L’argomento privacy in ambito scolastico, rispetto ad altri contesti, diventa molto più delicato se si pensa al largo pubblico che lo riguarda e, soprattutto, al fatto che il 90% di esso è composto da soggetti minori, quindi più vulnerabili.
Sicuramente tanti genitori tra coloro che stanno leggendo il nostro articolo hanno affrontato questo argomento specialmente negli ultimi 3 mesi, quando è stata adottata la famosa DAD (didattica a distanza), cosa del tutto eccezionale e mai sperimentata prima nel nostro paese.
Già al recepimento delle nuove normative e disposizioni del GDPR nel 2018, che integravano quelle esistenti in Italia, gli istituti e i dirigenti scolastici hanno affrontato svariate difficoltà, in quanto è occorsa una totale riforma delle procedure e della concezione di “dato personale” anche a seconda delle attività svolte (p.e, ovviamente un asilo ha diversi tipi di attività rispetto ad un liceo).
L’emergenza Covid19 ha poi inasprito le problematicità, e, purtroppo, il rischio di non aver adempiuto totalmente alla nuova legislazione in materia.
IL GDPR APPLICATO ALLA DAD (Didattica a Distanza)
Gli istituti scolastici hanno applicato la nuova soluzione in tempi rapidi per poter far fronte alla chiusura totale (e indeterminata) di tutto il sistema scuola. E per fare ciò hanno (avrebbero) dovuto conciliare il diritto allo studio con quello alla privacy, e rispetto a tempi “normali”, con la DAD è diventato sicuramente più arduo.
In primo luogo diciamo che l’adozione della DAD, portando avanti la funzione della didattica in presenza, secondo molti esperti di privacy, non avrebbe necessitato di alcun obbligo da parte degli istituti e dei loro dirigenti di creare un’informativa aggiuntiva rispetto a quella già fatta leggere e firmare ad inizio anno da ogni soggetto interessato da parte del titolare dei dati.
L’UTILIZZO DI “APP”
Altri invece hanno sollevato qualche perplessità su questo aspetto, in quanto, spesso e volentieri non ci si è appoggiati a server protetti e privati, ma a piattaforme social di uso quotidiano e comune come (tra le altre) Zoom o Team Meets.
Queste app, fruibili da desktop e da mobile, e fino al 10/3 sconosciute ai più, sono diventate come per magia le più richieste e utilizzate da utenti di mezzo mondo (sia per la scuola che per lo smart working).
Il problema è che la loro natura, appunto, “social”, non permette di garantire appieno la privacy (tanto che molti “web-experts” hanno riscontrato diversi pericoli di data breach) che soprattutto gli utenti minorenni dovrebbero avere e che invece i loro tutori hanno assicurato.
In seconda istanza, l’emergenza e il bisogno impellente di dover ricominciare le lezioni per portare a termine l’anno scolastico, quando ci siamo resi conto che la scuola non avrebbe più riiniziato, hanno fatto sì che non si badasse tanto alla forma quanto alla sostanza. Quindi a partire da ogni regione, per finire ad ogni singolo istituto scolastico, sono stati adottati i mezzi che si ritenevano più idonei, seguendo un percorso soggettivo e poche indicazioni da parte delle istituzioni di competenza (senza contare poi la difficoltà e la disparità non solo tra aree geografiche ma anche tra gli utenti stessi…).
LA RISPOSTA DEL GARANTE
Per dissipare alcuni dubbi e rispondere ad alcune domande in merito, è intervenuto il Garante della privacy a fine marzo dando alcune indicazioni sia per la protezione dei dati personali degli studenti che per la didattica a distanza in generale.
Vediamo alcuni di questi punti:
- Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei
- Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza scuole e università dovranno orientarsi verso strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati. (la valutazione di impatto deve essere eseguita solo su larga scala – i singoli istituti quindi ne sono esonerati)
- Se la piattaforma prescelta comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico (es. il registro elettronico). (…) Le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. (se le piattaforme usate sono più complesse adatte al tipo di servizio necessario occorre configurare il trattamento con il minimo di dati indispensabili – es. NO geolocalizzazione).
- Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore (…) Ai dati personali dei minori, inoltre, va garantita una specifica protezione poiché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti.
CONSIDERAZIONI FINALI
Dato quanto sopra esposto direttamente dal Garante della Privacy, viene da chiedersi se effettivamente tutte gli istituti abbiano seguito alla lettera ciò che è stato indicato come indispensabile per tutelare la privacy degli utenti che hanno fruito della DAD…
Sicuramente per un futuro utilizzo della stessa, per motivi magari meno urgenti e impattanti rispetto al Covid19, tutti i soggetti coinvolti dovranno studiare quanto fatto e rivederne gli aspetti per garantire oltre al buon funzionamento della DAD, la giusta tutela della privacy come richiesto dalla normativa.