Didattica a distanza in emergenza Codiv 19: profili critici sulla conservazione e cancellazione dei dati alla luce del GDPR 679/16 e delle indicazioni del Garante privacy

Daniele Ciocia 21/05/20
La didattica a distanza nella scuola ha imposto l’uso di piattaforme informatiche e di svariati sistemi di collegamento e condivisione di immagini, video e documenti, spesso non valutati adeguatamente, a causa dell’emergenza, sotto il profilo della tutela della privacy imposta dal Regolamento UE n.679/16.

Una delle questioni più delicate riguarda l’individuazione di modalità e tempi di cancellazione dell’enorme quantità di dati, di diversa natura, oggi trattati per via informatica nell’ambito scolastico, poiché non è facilmente definibile a priori quale sia il “termine minimo possibile” collegato al conseguimento delle finalità per le quali sono trattati.

Emergenza sanitaria e didattica a distanza nella scuola: non mutano funzione docente e natura dell’attività. I riflessi in ordine all’applicazione della disciplina a tutela della privacy.

L’emergenza Covid-19 ha innovato forzatamente le modalità della didattica nella con l’introduzione delle modalità online per le lezioni, riunioni degli organi collegiali, valutazioni, sessioni d’esame e di laurea. Ma, mentre nel mondo universitario l’utilizzo di mezzi informatici costituisce come un dato già sufficientemente consolidato, non così è per la scuola di ogni ordine e grado ove alle difficoltà tecniche della didattica a distanza, per carenza di mezzi e impreparazione degli operatori, si sono aggiunti molti interrogativi legati anche alla tutela della privacy e preoccupazioni accentuate dalla minore età degli studenti coinvolti.

La questione ha occupato sia il Ministero dell’Istruzione da cui è stato recentemente scorporato il Ministero dell’Università e Ricerca Scientifica, sia, recentemente, il Garante per la protezione dei dati personali, con propri provvedimenti sul tema. Ma alcune questioni, per la novità e per il forte impatto che ne è derivato, restano ancora aperte. Tra queste, in particolare, rileva quella della titolarità e della durata della conservazione dell’ingente quantità di dati prodotti, direttamente o indirettamente, dalla didattica a distanza in tutte le scuole italiane; problema accentuato dalla molteplicità delle forme e degli strumenti utilizzati dalle scuole e dai singoli attori del processo comunicativo in questa fase di emergenza, non sempre strutturati in modo organico e coerente.

Per un primo orientamento nella questione, occorre anzitutto richiamare la natura ed il contenuto della c.d. didattica a distanza e definire i suoi connotati differenziali rispetto a quella tradizionale, per i fini qui rilevanti.

Il Ministero dell’Istruzione ha inteso definirne i contenuti e la portata con la nota prot.388 del 17 marzo 2020 ove si sottolinea che la “didattica a distanza” è anzitutto una “declinazione in modalità telematica degli aspetti che caratterizzano il profilo professionale docente” per dare continuità e corpo al principio costituzionale del diritto all’istruzione. La didattica a distanza – precisa il Ministero dell’Istruzione – come ogni attività didattica prevede “la costruzione ragionata e mirata del sapere attraverso un’interazione tra docenti e alunni. Qualsiasi sia il mezzo attraverso il cui la didattica si esercita, non cambiano il fine ed i principi”. Il Ministero dunque precisa che la natura dell’attività didattica non è innovata rispetto a quella tradizionale e rientra, in termini continuativi, nella stessa dimensione propria di quest’ultima; ossia, per quanto qui rileva ai fini della normativa sulla privacy, nell’attività con finalità pubbliche prevista, sia dal codice privacy (D. lgs 30 giugno 196/2003) sia dal Regolamento UE Generale Sulla Protezione Dei Dati 679/2916 “GDPR”)[1].

Il collegamento diretto o indiretto, immediato o differito – prosegue la nota ministeriale – attraverso videoconferenze, videolezione, chat di gruppo; la trasmissione ragionata di materiali didattici attraverso il caricamento degli stessi su piattaforme digitali e l’impiego di registri di classe in tutte le loro funzioni di comunicazione e di supporto alla didattica, con successiva rielaborazione e discussione operata direttamente o indirettamente con il docente, l’interazione su sistemi e app interattive educative propriamente digitali: tutto ciò è didattica a distanza”.

Risulta dunque precisata la natura di tale attività, non diversa da quella tradizionale, con la prima conseguenza che essa rientri egualmente a tale titolo “nelle funzioni istituzionalmente assegnate a scuole ed atenei” per le quali non è richiesto lo specifico consenso agli alunni come sottolineato dallo stesso Garante privacy nel provvedimento del 26 marzo 2020[2]; come egualmente precisato dello stesso Ministero nella nota citata ove si legge  che le istituzioni scolastiche “non  devono richiedere il consenso per effettuare il trattamento dei dati personali (già rilasciato al momento dell’iscrizione) connessi allo svolgimento del loro compito istituzionale, quale la didattica sia pure in modalità virtuale e non nell’ambiente fisico della classe” [3].

Dunque la modalità didattica innovata, nonostante le tante preoccupazioni iniziali delle autorità scolastiche, rispetta il presupposto legale di liceità del trattamento da parte della scuola poiché relativa all’esecuzione “di un compito di interesse pubblico o connesso a pubblici poteri del titolare” art. 6 par. 1 lett. e) del GDPR[4].

In tal senso, varrà efficacemente la stessa informativa che tutte le scuole, in adempimento di obbligo già da tempo presente nella legislazione, hanno fornito alle famiglie ed agli studenti prevista dagli artt. 13 e 14 del GDPR intese essenzialmente a garantire liceità e correttezza nel trattamento dei dati da parte delle istituzioni scolastiche nella qualità di titolari del trattamento. [5]

Le indicazioni del Garante su privacy e didattica a distanza.

Sul punto, nel provvedimento del 30 marzo scorso,  il Garante non ha dovuto altro che richiamare la particolare delicatezza che deriva dall’uso delle tecnologie di comunicazione nella didattica a distanza, allertando sui pericoli che possano derivarne dall’uso  “scorretto o poco consapevole” ; in sostanza, un implicito richiamo al principio cardine della nuova normativa europea ossia quello dell’accountability (responsabilizzazione)[6] per il quale tutte le misure adottate e le modalità di utilizzo degli strumenti adeguati tecnologici devono essere coerenti e conformi all’obiettivo di non ledere la privacy.

Il Garante richiede pertanto alle scuole, nella loro qualità di titolari del trattamento, di scegliere con molta attenzione gli strumenti più utili e conformi alle esigenze della didattica prendendo in considerazione i servizi utili a tale scopo per garantire il massimo livello di rispetto della tutela della privacy dei soggetti coinvolti[7]. Perché, come è noto, non vi sono prescrizioni tecniche di dettaglio imposte alle istituzioni dalla normativa europea, ma su di esse incombe l’onere di provare, all’occorrenza, di aver predisposto tutte i migliori processi ed accorgimenti per la realizzazione dell’obiettivo di protezione.

In questa logica di sistema, sulle istituzioni scolastiche nella scelta delle piattaforme, se non già contrattualizzate come avviene già per esempio per i servizi del registro elettronico, graverà un duplice compito; il primo è di dover utilizzare i servizi strettamente necessari ai fini della didattica rispettando il c.d. principio di minimizzazione dei dati previsto dall’art. 5 par. 1 lett. c) del GDPR e ripreso nel successivo terzo punto del citato provvedimento[8]. Minimizzare i dati significa tenere in considerazione i principi di adeguatezza ossia proporzionalità rispetto alle finalità per la quale sono raccolti, pertinenza dei dati rispetto alle finalità definite e limitazione dei trattamenti solo per il raggiungimento delle finalità.

Il problema della individuazione del limite temporale della conservazione dei dati: la c.d. data retention nell’ambito scolastico.

Il secondo compito – e questo è forse tra i profili più problematici nascenti, in prospettiva, dalla didattica a distanza – sarà assicurare che i dati siano trattati dalle piattaforme nel rispetto di specifiche istruzioni sulla conservazione dei dati e sulla cancellazione degli stessi, che oggi appaiono generalmente piuttosto fumose.

La questione non è di semplice soluzione anzitutto per la difficoltà di dare corpo, nello specifico, alla puntuale individuazione dei “dati” di cui si tratta. Come è noto, infatti, ai sensi dell’art. 4 par. 1 del GDPR, per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Ebbene, non sfugge che, nell’attività di didattica a distanza, per la quantità dei soggetti coinvolti, per la molteplicità e varietà delle attività connesse (accertamento delle presenze, scambio documentale, valutazioni, immagini dei soggetti generalmente online, identificativi online, videochiamate, chat) il profilo temporale della conservazione dei dati o, per converso, il limite nel quale essi debbano essere rimossi, risulta particolarmente delicato. Nello stesso tempo, si pensi a quale mole di “dati” venga trattata, direttamente o indirettamente, per le esigenze della didattica a distanza e dalle modalità del suo concreto svolgimento, dalle inevitabili localizzazioni, ai numeri di telefono, alle registrazioni audio e video, alle mail, alle chat in video o attraverso gli smartphone, con whatsapp o altre applicazioni, ai giudizi, alle valutazioni, e persino dalle discussioni e deliberazioni degli organi collegiali.

La conservazione del dato, c.d. data retention, sulla base di quanto disposto dal GDPR è inserito all’interno dei principi fondamentali per il trattamento, individuati dall’art. 5 che di per sé compongono il corpo e la guida del trattamento a cui il Titolare deve sempre attenersi.

Alla lettera e) del primo paragrafo dell’art. 5, il Regolamento afferma il principio secondo cui i dati siano “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” così come anche nel “considerando 39” [9] viene modellato il principio di limitazione del trattamento, nel “minimo possibile”.

 

Il titolare del trattamento deve assicurare che i dati non siano conservati più a lungo del necessario e quindi è tenuto strutturare un sistema che consenta il rispetto del termine adeguato per la conservazione e la successiva cancellazione dei dati.

Questo adempimento necessario ha un impatto rilevante sia dal punto di vista organizzativo (definizione di policy), sia per gli interventi richiesti per l’adeguamento dei sistemi informativi.

Ebbene, con riferimento alla scuola, non essendovi alcuna indicazione di rango ministeriale, è lo stesso Garante a ricordare, sebbene in formula necessariamente generica che le istituzioni scolastiche dovranno assicurarsi che i dati trattati per loro conto non solo vengano utilizzati esclusivamente per la didattica a distanza, ma anche che saranno impartite “specifiche istruzioni (…) sulla conservazione dei dati, sulla cancellazione – al termine del progetto didattico – di quelli non più necessari”.[10] Questa indicazione “al termine del progetto didattico”, se non ben interpretata potrebbe apparire vaga, poiché nella realtà pratica il termine di questa emergenza sanitaria potrebbe non coincidere con l’effettivo utilizzo dei dati; anzi è molto presumibile che non lo sia, poiché potrebbe più plausibilmente coincidere con il termine degli studi degli alunni interessati ed anche protrarsi nel tempo ulteriore per esigenze di riscontro e verifica, come avviene per la conservazione dei documenti cartacei e, soprattutto coinvolgere soggetti diversi da quello nel cui interesse è conservato il dato.

E’ questa la ragione per la quale il Garante segnala alle scuole, nella loro qualità di titolari del trattamento, di scegliere con molta attenzione gli strumenti ed i servizi adeguati alla didattica a distanza ma in linea con le esigenze della limitazione nel trattamento e conservazione dei dati; ciò conferma che è assolutamente necessario per le scuole,  in applicazione del principio di accountability, predisporre le misure idonee a delineare quali possano essere i tempi di conservazione dei dati degli studenti sulle piattaforme on line.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Note

[1] Cfr, sul punto art 96 (Trattamento dei dati relativi a studenti), art 99 (Durata del trattamento)  e 100 (Dati relativi ad attività di studio e ricerca) D.lgs 196/2003  così come modificato dalla l. n. 101/2018; nonché  art. 6 par. 1 lett. e) del Reg. UE 679/2016 (GDPR).

[2]    Garante per la protezione dei dati personali, Provvedimento 26.3.2020 n. 9300784, Didattica a distanza: prime indicazioni”, all. 1, punto 4. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9300784)  : “E’ peraltro inammissibile il condizionamento, da parte dei gestori delle piattaforme, della fruizione dei servizi di didattica a distanza, alla sottoscrizione di un contratto o alla prestazione – da parte dello studente o dei genitori – del consenso al trattamento dei dati connesso alla fornitura di ulteriori servizi on line, non necessari all’attività didattica. Il consenso non sarebbe, infatti, validamente prestato perché, appunto, indebitamente condizionato al perseguimento di finalità ultronee rispetto a quelle proprie della didattica a distanza (art. 7; cons 43 del Regolamento)”

 

[3] Cfr  nota Miur prot. n.388 del 17 marzo 2020 pag. 3 doc cit al punto “la questione privacy”.

[4] Nonché art. 96 Codice Privacy “Al fine di agevolare l´orientamento, la formazione e l´inserimento professionale, anche all´estero, le istituzioni del sistema nazionale di istruzione, i centri di formazione professionale regionale, le scuole private non paritarie nonché le istituzioni di alta formazione artistica e coreutica e le università statali o non statali legalmente riconosciute su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti formativi, intermedi e finali, degli studenti e altri dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento, pertinenti in relazione alle predette finalità e indicati nelle informazioni rese agli interessati ai sensi dell’articolo 13 del Regolamento. I dati possono essere successivamente trattati esclusivamente per le predette finalità. 2. Resta ferma la disposizione di cui all’articolo 2, comma 2, del decreto del Presidente della Repubblica 24 giugno 1998, n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano altresì ferme le vigenti disposizioni in materia di pubblicazione dell’esito degli esami mediante affissione nell’albo dell’istituto e di rilascio di diplomi e certificati”

[5] L’informativa è tesa a “garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, che siano raccolti per finalità determinate, esplicite e legittime, che siano trattati in modo non incompatibile con tali finalità, evitando qualsiasi forma di profilazione, nonché di diffusione e comunicazione dei dati personali raccolti a tal fine, che essi siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati, e trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

[6] Il principio è contenuto esplicitamente nell’art. 5 par. 2 del GDPR.

[7] Nel provvedimento citato sono ripresi, al punto 2, i principi dell’art 25 del Regolamento sintetizzati dall’espressione “Privacy by Default and by Design” i quali riportano i consideranda dal 75-78 e 83 e che sono strettamente collegati alle misure di sicurezza dell’art 32 del GDPR . L’obiettivo è garantire la protezione dei dati in tutte le fasi del ciclo del dato, da quella iniziale alle successive fino alla conservazione e cancellazione dei dati non più necessari.

 

[8] Cfr. Garante privacy, Provvedimento cit. all. 1 punto 3.

[9] Nel “Condiderando”39 del GDPR 679/16 si ritrova il seguente principio: “(…) I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo possibile (…)”

[10] Cfr. Garante privacy, Provvedimento all. 1, punto 3.

Daniele Ciocia

Scrivi un commento

Accedi per poter inserire un commento