Il trattamento dei dati ai tempi del coronavirus

Fare scuola in emergenza

Di fronte all’emergenza Coronavirus, le scuole e i docenti sono stati chiamati a cercare modalità di apprendimento capaci di superare le barriere fisiche, offrendo agli studenti la possibilità di continuare a imparare attraverso forme di didattica a distanza.

A causa dell’emergenza Covid-19 le Scuole sono sempre più sottoposte a uno “stress burocratico”, dovuto anche alla gestione “a norma privacy” dei nuovi processi in atto collegati alla Didattica a Distanza (DaD).

L’apprendimento a distanza non è una novità assoluta!

L’approfondimento ha la semplice finalità di alleggerire il carico di processi interni alla Scuola, per la gestione (inutile) di consensi di genitori o studenti maggiorenni, ai fini dell’attivazione dei servizi Didattica A Distanza (DaD) e Formazione A Distanza (FaD).

Ho ricevuto tante telefonate di genitori, docenti, dirigenti scolastici e amici che avevano domande su quali condotte utilizzare durante i processi di DaD e FaD per non violare il GDPR (Regolamento generale sulla protezione dei dati).

A dir il vero, c’è una gran confusione in giro. E la confusione produce errori, che – a loro volta –producono danni. Se poi aggiungiamo anche gli errori e la superficialità che caratterizzano le indicazioni del Ministro dell’Istruzione in tema di protezione dei dati personali, il tutto suona come una beffa per gli istituti scolastici, in prima linea per garantire, anche a distanza e con i pochi mezzi a disposizione, la continuità didattica.

Le scuole avrebbero bisogno di indicazioni operative concrete che possano aiutarle nel pianificare le nuove attività di formazione a distanza, nel rispetto della normativa sulla protezione dei dati.

Serve estrema chiarezza

La DaD rappresenta, sostanzialmente, la risposta formativa della scuola italiana all’emergenza da Coronavirus che ha spiazzato l’intero Paese, e delinea un’interessante risposta a una situazione complicata, certificando – di fatto – la presenza della scuola nella quotidianità degli studenti.

Tale presenza si traduce in offerte differenti: qualcuno la intende come semplice deposito di materiale didattico, lasciando poi ai genitori o agli studenti la loro gestione. Altri, invece, la proiettano in percorsi interattivi, comunicativi e metodologie di grande pregio.

Internet e le innovazioni tecnologiche hanno portato a nuove modalità comunicative e di condivisione, influenzando il sistema scolastico e – al contempo – risultando ottimi alleati per ovviare alla distanza fisica, e permettere agli studenti di vivere una dimensione molto più vasta della classe tradizionale.

In questo periodo di emergenza non bisogna, infatti, sottovalutare le problematiche legate anche alla protezione dei dati personali dei ragazzi, per la maggior parte minorenni, e alla sicurezza dei sistemi informativi e dei dati trattati dalle scuole.

Il mito del consenso da richiedere ai genitori

Penso, quindi, che sia utile e importante rassicurare gli operatori, oltre che le istituzioni scolastiche di ogni ordine e grado e sfatare un mito! Non è necessario richiedere alcun consenso a nessuno.

Quindi, per una volta la legge non è difficile da applicare: per la gestione delle attività di DaD e FaD, è certamente necessario rispettare il Codice dell’Amministrazione Digitale, le collegate circolari AgID (Agenzia per l’Italia Digitale) e il GDPR, ma questo non richiede ulteriori sforzi burocratici, rispetto all’impegno già profuso da coloro i quali hanno creato le condizioni tali da poter erogare le attività a distanza.

Una DaD conforme alle norme della riservatezza

Affinché DaD e FaD si possano dire “conformi” è proficuo che:

1. Gli strumenti utilizzati per la gestione di DaD e FaD siano qualificati AgID.

2. I trattamenti di dati personali per l’erogazione delle attività di DaD e FaD vengano effettuate in esecuzione degli obblighi di legge emanati dalla Presidenza del Consiglio dei Ministri e dal Ministero dell’Istruzione, per consentire alla Scuola di svolgere i propri compiti nell’interesse pubblico rilevante.

3. Gli Istituti Scolastici regolamentino l’utilizzo degli strumenti da parte dei docenti e le possibilità conferite agli alunniinformando gli interessati.

Quindi, per la fruizione delle classi virtuali non è necessaria alcuna autorizzazione da parte dei genitori. Più semplicemente, tale autorizzazione non avrebbe senso.

Andare a scuola (DaD) al tempo del Coronavirus

Chi dovesse decidere di non conferire i dati per le connessioni alla DaD, si comporterebbe come se non andasse a scuola o non utilizzasse il registro elettronico; tanto un allievo quanto un docente. Nessuno vi chiederà (né può chiedervi) se siate o meno concordi: o venite o non venite (a scuola), con tutte le conseguenze del caso.

In ossequio al principio di accountability di cui al GDPR, ogni singola istituzione formativa sceglie di quali strumenti dotarsi per eseguire le attività e, fatto salvo il vincolo di garantire la sicurezza delle informazioni e dei dati personali – nel rispetto del requisito di qualificazione AgID in ambito pubblico – l’ente agisce in ottemperanza alle disposizioni di legge nell’erogare la formazione a distanza, e non ha bisogno di richiedere alcuna autorizzazione o agli aventi potestà genitoriale sui minori od agli studenti maggiorenni.

Temo che chi ha proposto, promosso, suggerito o imposto la richiesta di autorizzazione ai genitori, abbia mal interpretato il testo dell’articolo 8 del GDPR, in cui è scritto chiaramente che la richiesta di consenso per i servizi web si applica solo ai servizi della società dell’informazione prestati ai minori e fondati sul consenso.

L’autorizzazione vale solo per i servizi privati

Che vuol dire, per i comuni mortali, che bisogna che i genitori acconsentano a che i minori (di 14 anni in Italia) possano accedere a servizi privati, erogati via web sui loro cellulari o tablet o PC, che prevedano l’utilizzo – magari non tanto consapevole – di informazioni che li riguardano (compresa la pubblicità comportamentale, ovviamente).

La ratio della richiesta di consenso da parte degli esercenti potestà genitoriale per i servizi web erogati ai minori, è scritta chiaramente nel Considerando 38 del Regolamento UE.

Qui non si tratta di servizi privati forniti direttamente a un minore, per i quali lo stesso potrebbe incorrere in rischi di cui non è consapevole (come per esempio il gaming on line). Trattasi, bensì, di esercizio di compiti di interesse pubblico rilevante imposti per legge.

Né il minore, né il genitore, né il docente hanno voce in capitolo.

Si può solo andare o non andare a scuola “ai tempi del Coronavirus”, di nuovo, con tutte le conseguenze del caso.

L’informativa è necessaria

Qualcuno direbbe con convinzione “meglio un consenso in più”, invece, secondo la legge, quel consenso in più è un consenso di troppo.

Non solo il consenso non va richiesto, bensì la richiesta di consenso in questo contesto è una violazione degli articoli 6 e 7 del GDPR (errato fondamento di liceità e mancata libertà nell’espressione del consenso), ed espone a tutti i rischi di applicazione del GDPR, ovverosia “il meglio” degli articoli 58 e 83: “la sanzione”.

Se posso permettermi un suggerimento sincero, io consiglio a tutti i dirigenti scolastici e docenti che stanno improvvisando soluzioni per la gestione di questa devastante emergenza, di non andare nel panico, non fare carte a caso, non produrre documentazione inutile.

Sentite i vostri DPO (Responsabili della protezione dei dati), buttate giù due informative (senza chiedere il consenso), scrivete semplici e precisi regolamenti sull’utilizzo degli strumenti di e-learning. E se avete sbagliato… correggete! Meglio tardi che mai.

Le domande che ci dobbiamo fare

In particolare, vi consiglio con franchezza di fare alcune riflessioni semplici, quali:

– Come volete utilizzare le immagini e le chat? (Video dei docenti, video degli studenti, videolezione registrata o videolezione interattiva, possibilità di inibizione dei video degli studenti o divieto degli stessi, divieto di chat private, quali elementi possono essere registrati e quali non, relativi periodi di conservazione…).

– Avete pensato a regolare il tipo di materiale e le modalità di scambio? (Utilizzo regolare di materiali didattici coperti da copyright, regolamentazione dell’utilizzo delle cartelle di condivisione digitale, quali documenti si possono caricare e quali non, come si caricano online gli oggetti di valutazione…).

– Avete le idee chiare su chi sia responsabile di quali azioni e di che cosa possa fare con le informazioni? Cosa sia sotto il vostro controllo e cosa non? (Relazioni fra i soggetti coinvolti nell’erogazione della DaD e, in particolare, delle piattaforme (e.g. registro elettronico, condivisione del materiale, sistemi di chat, sistemi di webconferencing) e relativi aspetti contrattuali (vi suggerisco di chiarire e rendere evidenti ai terzi quando la scuola ingaggia un responsabile del trattamento che agisce sotto la sua responsabilità, come ad esempio il fornitore del registro elettronico, e quando seleziona uno strumento di condivisione del materiale digitale che agisce in qualità di autonomo titolare del trattamento…).

A questo serve una informativa, semplice, chiara, dettagliata e puntuale,affinché possa interpretare la soluzione semplice e risoluta a problemi vecchi e nuovi.

Meglio essere accorti e prudenti per non trovarsi a rispondere di possibili illeciti davanti al Garante per la Privacy.