione della pubblicazione degli scrutini on line, l’Autorità garante per la protezione dei dati personali sentita dall’ANSA, chiarisce che a ”differenza delle tradizionali forme di pubblicità degli scrutini – che oltre ad avere una base normativa consentono la tutela dei dati personali dei ragazzi – la pubblicazione online dei voti costituisce una forma di diffusione di dati particolarmente invasiva, e non coerente con la più recente normativa sulla privacy”. Per questo sostanzialmente il Garante è d’accordo, con la linea del Miur di indicare l’ammissione degli studenti soltanto sul registro elettronico.
”Su questo punto – spiega il Garante – in un’ottica di collaborazione tra istituzioni, ci sono state nei giorni scorsi interlocuzioni con il Ministero della pubblica istruzione, che sono alla base della nota del 9 giugno dello stesso Ministero.
Una volta esposti, infatti, i voti rischiano di rimanere in rete per un tempo indefinito e possono essere, da chiunque, anche estraneo all’ambito scolastico, e per qualsiasi fine, registrati, utilizzati, incrociati con altri dati presenti sul web, determinando in questo modo una ingiustificata violazione del diritto alla riservatezza degli studenti, che sono in gran parte minori, con possibili ripercussioni anche sullo sviluppo della loro personalità, in particolare per quelli di loro che abbiano ricevuto giudizi negativi.
La necessaria pubblicità agli esiti scolastici – conclude il Garante – può essere peraltro realizzata, senza violare la privacy degli studenti, prevedendo la pubblicazione degli scrutini non sull’albo on line, ma, utilizzando altre piattaforme che evitino i rischi sopra evidenziati”.
Richiesta di parere in merito all’applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO).
Riferimenti normativi: Articoli 35 e 36 del decreto legislativo 18 aprile 2016 n. 50 e s.m., Regolamento UE 2016/679; Linee guida sul Responsabile dei dati personali emanate dal Garante per la protezione dei dati individuali il 13/12/2016;
Parole chiave: Principio di rotazione – Applicazione agli affidamenti di servizi di protezione di dati personali (DPO) – Sussiste.
Massima: L’affidamento dei contratti aventi ad oggetto il servizio di protezione dei dati personali di importo inferiore alle soglie comunitarie deve avvenire nel rispetto del principio di rotazione. I particolari requisiti e obiettivi di esperienza e stabilità nell’organizzazione del servizio, richiesti dalla normativa di settore, possono essere perseguiti dalla stazione appaltante, già in fase di programmazione dei fabbisogni e di progettazione del servizio da affidare, attraverso la previsione di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste al contraente.
Il Consiglio dell’Autorità Nazionale Anticorruzione
nell’adunanza del 13 maggio 2020;
VISTA la richiesta di parere dell’Associazione Data Protection Officer, acquisita al prot. Autorità n. 30246 del 23/4/2020 con cui è stato chiesto l’avviso di questa Autorità in merito alla disciplina applicabile ai contratti aventi ad oggetto servizi di protezione dei dati individuali sottoscritti ai sensi dell’articolo 37, punto 6, del Regolamento UE 2016/679, con particolare riferimento al principio di rotazione e al rinnovo dei contratti.
VISTI gli articoli 35 e 36 del decreto legislativo 18 aprile 2016, n. 50 e s.m.;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
VISTE le Linee guida sul Responsabile della protezione dei dati emanate dal Garante per la protezione dei dati individuali in data 13 dicembre 2016;
DELIBERA
L’affidamento all’esterno del servizio di protezione dei dati personali si configura come un appalto di servizi e come tale soggiace alle disposizioni del codice dei contratti pubblici, con conseguente obbligo di procedere alla selezione del contraente nel rispetto delle procedure ivi previste in ragione dell’importo del contratto.
Tale servizio è reso disponibile sui sistemi di e-procurement e, pertanto, ai sensi dell’articolo 26, comma 3, della legge 23/12/1999 n. 488 e dell’articolo 1 del decreto-legge 6 luglio 2012 n. 95, convertito con modificazioni nella legge 7 agosto 2012 n. 135 recante «Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini», gli affidamenti che non siano effettuati attraverso gli strumenti di acquisto messi a disposizione da Consip o dalle centrali di committenza regionali di riferimento sono affetti da nullità.
Ai sensi dell’articolo 36 del codice dei contratti pubblici, l’affidamento e l’esecuzione di lavori, servizi e forniture di importo inferiore alle soglie di cui all’articolo 35 avvengono nel rispetto dei principi di cui agli articoli 30, comma 1, 34 e 42, nonché del rispetto del principio di rotazione degli inviti e degli affidamenti e in modo da assicurare l’effettiva possibilità di partecipazione delle microimprese, piccole e medie imprese.
I paragrafi 3.6 e 3.7 delle Linee guida n. 4/2016, offrono indicazioni di dettaglio sull’applicazione del principio di rotazione, specificando che lo stesso non si applica laddove il nuovo affidamento avvenga tramite procedure ordinarie o comunque aperte al mercato, nelle quali la stazione appaltante, in virtù di regole prestabilite dal Codice dei contratti pubblici ovvero dalla stessa in caso di indagini di mercato o consultazione di elenchi, non operi alcuna limitazione in ordine al numero di operatori economici tra i quali effettuare la selezione.
Fermo restando quanto previsto al paragrafo 3.6, secondo periodo, delle citate Linee guida, il rispetto del principio di rotazione degli affidamenti e degli inviti fa sì che l’affidamento o il reinvito al contraente uscente abbiano carattere eccezionale e richiedano un onere motivazionale più stringente. Sono indicate quali ipotesi di deroga al principio in argomento circostanze attinenti alla particolare struttura del mercato e alla riscontrata effettiva assenza di alternative, che non sembrano ricorrere nel caso di specie.
Si ritiene, quindi, che le esigenze manifestate dall’istante in ordine alla necessità di garantire, nell’esecuzione del contratto, il perseguimento di requisiti e obiettivi raggiungibili soltanto a lungo termine, in conseguenza della maturazione di solida esperienza circa la specifica organizzazione della PA di riferimento e circa le peculiarità dei processi di trattamento dei dati personali, non possano essere attuati attraverso l’esclusione del principio di rotazione.
Non si ritiene percorribile, neanche l’ulteriore alternativa, prospettata dall’istante, di disporre rinnovi dei contratti in scadenza nel caso in cui la durata degli stessi non sia risultata congrua rispetto al raggiungimento degli obiettivi dell’affidamento. Su tale aspetto si ricorda, infatti, che il rinnovo del contratto deve essere previsto come opzione già nel bando di gara e che l’importo riferito al rinnovo deve essere considerato nel calcolo del valore stimato dell’appalto (articolo 35 del codice dei contratti pubblici).
Si evidenzia, altresì, che la previsione di una durata del contratto inferiore a quella considerata congrua in relazione all’oggetto dell’affidamento potrebbe configurare un frazionamento artificioso dell’appalto volto ad eludere l’applicazione delle soglie di cui all’articolo 35 del codice dei contratti pubblici.
Si ritiene, invece, che gli specifici obiettivi di esperienza e stabilità nell’organizzazione del servizio, richiesti dalla normativa di settore, possano essere legittimamente perseguiti dalla stazione appaltante, già in fase di programmazione dei fabbisogni e di progettazione del servizio da affidare, individuando una durata del contratto che sia congrua rispetto alle prestazioni richieste al contraente.
Il Presidente f.f.
Francesco Merloni
Depositato presso la Segreteria del Consiglio in data 19 maggio 2020
Per il Segretario Maria Esposito, Rosetta Greco
“Didattica a distanza: prime indicazioni”
Coronavirus: didattica on line, dal Garante privacy prime istruzioni per l’uso
Nell’intento di fornire a scuole, atenei, studenti e famiglie indicazioni utili a un utilizzo quanto più consapevole e positivo delle nuove tecnologie a fini didattici, il Garante per la privacy ha approvato uno specifico atto di indirizzo che individua le implicazioni più importanti dell’attività formativa a distanza sul diritto alla protezione dei dati personali.
Nella lettera inviata al Ministro dell’Istruzione, al Ministro dell’Università e della ricerca e al Ministro per le pari opportunità e la famiglia per illustrare gli obiettivi del provvedimento, il presidente dell’Autorità Garante, Antonello Soro, ha ricordato che “il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie, nonché alle famiglie stesse, l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo alle innumerevoli risorse offerte dalle nuove tecnologie. È una soluzione estremamente importante per garantire la continuità didattica”. E tuttavia, ha sottolineato Soro, “le straordinarie potenzialità del digitale – rivelatesi soprattutto in questo frangente indispensabili per consentire l’esercizio di diritti e libertà con modalità e forme nuove – non devono indurci a sottovalutare anche i rischi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento”. “Considerando che, spesso, per i minori che accedono a tali piattaforme si tratta delle prime esperienze (se non addirittura della prima) di utilizzo di simili spazi virtuali, è evidente come anche quest’attività vada svolta con la dovuta consapevolezza, anche sulla base delle indicazioni fornite a livello centrale”.
Da qui l’esigenza di assicurare al mondo della scuola e dell’università un supporto utile alla gestione della didattica on line.
Queste, in sintesi, le prime “istruzioni per l’uso” indicate del Garante.
Nessun bisogno di consenso
Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.
Scelta e regolamentazione degli strumenti di didattica a distanza
Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza scuole e università dovranno orientarsi verso strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati. Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.
Ruolo dei fornitori dei servizi on line e delle piattaforme
Se la piattaforma prescelta comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico. E’ il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola. Nel caso, invece, in cui si ritenga necessario ricorrere a piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, si dovranno attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad esempio, geolocalizzazione e social login).
Le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza.
L’Autorità vigilerà sull’operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie.
Limitazione delle finalità del trattamento dei dati
Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.
I gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica.
Ai dati personali dei minori, inoltre, va garantita una specifica protezione poiché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Tale specifica protezione deve, in particolare, riguardare l’utilizzo dei loro dati a fini di marketing o di profilazione.
Correttezza e trasparenza nell’uso dati
Per garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono informare gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, riguardo, in particolare, alle caratteristiche essenziali del trattamento che viene effettuato. Relativamente ai docenti, scuole e università, nel rispetto della disciplina sui controlli a distanza, dovranno trattare solo i dati strettamente necessari e comunque senza effettuare indagini sulla sfera privata.
Roma, 30 marzo 2020
Nota istituzionale del Presidente del Garante, Antonello Soro, alla Signora Ministro dell’Istruzione, al Signor Ministro dell’Università e della ricerca e alla Signora Ministro per le pari opportunità e la famiglia in tema di didattica a distanza
Signora Ministro dell’Istruzione
Signor Ministro dell’Università e della ricerca
Signora Ministro per le pari opportunità e la famiglia
Illustrissimi Ministri,
il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie, nonché alle famiglie stesse, l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo alle innumerevoli risorse offerte dalle nuove tecnologie.
Con il lodevole sforzo delle istituzioni scolastiche e universitarie, degli studenti e degli stessi genitori chiamati a supportare in tal senso l’attività formativa dei figli, si sono potute realizzare lezioni a distanza, nonché scambiare compiti e materiale didattico ricorrendo a piattaforme elettroniche.
È una soluzione estremamente importante per garantire la continuità didattica pur in un contesto, quale quello attuale, in cui i doverosi obblighi di distanziamento sociale hanno indotto, in ciascuno, un mutamento delle proprie abitudini tanto rilevante quanto improvviso. La tecnologia ha consentito di annullare, virtualmente, le distanze fisiche e di ricreare anche spazi immateriali in cui favorire l’incontro, il dibattito, il confronto e, appunto, persino la formazione.
Le straordinarie potenzialità del digitale -rivelatesi soprattutto in questo frangente indispensabili per consentire l’esercizio di diritti e libertà con modalità e forme nuove- non devono, però, indurci a sottovalutare anche i rischi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento.
Si tratta di rischi assai più concreti di quanto si possa immaginare e dai quali è bene proteggere chiunque (in primo luogo, ma non soltanto i minori) utilizzi questi nuovi strumenti di formazione. Molte delle piattaforme suscettibili di utilizzo a fini didattici, ad esempio, funzionano come veri e propri social network che necessitano, come tali, di una sia pur minima cognizione delle loro regole di utilizzo e delle implicazioni di ciascun “click”, anche tra l’altro sui diritti della personalità di terzi. Considerando che, spesso, per i minori che accedono a tali piattaforme si tratta delle prime esperienze (se non addirittura della prima) di utilizzo di simili spazi virtuali, è evidente come anche quest’attività vada svolta con la dovuta consapevolezza, anche sulla base delle indicazioni fornite a livello centrale.
La corretta gestione dei dati personali di tutti i soggetti coinvolti, a vario titolo, nell’attività didattica a distanza rappresenta, in questo senso, il presupposto quantomai indispensabile per rendere il digitale una risorsa straordinaria per la promozione dei diritti (quello allo studio, in particolare), al riparo da rischi di abusi o violazioni.
Nell’intento di fornire a scuole, atenei, studenti e famiglie indicazioni utili a un utilizzo quanto più consapevole e positivo delle nuove tecnologie, a fini didattici, il Garante ha approvato uno specifico atto di indirizzo, ricognitivo delle implicazioni più importanti dell’attività formativa a distanza sul diritto alla protezione dei dati personali.
Con l’auspicio che l’allegato atto possa fornire un supporto utile alla migliore gestione della didattica on line e ribadendo la piena disponibilità degli Uffici a ogni contributo ritenuto opportuno -anche ai fini dell’adozione di ulteriori misure volte, nel prosieguo, a rafforzare le garanzie per i dati personali trattati in tale ambito- colgo l’occasione per porgere i miei più cordiali saluti,
Antonello Soro
[doc. web n. 9300784]
Provvedimento del 26 marzo 2020 – “Didattica a distanza: prime indicazioni”
Registro dei provvedimenti
n. 64 del 26 marzo 2020
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice;
CONSIDERATA la necessità di assicurare con urgenza, in ragione dell’improvvisa sospensione dell’attività didattica in presenza, con rilevanti sforzi per superare le notevoli difficoltà derivanti dall’assenza di adeguati mezzi e risorse, il diritto fondamentale all’istruzione, attraverso modalità di apprendimento a distanza;
VISTO il decreto legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19;
VISTI i decreti del Presidente del Consiglio dei Ministri adottati in attuazione del decreto legge n. 6 del 2020 e, in particolare, il decreto dell’8 marzo 2020 che, nel disporre la sospensione dei servizi educativi per l’infanzia e delle attività didattiche nelle scuole di ogni ordine e grado, nonché la frequenza delle attività scolastiche e di formazione superiore, comprese le Università e le Istituzioni di Alta formazione artistica musicale e coreutica, di corsi professionali (art. 1, comma 1, lett. h)), prevede che siano attivate, per tutta la durata della sospensione, modalità di didattica a distanza (art. 2, comma 1, lett. m) e n));
VISTI altresì gli articoli 101, 120 e 121 del decreto legge del 17 marzo 2020 n. 18 “Misure di potenziamento del Servizio sanitario nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all’emergenza epidemiologica da COVID-19” che contengono misure urgenti per garantire la continuità formativa e la didattica;
VISTA le note del Ministero dell’Istruzione del 6 marzo 2020, prot. n. 278, e dell’8 marzo 2020, prot. n. 279, con le quali sono state fornite istruzioni operative alle istituzioni scolastiche sull’attivazione e sul potenziamento di modalità di apprendimento a distanza, ottimizzando le risorse didattiche del registro elettronico e utilizzando classi virtuali, ovvero altri strumenti e canali digitali, per favorire la produzione e la condivisione di contenuti;
VISTA, inoltre, al riguardo, la nota del Ministero dell’Istruzione del 17 marzo 2020, prot. n. 388, nella quale sono state fornite, tra l’altro, alcune indicazioni sulla protezione dei dati personali trattati nell’ambito della didattica a distanza;
VISTA la Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19, adottata dal Comitato europeo per la protezione dei dati (EDPB) in data 19 marzo 2020 (doc. web n. 9295504, pubblicato in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9295504);
VISTE le segnalazioni e i quesiti pervenuti al Garante da parte di responsabili della protezione dei dati di istituti scolastici, associazioni, docenti e famiglie in ordine alle modalità di trattamento dei dati personali effettuato nel predetto contesto emergenziale e agli adempimenti necessari a rispettare il Regolamento e il Codice;
RITENUTA l’opportunità di fornire, nell’attuale contesto emergenziale, al sistema scolastico, alle università, alle istituzioni di alta formazione artistica musicale e coreutica, ai docenti, alle famiglie e agli studenti, talune prime utili indicazioni, ai sensi dell’art. 57, par. 1, lett. b) e d), del Regolamento (v. anche cons. nn. 122 e 132), che attribuisce al Garante il compito di promuovere la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, con particolare attenzione alle attività destinate specificamente ai minori, nonché agli obblighi imposti ai titolari e i responsabili del trattamento;
RITENUTO che, alla luce delle predette indicazioni, superata la prima fase emergenziale in cui sono state avviate d’urgenza iniziative di didattica a distanza, le scuole e le università potranno gradualmente valutare di adottare ulteriori misure per rafforzare la piena conformità al Regolamento e al Codice;
CONSIDERATO che l’Autorità valuterà, in ogni caso, l’opportunità di avviare verifiche sui fornitori delle principali piattaforme per la didattica a distanza per assicurare il rispetto del Regolamento e del Codice in relazione ai trattamenti effettuati per conto delle scuole e delle università;
RITENUTO di adottare il documento denominato “Didattica a distanza: prime indicazioni” (all. n. 1), che forma parte integrante del presente provvedimento, recante talune prime indicazioni al fine di promuovere la consapevolezza delle scelte da effettuare e favorire la più ampia comprensione riguardo alle norme, alle garanzie e ai diritti che, anche nel contesto dell’emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
TUTTO CIÒ PREMESSO IL GARANTE
adotta, ai sensi dell’art. 57, par. 1, lett. b) e d), del Regolamento, il documento denominato “Didattica a distanza: prime indicazioni” (all. n. 1), che forma parte integrante del presente provvedimento, recante talune prime indicazioni al fine di promuovere la consapevolezza delle scelte da effettuare e favorire la più ampia comprensione riguardo alle norme, alle garanzie e ai diritti che, anche nel contesto dell’emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati.
Roma, 26 marzo 2020
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia
____________
All: n. 1
Didattica a distanza: prime indicazioni
1. Base giuridica del trattamento dei dati personali
Le scuole e le università sono autorizzate a trattare i dati, anche relativi a categorie particolari, di insegnanti, alunni (anche minorenni), genitori e studenti, funzionali all’attività didattica e formativa in ambito scolastico, professionale, superiore o universitario (art. 6, parr. 1, lett. e), 3, lett. b) e 9, par. 2, lett. g) del Regolamento e artt. 2-ter e 2-sexies del Codice).
In tal senso dispone la normativa di settore, comprensiva anche delle disposizioni contenute nei decreti, emanati ai sensi dell’art. 3 del d.l. 23 febbraio 2020, n. 6, che hanno previsto- per tutta la durata della sospensione delle attività didattiche “in presenza” nelle scuole, nelle università e nelle istituzioni di alta formazione- l’attivazione di modalità di didattica a distanza, avuto anche riguardo alle specifiche esigenze degli studenti con disabilità (cfr. spec. art. 2, lett. m) e n), del d.P.C.M. dell’8 marzo 2020).
Non deve pertanto essere richiesto agli interessati (docenti, alunni, studenti, genitori) uno specifico consenso al trattamento dei propri dati personali funzionali allo svolgimento dell’attività didattica a distanza, in quanto riconducibile – nonostante tali modalità innovative – alle funzioni istituzionalmente assegnate a scuole ed atenei.
2. Privacy by design e by default: scelta e configurazione degli strumenti da utilizzare
Spetta in primo luogo alle scuole e alle università- quali titolari del trattamento – la scelta e la regolamentazione, anche sulle base delle indicazioni fornite dalle autorità competenti, degli strumenti più utili per la realizzazione della didattica a distanza (cfr. anche, ove applicabile, art. 39 del Regolamento (UE) 2016/679, infra: “Regolamento”).
Tali scelte dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 del Regolamento).
Varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di “classi virtuali”, la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in modo “social” tra docenti, studenti e famiglie. Alcune piattaforme offrono anche molteplici ulteriori servizi, non sempre specificamente rivolti alla didattica.
Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento).
La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).
3. Il ruolo dei fornitori dei servizi on line e delle piattaforme
Qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico (art. 28 del Regolamento). E’ il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento. Le eventuali, ulteriori attività di didattica a distanza, talora fornite da alcuni registri elettronici, possono essere in alcuni casi già disciplinate nello stesso contratto di fornitura stipulato.
Diversamente, qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non dover designare ulteriori responsabili del trattamento- utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato. Alcuni di questi servizi sono, peraltro, facilmente utilizzabili anche senza la necessaria creazione di un account da parte degli utenti.
Laddove, invece, si ritenga necessario ricorrere a piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).
Le istituzioni scolastiche e universitarie dovranno assicurarsi (anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi designato responsabile del trattamento), che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Saranno, in tal senso, utili specifiche istruzioni, tra l’altro, sulla conservazione dei dati, sulla cancellazione – al temine del progetto didattico – di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali.
L’Autorità vigilerà sull’operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie.
Al fine di garantire la massima consapevolezza nell’utilizzo di strumenti tecnologici – delle cui implicazioni non tutti gli studenti (soprattutto se minorenni) hanno piena cognizione- sarebbero auspicabili, in ogni caso, iniziative di sensibilizzazione in tal senso, rivolte a famiglie e ragazzi.
4. Limitazione delle finalità del trattamento
Ancora, con riferimento al trattamento dei dati degli studenti svolti dalle piattaforme quali responsabili del trattamento stesso, si ricorda che esso deve limitarsi a quanto strettamente necessario per la fornitura dei servizi richiesti ai fini della didattica on line, senza l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore. L’ammissibilità di tali operazioni dovrà, infatti, essere valutata di volta in volta, rispetto ai requisiti richiesti dal Regolamento quali, in particolare, i presupposti di liceità e i principi applicabili al trattamento dei dati personali (artt. 5 e ss.). Il trattamento ulteriore dei dati degli utenti, da parte dei gestori delle piattaforme, nella diversa veste di titolari del trattamento, dovrà naturalmente osservare, tra gli altri, gli obblighi di informazione e trasparenza secondo quanto previsto dall’art. 13 del Regolamento.
E’ peraltro inammissibile il condizionamento, da parte dei gestori delle piattaforme, della fruizione dei servizi di didattica a distanza alla sottoscrizione di un contratto o alla prestazione– da parte dello studente o dei genitori – del consenso al trattamento dei dati connesso alla fornitura di ulteriori servizi on line, non necessari all’attività didattica. Il consenso non sarebbe, infatti, validamente prestato perché, appunto, indebitamente condizionato al perseguimento di finalità ultronee rispetto a quelle proprie della didattica a distanza (art. 7; cons. 43 del Regolamento).
I dati personali dei minori, del resto, “meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” (cons. 38 del Regolamento). Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo di tali dati a fini di marketing o di profilazione e, in senso lato, la relativa raccolta nell’ambito della fornitura di servizi ai minori stessi (cons. 38 cit.).
5. Liceità, correttezza e trasparenza del trattamento
Al fine di garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono assicurare la trasparenza del trattamento informando gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, in ordine, in particolare, alle caratteristiche essenziali del trattamento, che deve peraltro limitarsi all’esecuzione dell’attività didattica a distanza, nel rispetto della riservatezza e della dignità degli interessati (d.P.R. 24 giugno 1998, n. 249, spec. art. 1; art. 13 del Regolamento).
Nel trattare i dati personali dei docenti funzionali allo svolgimento della didattica a distanza, le scuole e le università dovranno rispettare presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo (artt. 5 e 88, par. 2, del Regolamento, art. 114 del Codice in materia di protezione dei dati personali e art. 4 della legge 20 maggio 1970, n. 300) limitandosi a utilizzare quelli strettamente necessari, comunque senza effettuare indagini sulla sfera privata (art. 113 del citato Codice) o interferire con la libertà di insegnamento.
Ministero dell’Istruzione, dell’Università e della Ricerca
Direzione Generale per i contratti, gli acquisti e per i sistemi informativi e la statistica
Ufficio 3
Ai Direttori dei Servizi Generali e Amministrativi e agli Assistenti
Amministrativi delle Istituzioni Scolastiche di ogni ordine e grado
OGGETTO: Avvio dei corsi di formazione “Approfondimenti in tema di Sicurezza e Privacy – Le novità in tema di sicurezza e trattamento dei dati personali alla luce del GDPR e del Codice della privacy (così come novellato dal D.Lgs. 101/2018)”.