Al di là delle oziose interpretazioni dei sindacati di comparto, sull’assenza della DaD negli istituti contrattuali, sul regime di sospensione delle attività didattiche e la sua presunta incompatibilità con la prestazione professionale dei docenti −interpretazioni contraddette dagli stessi docenti che si impegnano con passione− è innegabile che va assicurato il diritto all’istruzione costituzionalmente garantito e che il lavoratore è tenuto ad eseguire la prestazione almeno per la parte possibile (art.1258 del C.C.)

I trattamenti di dati personali per l’erogazione delle attività di DaD vengono effettuati in esecuzione degli obblighi di legge emanati dalla Presidenza del Consiglio dei Ministri e dal Ministero dell’Istruzione, per consentire alla Scuola di svolgere i propri compiti nell’interesse pubblico rilevante.

La nota M.I. prot .n. 388 del 17 marzo avente per oggetto” emergenza sanitaria da nuovo Coronavirus. Prime indicazioni operative per le attività didattiche a distanza” fornisce anche le prime indicazioni in merito a quella che la stessa nota definisce la questione privacy relativamente all’utilizzo di piattaforme per la DaD. In sostanza le istituzioni scolastiche non devono richiedere il consenso per effettuare il trattamento dei dati personali (già rilasciato al momento dell’iscrizione) in quanto le stesse utilizzano i dati per finalità istituzionali, si tratta sempre di didattica, se pur a distanza. Viene    ricordato l’obbligo di informare gli interessati

del trattamento secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679 se non si è già provveduto.

La nota, dopo aver ricordato l’obbligo “…di garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, che siano raccolti per finalità determinate, esplicite e legittime…” sottolinea due punti interessanti:

  • “..stipulare contratti o atti di individuazione del responsabile del trattamento ai sensi dell’articolo 28 del Regolamento, che per conto delle stesse tratta i dati personali necessari per l’attivazione della modalità didattica a distanza;
  1. …sottoporre i trattamenti dei dati personali coinvolti a valutazione di impatto ai sensi dell’articolo 35 del regolamento.”

.

Nella lettera inviata al Ministro dell’Istruzione al Ministro dell’Università e della ricerca e al Ministro per le pari opportunità e la famiglia il presidente dell’Autorità Garante, Antonello Soro sottolinea che “le straordinarie potenzialità del digitale – rivelatesi soprattutto in questo frangente indispensabili per consentire l’esercizio di diritti e libertà con modalità e forme nuove – non devono indurci a sottovalutare anche i rischi…”.

Il 26 marzo il Garante per la Privacy ha adottato , ai sensi dell’art. 57, par. 1, lett. b) e d), del Regolamento, il documento denominato “Didattica a distanza: prime indicazioni” che individua le implicazioni più   importanti dell’attività formativa a distanza sul diritto alla protezione dei dati personali.

 

Il Garante conferma che non deve essere richiesto agli interessati uno specifico consenso al trattamento dei propri dati personali funzionali allo svolgimento dell’attività didattica a distanza, in quanto riconducibile alle funzioni istituzionalmente assegnate a scuole ed atenei ma afferma contestualmente che non è richiesta la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, se non si configura un aumento del rischio e non è richiesta  per la singola scuola, che tratta i dati per i fini istituzionali, nemmeno viene richiesta se non si utilizzano piattaforme eccessivamente invasive come quelle ad esempio che utilizzano la geolocalizzazione o i dati biometrici ( valutazione d’impatto richiesta, invece, nella nota M.I. prot. n. 388 del 17 marzo).

Ecco, il punto fondamentale è proprio questo, non fare di tutta l’erba un fascio. Abbiamo assistito a una proliferazione senza precedenti di piattaforme anche gratuite che i docenti hanno utilizzato per sopperire alla necessità di entrare i contatto con i propri allievi ma c’è piattaforma e piattaforma, bisogna uscire da questa prima fase per così dire “pioneristica” della DaD, (per molte scuole almeno lo è stata) e scegliere le piattaforme che rispondano agli standard di sicurezza del Codice dell’Amministrazione Digitale, delle collegate circolari AgID (Agenzia per l’Italia Digitale) e del GDPR.

Principi fondamentali

    • Scegliere piattaforme che sono destinate solo alla didattica, se si occupano anche di altri settori attivare solo la parte relativa alla didattica verificando preventivamente che non consentano l’accesso tramite social e non utilizzino geolocalizzazione .
    • Il trattamento dei dati degli studenti svolti dalle piattaforme deve essere limitato a quanto strettamente necessario per la fornitura dei servizi richiesti ai fini della didattica on- line.
    • I gestori delle piattaforme non possono subordinare il servizio della piattaforma alla sottoscrizione di un contratto o al consenso per la fornitura di servizi non connessi alla didattica
  • Nel caso in cui la piattaforma       comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico (art. 28 del Regolamento).

Alla luce del quadro delineato appare evidente che poche sono le piattaforme che rispondono a questi requisiti, vi rientra certamente il registro elettronico, il cui fornitore tratta i dati per conto della scuola e ha ufficialmente il ruolo di responsabile del trattamento anche se le funzionalità del registro elettronico che pur prevede la DaD non hanno previsto accessi e caricamenti così massicci e ci viene segnalato che spesso sono in sofferenza

Rispondono a questi requisiti −senza voler fare pubblicità ma prendendo atto delle garanzie in merito alla privacy e al trattamento dati −piattaforme come Microsoft Teams di Office 365 educational e la universalmente nota G-Suite.

Microsoft Office 365 include misure conformi alle linee guida sulla protezione dei dati del GDPR, oltre all’obbligo di protezione dalle minacce per la sicurezza.

I prodotti Google sono conformi ai requisiti in materia di privacy obbligatori per l’utilizzo di tali prodotti da parte di studenti e minori . Insieme ai controlli periodici eseguiti da terze parti indipendenti sulle loro prassi in materia di protezione dei dati, possono vantare la certificazione ISO 27001, le norme di tutela della privacy e gli impegni contrattuali, infine, sono conformi allo standard ISO/IEC 27018:2014,

Le scuole devono fornire un’informativa chiara e semplice sulle finalità del trattamento dati per la DaD al fine di garantire la trasparenza e la correttezza del trattamento se le piattaforme scelte non hanno predisposto una loro informativa.

Altro adempimento di fondamentale importanza è l’istituzione di un regolamento per l’utilizzo delle piattaforme e la pubblicazione sul sito web dell’istituzione scolastica.

E’ opportuno che i dirigenti, qualora non lo abbiano già fatto, predispongano un monitoraggio delle piattaforme che i docenti stanno utilizzando per la verifica dei requisiti richiesti dalle norme in materia di privacy e trattamento dati .

Ricordiamo ai soci Dirigentiscuola che è attiva una convenzione con Skill on Line ente di formazione accreditato al MIUR per la piattaforma AULA 01 completa di materiali che corrisponde ai requisiti del GDPR ed è perfettamente integrabile con G-Suite.