Recentemente, diversi istituti hanno ricevuto da Google un’email relativa all’utilizzo di Google Workspace for Education.

La comunicazione avvisava le scuole dell’obbligo di ottenere il consenso dei genitori per l’uso della piattaforma da parte degli studenti minori, a seguito di una modifica dei termini di servizio.

Le scuole devono davvero chiedere il consenso ai genitori?

A nostro parere, le scuole che utilizzano esclusivamente i servizi base di Google Workspace for Education non devono chiedere alcun consenso per la creazione degli account degli studenti, a patto che vengano utilizzati per attività di Didattica Digitale Integrata (DDI).

È utile ricordare che il Ministero dell’Istruzione, in collaborazione con il Garante per la protezione dei dati personali, ha già regolamentato la DDI, pubblicando linee guida specifiche

Nel documento, alle pagine 2 e 3, si legge chiaramente che il trattamento dei dati personali da parte delle scuole è necessario e legittimo, poiché si tratta di un compito di interesse pubblico, che non richiede quindi il consenso dei genitori.

La DDI rientra infatti nelle attività istituzionali delle scuole, anche se svolta in un ambiente virtuale, e deve rispettare i principi di protezione dei dati previsti dalla normativa di settore.

Pertanto, se la scuola utilizza Google Workspace for Education per fini di DDI, non è richiesto alcun consenso.

Inoltre, richiedere il consenso in questi casi potrebbe creare disparità tra studenti, condizionando l’accesso all’istruzione e impedendo una formazione equa.

Ciò creerebbe un consenso che non può essere considerato libero. 

È comunque responsabilità della scuola informare gli studenti e i docenti in merito all’uso della piattaforma, fornendo una dettagliata informativa sulla privacy e regolamentandola nel Piano dell’Offerta Formativa (PTOF).

Le scuole, in quanto titolari del trattamento dei dati, devono garantire trasparenza, informando in modo chiaro su come vengono trattati i dati personali, e specificando che tali informazioni sono utilizzate esclusivamente per la didattica a distanza, con le stesse garanzie della didattica tradizionale.

Servizi aggiuntivi e offerte di terze parti

Alcune scuole, oltre ai servizi principali, scelgono di utilizzare servizi aggiuntivi e di terze parti.

In questi casi, potrebbe essere necessario ottenere il consenso, come indicato nei termini di servizio di Google.

È fondamentale analizzare con attenzione la sezione 3.5 dei termini, che tratta i “Prodotti aggiuntivi e Offerte di Terze parti”, che afferma: “prodotti aggiuntivi e Offerte di Terze parti opzionali possono essere disponibili per l’uso in combinazione con i Servizi e possono essere attivati o disattivati attraverso la Console di amministrazione. Qualsiasi utilizzo dei Prodotti aggiuntivi è soggetto ai Termini per i Prodotti aggiuntivi, che sono incorporati mediante riferimento nel presente Contratto e possono essere aggiornati da Google di volta in volta. Qualsiasi utilizzo di Offerte di terze parti è soggetto a termini e norme separati stabiliti con il relativo fornitore di servizi. Se il Cliente intende consentire agli Utenti finali di età inferiore ai 18 anni di accedere o utilizzare eventuali Prodotti aggiuntivi o Offerte di Terze parti, il Cliente dovrà, prima di consentire a tali Utenti finali di accedere o utilizzare tali prodotti o offerte, ottenere il consenso dei genitori per la raccolta e l’utilizzo delle informazioni personali da parte (a) dei Prodotti aggiuntivi e (b) nella misura richiesta dalla legge applicabile, delle Offerte di Terze parti”

Quindi, per consentire l’accesso a questi prodotti o offerte da parte di studenti minorenni, la scuola deve prima ottenere il consenso dei genitori per la raccolta e l’uso delle informazioni personali.

Tuttavia, l’obbligo di consenso dipende dalla “legge applicabile”, il che significa che, se la scuola ritiene che tali servizi siano essenziali per le sue attività didattiche e istituzionali, può fondare il trattamento dei dati sull’esecuzione di un compito di interesse pubblico.

Come scegliere le app di terze parti

La scelta delle app di terze parti è un compito delicato per le scuole, che devono individuare solo quelle necessarie per le attività didattiche, garantendo il rispetto della normativa sul trattamento dei dati personali.

Prima dell’adozione, gli istituti, con il supporto del loro DPO, devono verificare che le app siano conformi agli obblighi previsti dal GDPR.

In particolare, le scuole devono assicurarsi che:

  • le app siano dedicate principalmente alla didattica;
  • non richiedano dati personali eccedenti rispetto a quelli strettamente necessari;
  • la loro Privacy Policy aderisca alla normativa europea (Regolamento UE 2016/679 – GDPR);
  • qualora le app agiscano come responsabili del trattamento, sia formalizzata una nomina ufficiale;
  • i dati raccolti siano conservati all’interno dell’Unione Europea, o trasferiti al di fuori della UE in presenza di condizioni tali da assicurare un livello di protezione dei dati personali conforme a quello richiesto dal GDPR (clausole contrattuali standard, decisioni di adeguatezza, in caso di trasferimento di dati negli USA, e in caso di trasferimenti in territori non UE e non USA).

Resta comunque fermo il principio secondo il quale spetta alle scuole il dover valutare la sicurezza delle piattaforme e delle app che intendono utilizzare per lo svolgimento della DDI.

Occorre quindi che gli istituti, in un’ottica di accountability, valutino oggettivamente se dal trattamento dati per le finalità della DDI possano derivare danni ai diritti e alle libertà degli interessati, mettendo in atto misure tecniche e organizzative adeguate, riesaminate periodicamente.