Il seguente articolo, con titolo “Didattica digitale integrata a prova di privacy: cosa deve fare il Dirigente Scolastico”, è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 15 ottobre 2020: https://www.agendadigitale.eu/scuola-digitale/didattica-digitale-integrata-a-prova-di-privacy-cosa-deve-fare-il-dirigente-scolastico
Da pochi giorni alunni e insegnanti – nonostante le inevitabili difficoltà legate alla crisi sanitaria ancora in atto – sono finalmente tornati in classe e hanno potuto riprendere le lezioni frontali.
La didattica a distanza (detta ora “Didattica Digitale Integrata” o DDI), in ogni caso, non verrà del tutto abbandonata per quest’anno scolastico.
Come previsto nel Piano Scuola 2020/2021 e nelle Linee Guida per la Didattica Digitale Integrata, infatti, sarà utilizzata in modo complementare dalle scuole secondarie di secondo grado, e in caso di emergenza anche da tutti gli altri gradi scolastici.
Per ciò che riguarda gli aspetti relativi al trattamento dei dati personali, il Ministero dell’Istruzione ha predisposto uno specifico documento – con la collaborazione dell’Ufficio del Garante – per fornire alle scuole linee di indirizzo comuni e principi generali per implementare la DDI, con particolare riguardo agli aspetti inerenti la sicurezza in rete e la tutela dei dati personali.
Nel testo, il Ministero afferma che spetta sempre alla singola istituzione scolastica – in qualità di titolare del trattamento – la scelta e la regolamentazione degli strumenti più adatti al trattamento dei dati per la DDI, ma riconosce anche il ruolo fondamentale di supporto svolto dal “Responsabile della protezione dei dati” (DPO).
Il dirigente scolastico, infatti, deve incaricare il DPO, “ai sensi di quanto previsto dall’art. 39, par. 1, lett. a) del Regolamento, a fornirgli consulenza rispetto alle principali decisioni da assumere, ad esempio, in merito alla definizione del rapporto con il fornitore della piattaforma prescelta e alle istruzioni da impartire allo stesso, all’adeguatezza delle misure di sicurezza rispetto ai rischi connessi a tale tipologia di trattamenti e alle misure necessarie affinché i dati siano utilizzati solo in relazione alla finalità della DDI e alle modalità per assicurare la trasparenza del trattamento mediante l’informativa a tutte le categorie di interessati. Ciò, in particolare, suggerendo il ricorso a piattaforme che eroghino servizi rivolti esclusivamente alla didattica, ovvero, nei casi in cui siano preferite quelle più complesse e generaliste, raccomandando di attivare i soli servizi strettamente necessari alla DDI, verificando che dati di personale scolastico, studenti e loro familiari non vengano trattati per finalità diverse e ulteriori che siano riconducibili al fornitore”.
Vediamo ora però cosa deve fare concretamente il dirigente scolastico:
1) Scegliere quale strumento utilizzare per la Didattica Digitale Integrata
Il dirigente, con il supporto del “Responsabile della protezione dei dati” (DPO), e sentito il parere del Collegio Docenti, deve scegliere con attenzione la piattaforma per lo svolgimento della DDI e regolamentarne l’uso.
I criteri che orientano l’individuazione degli strumenti da utilizzare devono tenere conto dell’adeguatezza rispetto a competenze e capacità cognitive degli studenti, nonché delle garanzie offerte sul piano della protezione dei dati.
2) Redigere e consegnare a docenti, alunni e famiglie una nuova informativa privacy, specifica per la Didattica Digitale Integrata
All’interno delle indicazioni fornite per la gestione della DDI e della privacy, viene ribadito quanto già affermato mesi fa dal Garante per la protezione dei dati, ossia che per l’attivazione della DDI le scuole non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti e genitori, poiché il trattamento è riconducibile a funzioni istituzionalmente assegnate.
Occorre però che tutti gli interessati siano informati, con un linguaggio comprensibile anche ai minori, relativamente alle caratteristiche essenziali del trattamento effettuato per l’erogazione di questo tipo di didattica.
Inoltre, nell’informativa devono essere puntualmente indicati i soggetti dei quali verranno trattati i dati nell’ambito della DDI, specificando le diverse modalità di fruizione (app, piattaforma web, ecc.), informando sull’eventuale utilizzo di tecnologie “in cloud”, e precisando se queste comportano un trasferimento di dati al di fuori dell’Unione Europea.
3) Designare quale “Responsabile del trattamento” il soggetto esterno che fornisce i servizi per la DDI
La scuola, in caso debba ricorrere a un soggetto esterno per la gestione dei servizi per la DDI che comportino il trattamento dei dati del personale scolastico, degli studenti e dei loro familiari in nome e per conto della scuola stessa, è tenuta a nominare tale soggetto “Responsabile del trattamento” con contratto o altro atto giuridico (art. 28 del Regolamento).
Con questa designazione l’istituto definisce l’ambito, la durata, la natura e la finalità del trattamento, il tipo di dati trattati e le categorie di interessati, gli obblighi e i diritti del titolare, le figure dei sub-responsabili, le misure tecniche e organizzative adeguate agli specifici trattamenti posti in essere per conto dell’istituzione stessa, nonché le tempistiche di conservazione, cancellazione e restituzione dei dati.
In particolare, le scuole devono assicurarsi che i dati trattati per loro conto siano utilizzati solo per la DDI, senza l’introduzione di ulteriori finalità.
Diversamente, nei casi in cui gli istituti gestiscano in autonomia strumenti e piattaforme per la DDI, non deve essere effettuata alcuna nomina a “Responsabile del trattamento”.
Inoltre, qualora la scuola decida di utilizzare piattaforme che non erogano servizi rivolti esclusivamente alla didattica, si dovranno attivare di default, con il supporto del DPO dell’istituto, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando ad esempio il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).
4) Aggiornare il registro dei trattamenti
Il registro dei trattamenti, in base all’art. 30 del GDPR, deve essere aggiornato con l’indicazione degli strumenti utilizzati per la Didattica Digitale Integrata e dell’eventuale “Responsabile del trattamento” (qualora designato).
5) Adottare specifiche misure tecniche e organizzative
L’istituto deve assicurarsi che i dati trattati per la DDI, anche attraverso piattaforme di soggetti esterni, vengano adeguatamente protetti.
Infatti, ai sensi dell’art. 32 del GDPR, la scuola, in qualità di titolare del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, deve implementare e mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Le misure di sicurezza sono costituite dal complesso di risoluzioni volte a ridurre al minimo i rischi di distruzione o perdita dei dati, accesso non autorizzato, trattamento non consentito e modifica dei dati.
6) Svolgere una valutazione dei rischi e, solo se necessario, una valutazione d’impatto
L’istituto deve effettuare una valutazione per determinare i possibili rischi legati al trattamento posto in essere (indipendentemente dal tipo di piattaforma utilizzata per la DDI), mettendo in atto le opportune misure di sicurezza per tutelare i dati.
La valutazione di impatto, invece, non deve essere svolta se il trattamento effettuato, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.
Ad esempio, non è richiesta la valutazione di impatto per il trattamento eseguito da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio online di videoconferenza, o di una piattaforma che non consente il monitoraggio sistematico degli utenti, o comunque se non ricorre a nuove soluzioni tecnologiche particolarmente invasive.
La valutazione di impatto va invece effettuata in caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse, e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche.
7) Sensibilizzare docenti, alunni e famiglie con specifiche iniziative per aumentare la consapevolezza dell’importanza della tutela dei dati
Il Ministero dell’Istruzione, all’interno delle indicazioni fornite per la gestione della DDI e della privacy, chiede alle istituzioni scolastiche che vengano coinvolti nell’attività di verifica sul monitoraggio del corretto trattamento dei dati personali nella DDI “tutti gli attori (personale scolastico, famiglie, studenti) di questo processo, anche attraverso specifiche iniziative di sensibilizzazione atte a garantire la massima consapevolezza nell’utilizzo di strumenti tecnologici e nella tutela dei dati personali al fine di evitare l’utilizzo improprio e la diffusione illecita dei dati personali trattati per mezzo delle piattaforme e il verificarsi di accessi non autorizzati e di azioni di disturbo durante lo svolgimento della didattica”.
Inoltre, il Ministero suggerisce alle scuole di regolamentare l’uso della webcam, che deve in ogni caso avvenire nel rispetto dei diritti delle persone coinvolte e della tutela dei dati personali, nonché di responsabilizzare tutti i partecipanti alle lezioni a distanza, attraverso uno specifico “disclaimer”, circa i rischi che la diffusione delle immagini può comportare, nonché le responsabilità di natura civile e penale.
8) Formare e istruire i docenti quali persone autorizzate al trattamento
Tutti gli insegnanti, in qualità di persone autorizzate al trattamento dei dati, devono essere istruiti in base a quanto indicato dall’art. 29 del GDPR.
Relativamente alla DDI, il personale docente deve essere formato sull’utilizzo e la custodia delle credenziali di accesso, sul divieto di condivisione delle stesse, sul divieto di far accedere alla piattaforma persone non autorizzate, sulla protezione da malware e attacchi informatici, sui comportamenti da adottare e sulle sanzioni previste in caso di violazione delle indicazioni ricevute.