Didattica a distanza al tempo del COVID-19: istruzioni per l’uso dal Garante per la protezione dei dati personali
Con il provvedimento del 26 marzo 2020 il Garante per la protezione dei dati personali, richiamando le indicazioni fornite dall’EDPB il 19 marzo scorso in tema di trattamento dei dati personali nel contesto dell’epidemia di COVID-19, ha voluto fornire alcune istruzioni pratiche circa lo svolgimento dell’attività formativa a distanza nel rispetto della normativa in materia di protezione dei dati personali.
Base giuridica del trattamento
Le scuole e le università potranno trattare i dati personali, anche appartenenti a categorie particolari, degli studenti e insegnanti senza richiedere il consenso, in quanto il Garante individua quale legittima base giuridica per il trattamento l’esecuzione di un compito di interesse pubblico (art. 6.1 lett. e) e art. 9.2 lett. g) del GDPR).
Quali strumenti utilizzare per svolgere la didattica a distanza?
Nell’effettuare la scelta tra le varie piattaforme online disponibili, le istituzioni scolastiche dovranno innanzitutto ispirarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati.
Non sarà necessario svolgere preliminarmente una valutazione di impatto (art. 35 GDPR) se il trattamento dei dati effettuato, per quanto relativo a minorenni e a lavoratori, non presenti caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati, ad esempio ove l’utilizzo di piattaforme per videoconferenze non consenta il monitoraggio sistematico degli utenti stessi.
Qual è il ruolo dei fornitori delle piattaforme online?
Ove vengano trattati dati personali degli studenti, o di altri soggetti coinvolti nella didattica online, attraverso la piattaforma prescelta, il fornitore di quest’ultima li tratterà quale responsabile del trattamento e sarà dunque necessario sottoscrivere con lo stesso un accordo ex art. 28 GDPR. Tale scenario è sicuramente quello, ad esempio, del registro elettronico.
D’altro canto, nel caso in cui la scelta ricada su piattaforme online più complesse, che eroghino dunque servizi non esclusivamente rivolti alla didattica, sarà onere delle scuole attivare unicamente i servizi strettamente necessari per svolgere la formazione, al fine di minimizzare quanto più possibile i dati personali trattati per erogare il servizio nonchè le finalità (la geolocalizzazione, ad esempio, sarà certamente da escludere, così come il login).
Se da un lato sarà onere delle istituzioni scolastiche, quali titolari del trattamento, verificare che i dati personali vengano trattati solo per le finalità di didattica, d’altra parte il Garante vigilerà sull’operato dei (principali) fornitori delle piattaforme online e sul rispetto tanto della normativa in materia di protezione dei dati personali quanto delle istruzioni fornite dalle stesse istituzione scolastiche.
Per quali finalità di trattamento vengono trattati i dati personali?
Come anticipato, l’unica finalità di trattamento per la quale potranno essere tratti i dati personali degli studenti e/o comunque degli utenti delle piattaforme è quella di didattica e formazione, dovendosi escludere ogni altra e ulteriore finalità (anche considerato che spesso i dati personali trattati sono relativi a minori, e dunque maggiori devono essere le precauzioni e cautele messe in atto nel trattamento). Il Garante ha poi affermato come sia illegittimo condizionare, da parte dei fornitori delle piattaforme, la fruizione dei servizi online alla sottoscrizione di un contratto o alla prestazione– da parte degli studenti– del consenso al trattamento dei dati (che sarebbe ottenuto illegittimamente, in quanto condizionato).
Liceità, correttezza e trasparenza del trattamento
Affinchè vengano rispettati tali principi sarà onere delle istituzioni scolastiche fornire a studenti e utenti in generale un’informativa ex art. 13 GDPR, che illustri con un linguaggio semplice, comprensibile anche ai minori, le finalità del trattamento ed i mezzi utilizzati.
D’altro canto, sarà onere sempre delle istituzioni scolastiche valutare se gli strumenti di didattica a distanza scelti rispettino le condizioni di legittimo trattamento dei dati personali dei lavoratori (ossia i docenti), tanto in relazione alla normativa privacy quanto in relazione allo Statuto dei lavoratori in materia di controlli a distanza, verificando altresì che l’utilizzo della piattaforma non consenta indagini sulla sfera privata del lavoratore né ne influenzi la sua libertà di insegnamento.