Didattica online e GDPR ai tempi del Covid-19

22 maggio 2020
Tempo di lettura stimato: 7'
E così, la digitalizzazione della scuola italiana l’ha fatta il Covid-19. Da quando è scattata l’emergenza, nel giro di 2 mesi, le scuole di tutta Italia sono passate alla DaD, un acronimo simpatico per descrivere una modalità di lavoro – la Didattica a Distanza – che di simpatico ha veramente poco, quanto meno dal punto di vista della gestione dei dati a norma GDPR

Dati particolari a rischio: i presidi, gli insegnanti, le famiglie sono consapevoli?

In questo momento, migliaia di dirigenti scolastici stanno lottando – probabilmente senza rendersene conto - contro un virus che non è il Covid-19. È un virus che presenterà il conto a fine pandemia, quando tutti torneremo alla normalità e qualcuno si accorgerà – se già non se ne è accorto - che per gestire l’emergenza della didattica online sono stati usati strumenti del tutto inadeguati a proteggere i dati personali degli studenti, ma anche quelli di docenti, genitori, nonni. 
Strumenti per le videochiamate come ZOOM, per fare un esempio, lacunoso sulla sicurezza e non certo cristallino nelle modalità di trattamento dei dati. Strumenti come il registro elettronico, su cui sta passando di tutto: dal video della maestra che spiega come sillabare, ai dati che toccano direttamente gli studenti. Dati delicatissimi, trattati con strumenti inadeguati e che, finita l’emergenza, andranno inventariati e controllati. 
Finita l’emergenza bisognerà capire in quali archivi sono finiti, se sono stati protetti e come. Sono sul server della scuola o in Cloud? In quale Cloud? E i Data Breach? Ci sono state violazioni? Di che tipo? Sono da segnalare? 
Ogni scuola fa da sé. Ogni classe fa da sé. Un vespaio di strumenti, scelte didattiche ed organizzative che complica le cose ancora di più. E poi ci sono le competenze tecnologiche, che sono mediamente scarse, se non addirittura nulle, sia tra gli insegnanti che tra i genitori. Un problema non da poco, perché, se non sei consapevole dello strumento che usi, come fai a capire se è compliant con il GDPR? 
Bene. Questo il quadro.
E a me questo quadro fa paura, perché poche scuole conoscono veramente il GDPR. Poche scuole hanno protocolli semplici da seguire, anche in situazioni come questa, che le aiuterebbero ad essere in regola. Invece si è fatto tutto in emergenza e si è fatto quello che si poteva, con pochissimo. Perché c’è anche il problema delle risorse scolastiche, così scarse che la carta igienica devono portarla le famiglie e per comprare i pennarelli e i fogli A4 per disegnare, si fa la pesca di fine anno o la colletta tra i genitori.
Adesso milioni di informazioni sui bambini e sui ragazzi sono online. Sono dati particolari, cioè sensibili, perché riguardano i minori e quindi andrebbero trattati con i guanti di velluto - anzi meno li tratti, meglio è – e che non sono solo il nome, il cognome, la scuola che frequentano, la classe che fanno. E già così ci sarebbe da mettersi le mani nei capelli… Sono anche le verifiche di Peppino, che non è tanto bravo a scuola, i video di Antonio e Giulia che hanno 7 anni e leggono incespicando una paginetta di storia, i messaggi della mamma che chiede un aiuto perché suo figlio ha un DSA e non sa come fare con la didattica online, la chat privata tra Sara e Martina che hanno 12 anni e si scambiano i selfie col gatto. Cosa succederebbe se questi dati venissero hackerati? E se andassero persi? Se finissero nel Dark Web? 
Milioni di potenziali violazioni che possono mettere gravemente a rischio i diritti e le libertà di persone che non possono difendersi. 
Intanto, qualche indicazione per gestire la didattica online è arrivata.
A fine marzo, il Garante per la protezione dei dati è intervenuto sulla DaD per dare alcune prime indicazioni alle scuole, agli atenei, agli studenti e alle loro famiglie su quali sono le implicazioni più importanti della didattica a distanza rispetto al diritto alla protezione dei dati personali. 


Le prime indicazioni dell’Autorità Garante sulla didattica online

Vediamo in sintesi quali sono le questioni su cui è intervenuto il Garante rispetto alla didattica online. 
  • Consenso sì o consenso no?
Le scuole e le università che usano sistemi di didattica a distanza devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti e genitori? 
No, perché il trattamento è riconducibile alle funzioni che spettano istituzionalmente a scuole ed atenei.
  • Strumenti di didattica a distanza: la valutazione di impatto va fatta oppure no?
Scegliendo le piattaforme e decidendo come regolare la didattica a distanza, scuole e università devono usare “strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati.” Quindi privacy by design e by default. Però non è necessario che facciano la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati se “il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.”
Cioè a meno che il trattamento non aggravi i rischi che possono correre i dati.
Cosa vuol dire? 
Il Garante ce lo spiega facendo un esempio.
Se una singola scuola – per esempio la primaria di Albinea – decide che per la didattica online userà una piattaforma di videoconferenza o un software che non consente il monitoraggio sistematico degli utenti, non deve fare la valutazione di impatto.
Se invece fosse un trattamento su larga scala, la valutazione si dovrebbe fare. 
Per esempio, se il Comune di una città medio-grande decide che le scuole comunali devono usare tutte lo stesso sistema di videoconferenza, allora il trattamento non è più circoscritto ad una sola scuola ma è su scala più grande, perché comprende molte scuole di diverso ordine e grado, e quindi a molti studenti minori. La DPIA in questo caso andrebbe fatta.
Io personalmente ho una visione ancora più restrittiva. Per me la DPIA va fatta sempre e comunque, anche se il trattamento non è su larga scala. Perché se il video di Peppino che ha 9 anni e legge una paginetta va online a causa di un Data Breach, lo vedono miglia di persone e siccome Peppino ancora non legge bene, riceve pure degli insulti online – cyberbullismo - i genitori fanno una causa civile contro la scuola e la vincono a mani basse. Chiaro?
  • Come regolare i rapporti con i fornitori dei servizi on line e delle piattaforme? 
Quando la scuola - o l’ateneo - sceglie una piattaforma di terzi in cui il fornitore di questa piattaforma tratta i dati personali di studenti, alunni e genitori per conto della scuola o dell’università, il fornitore è un responsabile esterno e quindi il rapporto deve essere regolato con contratto o con altro atto giuridico. Nel caso del registro elettronico è già così: il fornitore tratta i dati per conto della scuola. Ma cosa fare nel caso in cui la scuola voglia affidarsi a piattaforme più complesse e che erogano servizi più complessi che non sono necessariamente rivolti solo alla didattica? Il Garante ci dice che vanno attivati solo i servizi strettamente necessari alla formazione, che vanno configurati in modo da minimizzare i dati personali da trattare. Quindi, per esempio, vanno evitati la geolocalizzazione e il social login. 
  • Quali adempimenti a carico di scuole università? 
Scuole e università devono assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. 
  • L’Autorità Garante farà delle verifiche?
Sì. L’Autorità controllerà che i fornitori delle principali piattaforme per la didattica a distanza siano conformi al Regolamento perché i dati dei docenti, degli studenti e dei loro familiari siano trattati in modo conforme al GDPR e che agiscano seguendo le indicazioni fornite dalle istituzioni scolastiche e universitarie, che sono i titolari del trattamento
  • Quali sono i limiti alle finalità di trattamento dei dati? 
Il fornitore della piattaforma, che tratta dati per conto della scuola o dell’università, deve limitare il trattamento a quanto strettamente necessario per fornire i servizi di didattica on line e non per ulteriori finalità del fornitore. 
L’uso della piattaforma quindi non deve essere condizionato: studenti e genitori, nel caso di figli minori, devono poter usare i servizi di didattica online senza che il gestore della piattaforma imponga loro l’obbligo di firmare un contratto o dare il consenso al trattamento dei dati per altri servizi online non collegati all’attività didattica.
  • I dati dei minori sono dati particolari (ex sensibili) come tutelarli? 
I dati dei bambini e dei ragazzi sotto i 18 anni sono dati particolari e vanno ulteriormente protetti perché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Quindi, in particolare, il Garante ci dice che non possono essere utilizzati né a fini di marketing né per la profilazione.
  • Correttezza e trasparenza nell’uso dati: come fare? 
Per garantire la trasparenza e la correttezza del trattamento, scuole e università devono informare gli interessati - alunni, studenti, genitori e docenti – usando un linguaggio comprensibile anche ai minori, soprattutto rispetto alle caratteristiche del trattamento.
Scuole e università poi devono trattare i dati dei docenti - che sono anche dipendenti – rispettando la disciplina sui controlli a distanza e trattando solo i dati strettamente necessari e comunque senza indagare nella loro sfera privata.

Si fa presto a dire didattica online. Come si fa presto a dire Smart Working. Sono tutti trattamenti che vanno fatti con consapevolezza, buon senso e prudenza. Quante scuole avranno fatto la DPIA prima di passare alla DaD? Quante avranno scelto strumenti adeguati e modalità operative adatte? Da settembre bisognerà mettere ordine e rivedere queste cose per gestire eventuali altri lockdown e fare la didattica a distanza a norma. Intanto però le uova nel paniere si sono già rotte. 
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy