A seguito dell’ormai consolidata situazione di emergenza dovuta al Covid-19, anche il modo di insegnare è cambiato, oggi si parla di didattica a distanza (lezioni in modalità on-line).

Una questione che è emersa sin dai primi momenti dell’attivazione della didattica a distanza è stata quella legata al trattamento dei dati degli studenti.

Difatti, dapprima con note del 6 e dell’8 marzo 2020, e, successivamente, con nota n. 388 del 17 marzo 2020 (a firma di Marco Bruschi, Capo del Dipartimento per il sistema educativo di istruzione e di formazione)[1], il Ministero ha fornito tutte le indicazioni utili per l’espletamento di tale nuova modalità di insegnamento.

Orbene, al fine di effettuare un corretto trattamento dei dati personali, legati allo svolgimento dell’attività didattica a distanza, si precisa nella nota che le scuole non devono chiedere il consenso dei genitori, in quanto questo è già stato rilasciato dalle famiglie al momento dell’iscrizione. Quindi, nulla cambia anche se le lezioni non sono svolte in classe, ma con modalità on-line.

Le scuole, al fine di effettuare un utilizzo quanto più consapevole e positivo delle nuove tecnologie a fini didattici, dovranno, invece, seguendo anche il provvedimento del Garante della Privacy del 26 marzo 2020 n. 64[2], e pedissequa nota[3], porre in essere determinate attività per adeguarsi e rispettare i corollari sanciti dal Regolamento UE 2016/679 (GDPR).

In primis è obbligo per le scuole informare gli interessati (alunni, studenti, genitori e docenti) sul trattamento effettuato dei dati, secondo quanto previsto dagli articoli 13 e 14 del Regolamento UE 2016/679, utilizzando un linguaggio comprensibile anche ai minori.

Circa il rapporto tra le istituzioni scolastiche e i fornitori di servizi on line e/o le piattaforme online (che permettono do svolgere le lezioni in remoto), questo deve essere regolato con contratto o altro atto giuridico (es. registro elettronico, con cui il fornitore tratta i dati per conto della scuola). Se si ricorrere a piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).

Quanto al trattamento dei dati è fatto obbligo per le scuole:

• garantire un uso lecito, corretto e trasparente degli stessi;
• i dati devono essere raccolti per finalità lecite, determinate, esplicite e legittime, evitando qualsiasi forma di profilazione, nonché diffusione e comunicazione dei dati raccolti per tali finalità;
• il trattamento dei dati, in ossequio al principio della minimizzazione, deve avvenire in modo adeguato, pertinente e limitato a quanto necessario per rispettare le finalità per cui sono trattati;
• tutti i dati devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, circa i trattamenti non autorizzati o illeciti e circa la perdita, la distruzione o il danno accidentale.

Ed ancora vi è l’obbligo di nominare un responsabile del trattamento, ai sensi dell’articolo 28 del Regolamento, il quale, per conto delle stesse scuole, tratti i dati personali necessari per l’attivazione della modalità didattica a distanza.

Non è necessaria, invece, la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati (art. 35 GDPR), se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.

[1]  Nota 388 del 17 marzo 2020.

[2]  Provvedimento del 26 marzo 2020 – “Didattica a distanza: prime indicazioni”.

[3] Nota istituzionale del Presidente del Garante, Antonello Soro, alla Signora Ministro dell’Istruzione, al Signor Ministro dell’Università e della ricerca e alla Signora Ministro per le pari opportunità e la famiglia in tema di didattica a distanza.