Tempo di lettura stimato: 7'
E così, la digitalizzazione della scuola italiana l’ha fatta il Covid-19. Da quando è scattata l’emergenza, nel giro di 2 mesi, le scuole di tutta Italia sono passate alla DaD, un acronimo simpatico per descrivere una modalità di lavoro – la Didattica a Distanza – che di simpatico ha veramente poco, quanto meno dal punto di vista della gestione dei dati a norma GDPR.
Dati particolari a rischio: i presidi, gli insegnanti, le famiglie sono consapevoli?
In questo momento, migliaia di dirigenti scolastici stanno lottando – probabilmente senza rendersene conto - contro un virus che non è il Covid-19. È un virus che presenterà il conto a fine pandemia, quando tutti torneremo alla normalità e qualcuno si accorgerà – se già non se ne è accorto - che per gestire l’emergenza della didattica online sono stati usati strumenti del tutto inadeguati a proteggere i dati personali degli studenti, ma anche quelli di docenti, genitori, nonni.
Strumenti per le videochiamate come ZOOM, per fare un esempio, lacunoso sulla sicurezza e non certo cristallino nelle modalità di trattamento dei dati. Strumenti come il registro elettronico, su cui sta passando di tutto: dal video della maestra che spiega come sillabare, ai dati che toccano direttamente gli studenti. Dati delicatissimi, trattati con strumenti inadeguati e che, finita l’emergenza, andranno inventariati e controllati.
Finita l’emergenza bisognerà capire in quali archivi sono finiti, se sono stati protetti e come. Sono sul server della scuola o in Cloud? In quale Cloud? E i Data Breach? Ci sono state violazioni? Di che tipo? Sono da segnalare?
Ogni scuola fa da sé. Ogni classe fa da sé. Un vespaio di strumenti, scelte didattiche ed organizzative che complica le cose ancora di più. E poi ci sono le competenze tecnologiche, che sono mediamente scarse, se non addirittura nulle, sia tra gli insegnanti che tra i genitori. Un problema non da poco, perché, se non sei consapevole dello strumento che usi, come fai a capire se è compliant con il GDPR?
Bene. Questo il quadro.
E a me questo quadro fa paura, perché poche scuole conoscono veramente il GDPR. Poche scuole hanno protocolli semplici da seguire, anche in situazioni come questa, che le aiuterebbero ad essere in regola. Invece si è fatto tutto in emergenza e si è fatto quello che si poteva, con pochissimo. Perché c’è anche il problema delle risorse scolastiche, così scarse che la carta igienica devono portarla le famiglie e per comprare i pennarelli e i fogli A4 per disegnare, si fa la pesca di fine anno o la colletta tra i genitori.
Adesso milioni di informazioni sui bambini e sui ragazzi sono online. Sono dati particolari, cioè sensibili, perché riguardano i minori e quindi andrebbero trattati con i guanti di velluto - anzi meno li tratti, meglio è – e che non sono solo il nome, il cognome, la scuola che frequentano, la classe che fanno. E già così ci sarebbe da mettersi le mani nei capelli… Sono anche le verifiche di Peppino, che non è tanto bravo a scuola, i video di Antonio e Giulia che hanno 7 anni e leggono incespicando una paginetta di storia, i messaggi della mamma che chiede un aiuto perché suo figlio ha un DSA e non sa come fare con la didattica online, la chat privata tra Sara e Martina che hanno 12 anni e si scambiano i selfie col gatto. Cosa succederebbe se questi dati venissero hackerati? E se andassero persi? Se finissero nel Dark Web?
Milioni di potenziali violazioni che possono mettere gravemente a rischio i diritti e le libertà di persone che non possono difendersi.
Intanto, qualche indicazione per gestire la didattica online è arrivata.
A fine marzo, il Garante per la protezione dei dati è intervenuto sulla DaD per dare alcune prime indicazioni alle scuole, agli atenei, agli studenti e alle loro famiglie su quali sono le implicazioni più importanti della didattica a distanza rispetto al diritto alla protezione dei dati personali.
Le prime indicazioni dell’Autorità Garante sulla didattica online
Vediamo in sintesi quali sono le questioni su cui è intervenuto il Garante rispetto alla didattica online.
- Consenso sì o consenso no?
Le scuole e le università che usano sistemi di didattica a distanza devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti e genitori?
No, perché il trattamento è riconducibile alle funzioni che spettano istituzionalmente a scuole ed atenei.
- Strumenti di didattica a distanza: la valutazione di impatto va fatta oppure no?
Scegliendo le piattaforme e decidendo come regolare la didattica a distanza, scuole e università devono usare “strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati.” Quindi privacy by design e by default. Però non è necessario che facciano la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati se “il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.”
Cioè a meno che il trattamento non aggravi i rischi che possono correre i dati.
Cosa vuol dire?
Il Garante ce lo spiega facendo un esempio.
Se una singola scuola – per esempio la primaria di Albinea – decide che per la didattica online userà una piattaforma di videoconferenza o un software che non consente il monitoraggio sistematico degli utenti, non deve fare la valutazione di impatto.
Se invece fosse un trattamento su larga scala, la valutazione si dovrebbe fare.
Per esempio, se il Comune di una città medio-grande decide che le scuole comunali devono usare tutte lo stesso sistema di videoconferenza, allora il trattamento non è più circoscritto ad una sola scuola ma è su scala più grande, perché comprende molte scuole di diverso ordine e grado, e quindi a molti studenti minori. La DPIA in questo caso andrebbe fatta.
Io personalmente ho una visione ancora più restrittiva. Per me la DPIA va fatta sempre e comunque, anche se il trattamento non è su larga scala. Perché se il video di Peppino che ha 9 anni e legge una paginetta va online a causa di un Data Breach, lo vedono miglia di persone e siccome Peppino ancora non legge bene, riceve pure degli insulti online – cyberbullismo - i genitori fanno una causa civile contro la scuola e la vincono a mani basse. Chiaro?
- Come regolare i rapporti con i fornitori dei servizi on line e delle piattaforme?
Quando la scuola - o l’ateneo - sceglie una piattaforma di terzi in cui il fornitore di questa piattaforma tratta i dati personali di studenti, alunni e genitori per conto della scuola o dell’università, il fornitore è un responsabile esterno e quindi il rapporto deve essere regolato con contratto o con altro atto giuridico. Nel caso del registro elettronico è già così: il fornitore tratta i dati per conto della scuola. Ma cosa fare nel caso in cui la scuola voglia affidarsi a piattaforme più complesse e che erogano servizi più complessi che non sono necessariamente rivolti solo alla didattica? Il Garante ci dice che vanno attivati solo i servizi strettamente necessari alla formazione, che vanno configurati in modo da minimizzare i dati personali da trattare. Quindi, per esempio, vanno evitati la geolocalizzazione e il social login.
- Quali adempimenti a carico di scuole università?
Scuole e università devono assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza.
- L’Autorità Garante farà delle verifiche?
Sì. L’Autorità controllerà che i fornitori delle principali piattaforme per la didattica a distanza siano conformi al Regolamento perché i dati dei docenti, degli studenti e dei loro familiari siano trattati in modo conforme al GDPR e che agiscano seguendo le indicazioni fornite dalle istituzioni scolastiche e universitarie, che sono i titolari del trattamento.
- Quali sono i limiti alle finalità di trattamento dei dati?
Il fornitore della piattaforma, che tratta dati per conto della scuola o dell’università, deve limitare il trattamento a quanto strettamente necessario per fornire i servizi di didattica on line e non per ulteriori finalità del fornitore.
L’uso della piattaforma quindi non deve essere condizionato: studenti e genitori, nel caso di figli minori, devono poter usare i servizi di didattica online senza che il gestore della piattaforma imponga loro l’obbligo di firmare un contratto o dare il consenso al trattamento dei dati per altri servizi online non collegati all’attività didattica.
- I dati dei minori sono dati particolari (ex sensibili) come tutelarli?
I dati dei bambini e dei ragazzi sotto i 18 anni sono dati particolari e vanno ulteriormente protetti perché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Quindi, in particolare, il Garante ci dice che non possono essere utilizzati né a fini di marketing né per la profilazione.
- Correttezza e trasparenza nell’uso dati: come fare?
Per garantire la trasparenza e la correttezza del trattamento, scuole e università devono informare gli interessati - alunni, studenti, genitori e docenti – usando un linguaggio comprensibile anche ai minori, soprattutto rispetto alle caratteristiche del trattamento.
Scuole e università poi devono trattare i dati dei docenti - che sono anche dipendenti – rispettando la disciplina sui controlli a distanza e trattando solo i dati strettamente necessari e comunque senza indagare nella loro sfera privata.
Si fa presto a dire didattica online. Come si fa presto a dire Smart Working. Sono tutti trattamenti che vanno fatti con consapevolezza, buon senso e prudenza. Quante scuole avranno fatto la DPIA prima di passare alla DaD? Quante avranno scelto strumenti adeguati e modalità operative adatte? Da settembre bisognerà mettere ordine e rivedere queste cose per gestire eventuali altri lockdown e fare la didattica a distanza a norma. Intanto però le uova nel paniere si sono già rotte.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
