ESPERTO LEGALE PRIVACY E CYBER SECURITY - emergenza COVID-19

La continuità didattica virtuale e la tutela dei dati

| 31/03/2020 14:52

Se si pensa al fatto che le scuole nazionali sono state, con la sospensione temporanea delle attività didattiche, le prime destinatarie delle misure restrittive volte ad arginare l'emergenza sanitaria causata dal Covid-19, ben si comprende come le stesse siano in questo periodo quotidianamente sottoposte a dura prova nel garantire il diritto allo studio, previsto dalla nostra carta costituzionale.

Secondo quanto previsto dal Dpcm dell'8 marzo 2020, i dirigenti scolastici attivano, nel più ampio esercizio delle proprie prerogative, per tutta la durata della sospensione delle attività didattiche nelle scuole, modalità di didattica a distanza, con particolare attenzione alle specifiche esigenze degli studenti con disabilità (art. 2 lett. m). Previsione similare è contenuta nello stesso decreto per le Università per le quali le attività didattiche o curriculari possono essere svolte con modalità a distanza dalle stesse individuate (art. 2 lett. n).

Proprio perché appare essenziale non interrompere il percorso di apprendimento garantendo, con ciò, la continuità didattica, è necessario trovare dei sistemi che permettano di essere in aula anche senza essere fisicamente presenti. La presenza virtuale e da remoto permette di continuare a dare attuazione al diritto costituzionalmente garantito.

Il MIUR, con la nota dell'8 marzo (1), ha chiarito che la didattica a distanza deve garantire, quanto più possibile, la continuità didattica che non consiste nella mera trasmissione di materiali, attraverso per esempio l'indirizzo di posta elettronica, ma si sostanzia in un insieme di attività che vanno "dalla registrazione delle lezioni, all'utilizzo di piattaforme per la didattica a distanza, presso l'istituzione scolastica, presso il domicilio o altre strutture". Tale nota, come vedremo meglio nel prosieguo della trattazione, ha fornito importanti chiarimenti in materia di privacy e gestione dei dati personali a distanza degli studenti e dei minori.

Per tali ragioni, il decreto legge del 17 marzo 2020, n 18, ha previsto, all'art. 120, che siano stanziati dei fondi da un lato, per consentire alle istituzioni scolastiche statali di dotarsi immediatamente di piattaforme e di strumenti digitali utili per l'apprendimento a distanza, o di potenziare quelli già in dotazione, nel rispetto dei criteri di accessibilità per le persone con disabilità; dall'altro, mettere a disposizione degli studenti meno abbienti, in comodato d'uso, dispositivi digitali individuali per la fruizione delle piattaforme nonché per la necessaria connettività di rete. Inoltre, essendo necessario formare il personale docente sulle modalità di utilizzo delle citate piattaforme, fermo il pieno coinvolgimento del team e dell'amministratore digitale, saranno stanziate delle somme per la formazione.

Anche il Garante per la protezione dei dati personali (di seguito Garante Privacy) con il Provvedimento del 26 marzo 2020, n. 64 (2) ha fornito delle prime indicazioni utili per la didattica a distanza, che avremo modo di affrontare meglio infra.

Il presente contributo mira a mettere in evidenza le questioni privacy che l'attività didattica a distanza pone, con particolare riguardo ai rischi, per la sicurezza dei dati personali, collegati all'utilizzo delle menzionate piattaforme. Le risposte alle questioni prospettate sono da ricercarsi innanzitutto nella normativa di settore di riferimento e cioè nel Regolamento UE 2016/679 (di seguito anche GDPR) e nel D. Lgs. 196/2003 (di seguito anche Codice Privacy).

1. Gli adempimenti privacy

La formazione a distanza, per essere efficace, dovrebbe essere in grado di dar vita ad un ambiente di apprendimento che, per quanto inusuale, sia in grado di riprodurre virtualmente attraverso piattaforme digitali l'ambiente della classe in cui normalmente insegnanti e studenti si incontrano fisicamente. Gli strumenti che l'innovazione tecnologica ci offre sono diversi e vanno dai collegamenti differiti, si pensi in questo senso alle video-lezioni registrate, a forme di comunicazione immediata che permettono lo scambio in tempo reale e in maniera interattiva dei contenuti didattici. Un esempio tra tutti le video conferenze.

Naturalmente, la digitalizzazione delle lezioni frontali e dal vivo, oltre allo scambio di informazioni nella forma del materiale didattico messo a disposizione dai docenti ai propri discenti, comporta il trattamento di dati personali che, nel caso di studenti che non hanno raggiunto la maggiore età, sono dati di minori.

1.1. Privacy by design e by default

La nota del MIUR, invero, non richiama espressamente i concetti di privacy by design e by default ma è chiaro che vi fa implicitamente riferimento, trattandosi di due principi fondamentali del GDPR. Infatti, ai sensi dell'art. 25, § 1 e 2 del GDPR, il titolare del trattamento è tenuto ad adottare misure tecniche e organizzative adeguate a garantire che siano trattati esclusivamente i dati personali necessari al perseguimento delle finalità del trattamento, per impostazione predefinita.

Ciò equivale a dire che il titolare del trattamento, e dunque per il caso che ci occupa l'istituto scolastico o l'università, dovrà svolgere una valutazione preventiva del rischio al momento della progettazione delle attività di trattamento, al fine di determinare la probabilità e i rischi per i diritti e le libertà degli interessati. La valutazione dei rischi, chiaramente, non andrà condotta in astratto ma dovrà tenere conto della natura, del contesto e delle finalità del trattamento. In questo senso, è verosimile ritenere che misure di sicurezza più rigorose dovranno essere approntante nel momento in cui si trattano dati personali di minori. Ciò in ragione del fatto che occorre tenere in debito conto tanto la natura dei dati trattati quanto le categorie degli interessati attinti dal trattamento.

Come appare evidente, la privacy by design e by default sono derivazioni del principio di accountability, ossia l'obbligo giuridico di dimostrare ex post al Garante il rispetto dei principi generali di liceità, correttezza, trasparenza, limitazione, minimizzazione, limitazione, esattezza e integrità, delineando perfettamente il cambio di approccio del legislatore europeo rispetto a tematiche di compliance.

In questo senso il Garante Privacy, con il provvedimento appena richiamato ha avuto modo di chiarire che gli istituti scolastici "dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 del Regolamento).Varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di "classi virtuali", la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l'assegnazione di compiti, la valutazione dell'apprendimento e il dialogo in modo "social" tra docenti, studenti e famiglie.

Alcune piattaforme offrono anche molteplici ulteriori servizi, non sempre specificamente rivolti alla didattica. Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all'adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento").

1.2. Consenso e limitazioni delle finalità del trattamento

Il primo chiarimento del MIUR ha ad oggetto il consenso: "occorre subito precisare che le istituzioni scolastiche non devono richiedere il consenso per effettuare il trattamento dei dati personali (già rilasciato al momento dell'iscrizione) connessi allo svolgimento del loro compito istituzionale, quale la didattica, sia pure in modalità "virtuale" e non nell'ambiente fisico della classe, è". Sembrano d'obbligo due precisazioni.

In primo luogo, il MIUR parla genericamente di consenso, non specificando, come forse avrebbe dovuto, che quando l'interessato è un minore di quattordici anni di età il trattamento dei dati personali è lecito solo se il consenso viene espresso da chi esercita la responsabilità genitoriale. Il richiamo, infatti, è all'art. 2 quinquies del Codice Privacy.

Inoltre, dalla lettura del richiamato chiarimento sembrerebbe che la base giuridica per il trattamento dei dati degli studenti sia sempre il consenso. Cosa vera solo in parte. Già prima del Regolamento UE 2016/679 (di seguito "GDPR" o "Regolamento"), il Garante per la protezione dei dati personali aveva pubblicato un vademecum per illustrare gli adempimenti privacy nelle scuole (3)....continua la lettura in Plusplus24Diritto

Vetrina