Didattica online, la guida del Garante Privacy per evitare fughe di dati - CorCom

L'INIZIATIVA

Didattica online, la guida del Garante Privacy per evitare fughe di dati

Privilegiare le piattaforme che prevedono impostazioni predefinite, verificare le condizioni contrattuali con il provider e protezione ad hoc per i minori. Soro: “Non sottovalutare i rischi, serve consapevolezza”

30 Mar 2020

Enzo Lima

Assicurare al mondo della scuola e dell’università un supporto utile alla gestione della didattica on line. Un supporto che tenga conto del rispetto della privacy e dell’utilizzo corretto dei dati. Con questo obiettivo il Garante Privacy ha messo a punto una guida all’uso rendendola disponibile a scuole, atenei, studenti e famiglie.

“Le straordinarie potenzialità del digitale – rivelatesi soprattutto in questo frangente indispensabili per consentire l’esercizio di diritti e libertà con modalità e forme nuove – non devono indurci a sottovalutare anche i rischi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento”, ha scritto nero su bianco il Garante per la Privacy Antonello Soro in una lettera inviata ai ministri dell’Istruzione, dell’Università e della ricerca e per le Pari opportunità e la famiglia. “Considerando che, spesso, per i minori che accedono a tali piattaforme si tratta delle prime esperienze, se non addirittura della prima, di utilizzo di simili spazi virtuali, è evidente come anche quest’attività vada svolta con la dovuta consapevolezza, anche sulla base delle indicazioni fornite a livello centrale”, ha evidenziato Soro.

Ecco le indicazioni del Garante

Il consenso al trattamento dei dati non è necessario

Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.

Privilegiare le piattaforme con impostazioni privacy predefinite

Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza scuole e università dovranno orientarsi verso strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati. Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.

Il contratto con il provider va definito nel dettaglio

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Se la piattaforma prescelta comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico. È il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola. Nel caso, invece, in cui si ritenga necessario ricorrere a piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, si dovranno attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad esempio, geolocalizzazione e social login).

I dati vanno trattati solo per le attività di didattica a distanza

L’Autorità vigilerà sull’operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie. Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.

I gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica.

Protezione dei dati ad hoc per i minori

Ai dati personali dei minori, inoltre, va garantita una specifica protezione poiché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Tale specifica protezione deve, in particolare, riguardare l’utilizzo dei loro dati a fini di marketing o di profilazione.

Linguaggio comprensibile per evitare errori

Per garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono informare gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, riguardo, in particolare, alle caratteristiche essenziali del trattamento che viene effettuato. Relativamente ai docenti, scuole e università, nel rispetto della disciplina sui controlli a distanza, dovranno trattare solo i dati strettamente necessari e comunque senza effettuare indagini sulla sfera privata.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2