Il Garante Privacy nelle ultime ore ha voluto puntualizzare il proprio approccio alla didattica online, sottolineando come le piattaforme per l’e-learning e il modo in cui sono state adottate è qualcosa che non è stato certo ignorato dall’authority: le istituzioni hanno anzi immediatamente monitorato la questione, cercando di fornire strumenti e principi agili da poter adottare in situazione di emergenza.
Quel che appare chiaro è come il Garante voglia attribuire specifiche responsabilità, ma al tempo stesso fornisce indicazioni tali da non creare eccessive barriere all’adozione delle piattaforme (ostacolo che rischierebbe di bloccare inesorabilmente la didattica da remoto in questa fase di stallo generale). Molti istituti che stanno improvvisando il proprio approccio con la didattica a distanza hanno abbracciato soluzioni quali Meet, Teams e Zoom, mentre altri hanno sposato soluzioni proprietarie o di piccola diffusione: le regole devono valere per tutti e il rispetto della privacy è qualcosa che il Garante intende imporre come vero e proprio standard, come requisito essenziale, come sostanza che vada oltre la forma.
Privacy by design e by default
Spetta in primo luogo alle scuole e alle università – quali titolari del trattamento – la scelta e la regolamentazione, anche sulle base delle indicazioni fornite dalle autorità competenti, degli strumenti più utili per la realizzazione della didattica a distanza […] Tali scelte dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati […].
Varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di “classi virtuali”, la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in modo “social” tra docenti, studenti e famiglie. Alcune piattaforme offrono anche molteplici ulteriori servizi, non sempre specificamente rivolti alla didattica. Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali.
Il rispetto della privacy non è qualcosa che possa essere soggetto a negoziazione: è un requisito fondamentale che le piattaforme debbono offrire e gli istituti scolastici debbono pretendere. Si parte di qui, insomma, per poter costruire un rapporto basato su patti chiari.
Piattaforme, videolezioni, account
Dalla scelta della piattaforma dipende in gran parte la modalità di erogazione delle lezioni, ma le limitazioni di alcune piattaforme potrebbero imporre un quadro più complesso che merita approfondimento dedicato. Di qui l’intervento del Garante:
Qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico (art. 28 del Regolamento). E’ il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento. Le eventuali, ulteriori attività di didattica a distanza, talora fornite da alcuni registri elettronici, possono essere in alcuni casi già disciplinate nello stesso contratto di fornitura stipulato.
Diversamente, qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non dover designare ulteriori responsabili del trattamento- utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato. Alcuni di questi servizi sono, peraltro, facilmente utilizzabili anche senza la necessaria creazione di un account da parte degli utenti.
Laddove, invece, si ritenga necessario ricorrere a piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).
Ti potrebbe interessare
31 mar 2020