Didattica a distanza e privacy

autore: S. Coppola

Sommario: 1. Introduzione. - 2. La protezione dei dati personali e l’intervento del Garante. - 3. Finalità e base giuridica del trattamento. Nessun bisogno di consenso. - 4. La scelta della piattaforma: tra accountability, privacy by design e by defoult. - 5. Ruolo dei fornitori dei servizi online e delle piattaforme. - 6. Considerazioni conclusive.



1. Introduzione



In seguito alla diffusione del virus Covid-19, sono state adottate con decreto legge1 misure urgenti per fronteggiare l’emergenza epidemiologica, prima su specifiche parti del territorio nazionale, in un secondo tempo sulla totalità di esso. Tra le diverse misure adottate, vi è stata la necessità di sospendere i servizi educativi e la frequenza delle attività scolastiche e di formazione superiore, universitaria e di Alta formazione, e al contempo di attivare modalità di didattica a distanza2 . Al fine di tutelare il diritto all’istruzione, con il protrarsi della situazione emergenziale è apparso necessario introdurre l’utilizzo di applicazioni tecnologiche che permettessero a studenti e docenti di vedersi e sentirsi a distanza3 durante l’attività didattica. Le istituzioni scolastiche e i loro docenti, seppur spesso in mancanza delle competenze tecnologiche (e pedagogiche) richieste da tali modalità didattiche, hanno intrapreso una varietà di iniziative, che sono andate dalla mera trasmissione di materiali, alla registrazione delle lezioni, all’utilizzo di piattaforme per la didattica a distanza. Il Ministero dell’istruzione4 , da parte sua, ha messo a disposizione le proprie strutture per il supporto e ha incentivato ogni iniziativa che potesse favorire la continuità nell’azione didattica. A tal fine, ha consigliato di evitare (soprattutto nella scuola primaria) la mera trasmissione di compiti ed esercitazioni, quando non accompagnata da una qualche forma di azione didattica o anche semplicemente di contatto a distanza. Infatti, in una situazione nella quale i bambini hanno visto scomparire la dimensione comunitaria e relazionale della classe e stravolto le loro abitudini di vita, anche le più semplici forme di contatto sono state raccomandate vivamente. Perciò studenti e docenti, per assicurare la continuità didattica hanno dovuto scaricare applicazioni che consentono la configurazione di “classi virtuali”, la pubblicazione di materiali didattici, la trasmissione e lo svolgimento online di video-lezioni, l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in modalità social tra docenti, studenti e famiglie. Per poter accedere al servizio prestato da queste applicazioni le persone interessate hanno dovuto acconsentire all’uso dei propri dati personali, senza potersi soffermare su quanto le app richiedono in fase di registrazione. In verità, molte delle piattaforme utilizzate a fini didattici funzionano come veri e propri social network che permettono ai loro gestori di entrare in possesso dei dati di geolocalizzazione, dei contatti, delle foto caricate sul dispositivo, dei video guardati e di tutta la cronologia delle attività. Tanto vale anche per lavagne telematiche, appunti, files e messaggi condivisi in chat e per tutte le informazioni contenute in una lezione a distanza. La condivisione, l’incrocio e la cessione di tutte queste informazioni sono per le aziende di particolare interesse in quanto consentono la c.d. profilazione, ovvero un trattamento dei dati personali che permette l’individuazione di caratteristiche, preferenze ed abitudini dei consumatori, al fine di offrire servizi o prodotti su misura ed in linea con le esigenze dei soggetti. Con riferimento ai minori, va garantita una specifica protezione in quanto meno consapevoli dei rischi, delle conseguenze e dei loro diritti, in particolare in merito all’utilizzo dei loro dati a fini di marketing5 o di profilazione6 (cfr. Considerando 38 del Regolamento (UE) 2016/679).



2. La protezione dei dati personali e l’intervento del Garante



Il Regolamento europeo n. 679 del 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali7 , noto come GDPR (General Data Protection Regulation), è una risposta8 alle sfide poste dagli sviluppi tecnologici e dallo sfruttamento economico dei dati personali, valida anche nell’ambito della didattica a distanza. Le scuole e le piattaforme che operano per loro conto trattano i dati personali di alunni (anche minorenni), genitori e insegnanti, nonché “identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle” (Considerando 30). Non solo. Con la didattica a distanza vengono trattate anche categorie di dati particolari come immagini facciali, voci e modo di parlare degli interessati (cc.dd. dati biometrici), come pure informazioni che rivelano situazioni di disabilità9 (dati relativi alla salute). Il Garante Privacy in una nota istituzionale inviata ai Ministri dell’Istruzione, dell’Università e della ricerca nonché per le pari opportunità e la famiglia, ha ricordato che “l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo alle innumerevoli risorse offerte dalle nuove tecnologie. […] È una soluzione estremamente importante per garantire la continuità didattica. [Tuttavia] le straordinarie potenzialità del digitale – rivelatesi soprattutto in questo frangente indispensabili per consentire l’esercizio di diritti e libertà con modalità e forme nuove – non devono indurci a sottovalutare anche i rischi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento. Si tratta di rischi assai più concreti di quanto si possa immaginare e dai quali è bene proteggere chiunque (in primo luogo, ma non soltanto i minori) utilizzi questi nuovi strumenti di formazione”10. Pertanto, con il provvedimento n. 64 del 26 marzo 202011, l’Autorità Garante ha ritenuto opportuno fornire a scuole, atenei, studenti e famiglie talune prime indicazioni dirette a promuovere l’utilizzo consapevole delle nuove tecnologie e favorire la più ampia comprensione del diritto alla protezione dei dati delle persone12, seppur nel contesto emergenziale.



3. Finalità e base giuridica del trattamento.



Nessun bisogno di consenso Per garantire la correttezza e la trasparenza del trattamento (artt. 5, par. 1, lett. a), e 12 ss. GDPR), scuole e università, pubbliche e private, hanno l’obbligo di far conoscere agli “interessati” (alunni, studenti, genitori e docenti13) le modalità con le quali vengono trattati i loro dati personali per mezzo di un’informativa, che nel caso delle scuole utilizzi un linguaggio comprensibile anche ai minori14.

Tanto vale anche in merito ai trattamenti dei dati personali effettuati nelle attività di didattica a distanza: gli interessati devono essere informati in merito ai tipi di dati, alle modalità, ai tempi di conservazione e alle altre operazioni di trattamento, specificando in particolare le finalità e la base giuridica del trattamento (artt. 13 GDPR). Quanto alle finalità, può indicarsi che “sono limitate esclusivamente all’erogazione della didattica a distanza, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale”15. Con riferimento alla base giuridica, il Garante ha rilevato chiaramente che le scuole e le università possono trattare dati personali cc.dd. comuni funzionali all’attività didattica in quanto ricorrono le seguenti condizioni: – il trattamento è necessario per l’esecuzione di un compito di interesse pubblico ex art. 6, par. 1, lett. e), GDPR; – il trattamento si fonda sul diritto dello Stato membro, come previsto dall’art. 6, par. 3, lett. b), GDPR. In questo solco, anche l’art. 2-ter del d.lgs. n. 196 del 2003, come modificato dal d.lgs. n. 101 del 2018 (in seguito anche Codice Privacy novellato), conferma che il trattamento dei dati personali di tipo comune deve basarsi esclusivamente su una norma di legge o, se quest’ultima lo prevede, di regolamento. Quanto ai dati particolari, il Garante ha puntualmente rilevato che è possibile il trattamento in quanto ricorre (oltre alle condizioni sopra richiamate) il caso di cui all’art. 9, par. 2, lett. g), GDPR e all’art. 2-sexies del Codice. In particolare, l’art. 9, par. 2, lett. g), GDPR prevede che: “il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”. L’art. 2-sexies del Codice Privacy novellato, a specificazione della disposizione precedente, stabilisce al comma 2 che “si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie: […] bb) istruzione e formazione in ambito scolastico, professionale, superiore o universitario”. Per quanto riguarda il consenso, di fatto ha assunto un carattere “residuale” in quanto deve essere richiesto soltanto quando il trattamento dei dati personali non può essere fondato su un’altra base giuridica necessaria. Dalla lettura degli artt. 6, par. 1, e 9, par. 2, GDPR si potrà notare che ad esclusione del “consenso”, tutte (o quasi) le altre basi giuridiche sono caratterizzate dalla locuzione “il trattamento è necessario per”. In questa prospettiva, laddove il trattamento di dati personali (anche particolari) non sia strettamente necessario, solo in questo caso la scuola potrà richiedere il consenso degli interessati quale base legittima del trattamento16. Dunque, scuole e università non devono richiedere a studenti, genitori e docenti uno specifico consenso al trattamento dei loro dati personali funzionali allo svolgimento della didattica a distanza, in quanto quest’attività – nonostante le modalità innovative – è riconducibile ad un trattamento necessario conseguente a funzioni assegnate loro per legge17.



4. La scelta della piattaforma: tra accountability, privacy by design e by default



Mancando una piattaforma “statale” le scuole hanno fatto ricorso ai servizi gratuiti già disponibili e le autorità competenti hanno fornito loro delle indicazioni operative18. In questo contesto – opportunamente – il Garante Privacy ha tenuto a precisare che “spetta” a scuole e università, nella loro qualità di titolari del trattamento, la scelta e la regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza (cfr. punto 2 dell’All. n. 1 del Provv. n. 64 del 2020). Per tali fini, potranno certamente avvalersi della consulenza specialistica del Data Protection Officer designato (artt. 37-39 GDPR). Non vi è dubbio che con riferimento alla didattica, scuole e università assumono (istituzionalmente) il ruolo privacy di titolari in quanto determinano le finalità e i mezzi del trattamento dei dati personali riferiti ai loro iscritti (e dei loro genitori nel caso di minori), nonché dei docenti-lavoratori. Il Regolamento (UE) 2016/679 ha tra i suoi principi cardine quello della “responsabilizzazione” (c.d. accountability) del titolare per qualsiasi trattamento di dati personali che quest’ultimo effettui direttamente o che altri effettuino per suo conto (cfr. Considerando 74). Il principio di accountability richiede al titolare di adottare le misure più adeguate sin dalla progettazione del trattamento (privacy by design) e per impostazione predefinita (privacy by default). Di conseguenza appare particolarmente rilevante scegliere gestori che offrano applicazioni e servizi già progettati e sviluppati tenendo conto della protezione dei dati. Tanto si evince dal Considerando 78 che inoltre specifica che “I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”. Concludendo, il principio di accountability richiede a scuole e università di adottare le misure più adeguate ovvero, nel caso in cui il trattamento di dati personali sia effettuato da altri, di ricorrere unicamente a responsabili del trattamento (art. 4, n. 8, GDPR) che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate. Dunque è di fondamentale importanza che le istituzioni scolastiche e universitarie scelgano produttori di applicazioni e servizi sviluppati e progettati tenendo conto della protezione dei dati. Infatti la scuola non potrà mai venir meno alle sue responsabilità di titolare del trattamento sebbene affidi il servizio – e quindi il connesso trattamento dei dati – ad un gestore nella sua qualità di responsabile del trattamento.



5. Ruolo dei fornitori dei servizi online e delle piattaforme



Nel caso in cui le istituzioni scolastiche e universitarie scelgano di affidare al gestore di una piattaforma il servizio di didattica a distanza, ai fini privacy il rapporto deve essere regolato con un contratto o un altro atto giuridico che vincoli il responsabile del trattamento e disciplini la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento (cfr. art. 28, par. 3, GDPR). Tanto è obbligatorio in quanto il servizio comporta che il gestore si trovi a trattare i dati personali di studenti, alunni o dei rispettivi genitori per conto delle scuole e delle università. Più semplicemente, in termini privacy il fornitore assumerà la qualificazione soggettiva di “responsabile del trattamento”. In verità, le scuole hanno già sperimentato da tempo questo tipo di rapporto in quanto utilizzano il registro elettronico19: il fornitore per conto della scuola tratta i dati personali inseriti nel registro e di conseguenza deve essere designato da quest’ultima nella sua veste di responsabile del trattamento. Pertanto, ove il gestore già fornisca il servizio del registro elettronico, qualora si andasse ad aggiungere anche l’attività di trattamento dei dati relativa alla didattica a distanza, basterà implementare il contratto giuridico ex art. 28 GDPR già intercorrente tra le parti. Laddove, invece, la piattaforma utilizzata per il registro elettronico non consenta videolezioni o altre forme di interazione tra i docenti e gli studenti, il Garante ha in primo luogo segnalato la possibilità di utilizzare servizi online accessibili al pubblico, con accesso riservato e forniti direttamente agli utenti. Alcuni, sottolinea il Garante, sono di così facile utilizzo che non vi è neppure il vincolo di dover creare un account dedicato. Tale dovizia di dettagli all’unico scopo – è evidente – di dissuadere le scuole dal (l’utilizzare e) dover designare ulteriori responsabili del trattamento. Diversamente, nel caso in cui ritengano necessario ricorrere a piattaforme più complesse e che non eroghino servizi rivolti unicamente alla didattica (cc.dd. “generaliste”), le istituzioni scolastiche e universitarie dovranno attivare “i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare20 i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti”21. In particolare, seppur a titolo esemplificativo, il Provvedimento n. 64 fa esplicito riferimento affinché si evitino servizi che richiedono dati sulla geolocalizzazione o che coinvolgono soggetti terzi come con il sistema del social login22, i quali comportano maggiori rischi23 e responsabilità. In realtà, molto spesso accade che piattaforme e servizi online oltre a permettere l’attività di didattica a distanza, offrono anche la fornitura di servizi aggiuntivi. Ebbene, per superare tutte le criticità che derivano dal ricorso a piattaforme ulteriori, con una lettera al Ministro dell’istruzione il Presidente del Garante è tornato a ribadire che “il registro elettronico – fornito da soggetti già designati responsabili del trattamento – potrebbe rappresentare lo strumento elettivo mediante cui realizzare (almeno) una parte significativa dell’attività didattica”24. In ogni caso, in virtù del principio di accountability, le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. In tal senso, sarà utile fornire istruzioni specifiche insieme al contratto stipulato con il fornitore dei servizi designato responsabile del trattamento affinché siano disciplinate, in particolare, la conservazione e la cancellazione dei dati, nonché le procedure di gestione di un eventuale data breach (violazione di dati personali). Quanto ai fornitori, il Garante ha più volte affermato che vigilerà sulla legittimità del trattamento dei dati personali svolto mediante le varie piattaforme utilizzate per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite da scuole e università. Pertanto, riguardo ai dati personali trattati in qualità di responsabili ex art. 28 GDPR, i fornitori dovranno prestare la massima attenzione a limitarne il trattamento a quanto strettamente necessario per la fornitura dei servizi richiesti ai fini della didattica online, senza peraltro mettere in atto operazioni ulteriori e dirette al perseguimento di finalità proprie25.

Di certo i fornitori non potranno condizionare la fruizione dei servizi di didattica alla sottoscrizione di un contratto o alla prestazione del consenso26 – da parte dello studente o dei genitori – al trattamento dei dati. Per tutti i motivi esposti, oltre all’adeguatezza degli strumenti rispetto alle competenze e capacità cognitive di alunni e studenti, tra i criteri che devono orientare scuole e università nella scelta è dunque indispensabile includere le garanzie offerte dai fornitori sul piano della data protection.



6. Considerazioni conclusive



L’uso degli strumenti digitali offre indiscutibili vantaggi e la didattica a distanza ci ha mostrato le loro enormi potenzialità ma al contempo non vanno tralasciate alcune criticità. Per il mondo della scuola e dell’università, l’emergenza epidemiologica ha significato “arrivare ad ogni costo” ai propri studenti, sottovalutando i rischi concreti che si celano nella rete, o peggio ancora ignorandoli. Dunque benissimo ha fatto il Garante Privacy a richiamare l’attenzione sui rischi derivanti da un uso scorretto o poco consapevole degli strumenti digitali e sulla necessità di riservare maggiore attenzione alla sicurezza e alla protezione dei dati personali affidati alle piattaforme. L’economia dei dati e le tecnologie emergenti in poco tempo hanno sollevato questioni giuridiche nuove: l’ingente valore che generano nel contesto digitale ha messo i dati personali al centro di tutti i sistemi economici moderni e il GDPR ha l’obiettivo di evitare che i cittadini europei27 non siano adeguatamente tutelati rispetto ai loro diritti e alle loro libertà. I minori poi, meritano una specifica protezione in quanto sono meno consapevoli dei rischi, delle conseguenze e dei loro diritti. In questo scenario, scuole e università assumono un ruolo di primo piano in quanto – da una parte – rappresentano un avamposto naturale alle sfide culturali e – dall’altro – sono tenute alla scelta dei fornitori e delle soluzioni tecnologiche più adatti alla realizzazione della didattica a distanza. Certo possono fare affidamento sulla consulenza specialistica del Data Protection Officer, ma in un tale contesto appare comunque determinante la funzione di orientamento che può svolgere il Ministero competente. Lo stanziamento di ingenti somme28 per consentire la prosecuzione della didattica a distanza certamente è un volano notevole ma è di fondamentale importanza mantenere alta l’attenzione: sarebbero auspicabili iniziative di sensibilizzazione rivolte a famiglie e ragazzi per garantire la massima consapevolezza nell’utilizzo degli strumenti tecnologici. La sfida epocale che l’umanità stava vivendo in termini di innovazione tecnologica, è diventata con l’emergenza epidemiologica la più grande occasione di trasformazione digitale per il nostro Paese. Affinché sia effettiva anche nei valori richiede di essere combinata con un processo di “cultura digitale” che permetta ad adulti e a minorenni di incrementare la conoscenza delle tecnologie digitali e dei pericoli della rete, in quanto la vera sfida passa dalla salvaguardia dei diritti e delle libertà, ovvero della capacità di autodeterminarsi.

NOTE

1 Cfr. art. 1, comma 2, lett. d) del decreto legge del 23 febbraio 2020, n. 6 nonché, in un secondo momento, l’art. 1, comma 2, lett. p) del decreto legge del 25 marzo 2020, n. 19.

2 Tra i diversi decreti del Presidente del Consiglio dei Ministri che sono stati adottati in attuazione del decreto legge n. 6 del 2020, v. d.P.C.M. dell’8 marzo 2020 (in particolare, art. 1, comma 1, lett. h) e art. 2, comma 1, lett. m) e n)).

3 Sull’argomento, v. E. carloni, Il diritto all’istruzione al tempo del coronavirus, in Astrid Rassegna, Roma, 2020, n. 317 (n. 6/2020), nonché L. Marturano, La didattica a distanza (DAD), un’opportunità da cogliere, in Diritto e Giustizia, Milano: http://www.dirittoegiustizia.it/news/9/0000098332/La_didattica_a_distanza_un_opportunita_da_cogliere.html (consultato il 18 maggio 2020).

4 Cfr. Circolare del Ministero dell’istruzione dell’8 marzo 2020, prot. n. 278. Decreto del Presidente del Consiglio dei Ministro 8 marzo 2020. Istruzioni operative. In particolare, anche al fine di ottenere il più ampio coinvolgimento della comunità educante, e offrire esperienze di mutuo aiuto e di formazione peer to peer, sul sito del Ministero dell’istruzione alla URL: https://www.istruzione.it/coronavirus/didattica-a-distanza.html è presente una sezione dedicata alla didattica a distanza, in continuo aggiornamento.

5 Un marketing basato sulla pubblicità comportamentale potrebbe illudere il giovane consumatore prospettandogli un mondo sempre in linea con le sue passioni fino a privarlo della possibilità di costruire la propria identità in maniera creativa ovvero attingendo da fonti diverse tra loro. Sul tema, v. Coppola S., GDPR e minori, gestire consenso e privacy sui social: che c’è da sapere, in CyberSecurity360, Milano: https://www.cybersecurity360.it/legal/privacy-dati-personali/ gdpr-e-minori-gestire-consenso-e-privacy-sui-social-che-ce-da-sapere/ (consultato il 18 maggio 2020).

6 La profilazione può comportare rischi significativi per i diritti e le libertà delle persone in quanto un trattamento può confinare un interessato all’interno di una determinata categoria e limitarne le scelte, ovvero suggerendone altre sulla base di quelle già espresse, perpetuare stereotipi, fare previsioni inesatte, impedire l’accesso a servizi o prodotti. Infatti, il legislatore europeo ha prestato particolare attenzione a questo tema e all’articolo 22, par. 1, GDPR ha prescritto che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”, salvo i casi di cui al paragrafo 2.

7 L’art. 8 della Carta dei diritti dell’Unione – proclamata a Nizza il 07 dicembre 2000 e riproclamata per la seconda volta il 12 dicembre 2007 – ha riconosciuto il diritto alla protezione dei dati personali come un diritto fondamentale.

8 Visto che la direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche non è al passo con gli sviluppi tecnologici, al fine di fornire un elevato livello di tutela della vita privata per gli utenti dei servizi di comunicazione elettronica e condizioni di parità per tutti gli operatori del mercato, il legislatore europeo, adottato il Regolamento (UE) 2016/679, da tempo ha manifestato l’intenzione di integrare il quadro della protezione dei dati personali con l’adozione del Regolamento c.d. E-privacy. V. Commissione Europea, Proposta di Regolamento del Parlamento europeo e del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche), 2017/0003 (COD), del 10/.

9 Con riferimento ai dati degli allievi disabili o con disturbi specifici dell’apprendimento (DSA), il Garante Privacy ha puntualizzato che “La conoscenza di tali dati è limitata ai soli soggetti a ciò legittimati dalla normativa scolastica e da quella specifica di settore, come ad esempio i docenti, i genitori e gli operatori sanitari che congiuntamente devono predisporre il piano educativo individualizzato (l. n. 104/92, l. n. 328/2000 e d.lgs. n. 66/2017)”. Così Garante Privacy, FAQ Scuola e privacy, punto 8: https://www.garanteprivacy.it/home/faq/scuola-e-privacy (consultato il 18 maggio 2020).

10 Così Nota istituzionale del Presidente del Garante, Antonello Soro, alla Signora Ministro dell’Istruzione, al Signor Ministro dell’Università e della ricerca e alla Signora Ministro per le pari opportunità e la famiglia in tema di didattica a distanza, del 27 marzo 2020, [doc. web. n. 9300791].

11 V. Garante Privacy, Didattica a distanza: prime indicazioni, in Registro dei provvedimenti n. 64 del 26 marzo 2020 [doc. web n. 9300784].

12 Ai sensi dell’art. 57, par. 1, lett. b) e d), GDPR (v. anche considerando nn. 122 e 132) è attribuito al Garante Privacy il compito di promuovere la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, con particolare attenzione alle attività destinate specificamente ai minori, nonché agli obblighi imposti ai titolari e ai responsabili del trattamento.

13 Relativamente ai docenti, nella loro qualità di lavoratori, nel rispetto della disciplina sui controlli a distanza, scuole e università dovranno trattare solo i dati strettamente necessari e comunque senza effettuare indagini sulla sfera privata (artt. 5 e 88, GDPR e art. 113 ss. del Codice Privacy novellato, nonché art. 4 della legge 20 maggio 1970, n. 300).

14 “Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente”. Così Considerando 58. Sul tema, diffusamente, v. S. coPPola, Il principio della trasparenza nella protezione dei dati personali, in Diritto, Economia e Tecnologie della privacy, Roma, 2019, II.

15 Così Garante Privacy, FAQ Trattamento dati nel contesto scolastico nell’ambito dell’emergenza sanitaria, punto 2): https://www.garanteprivacy.it/temi/coronavirus/faq (consultato il 18 maggio 2020). In particolare, cfr. art. 2, lett. m) e n), del d.P.C.M. dell’8 marzo 2020.

16 “Peraltro, il consenso di regola non costituisce una base giuridica idonea per il trattamento dei dati in ambito pubblico e nel contesto del rapporto di lavoro”. Così Garante Privacy, FAQ Trattamento dati nel contesto scolastico nell’ambito dell’emergenza sanitaria, punto 1, cit.

17 In questo senso Garante Privacy, Didattica a distanza: prime indicazioni, cit.

18 Il Ministero dell’istruzione, con la Circolare del 17 marzo 2020, prot. n.

388 relativa alle prime indicazioni operative per le attività didattiche a distanza, si è posto “La questione privacy”. In tale circostanza si è limitato ad affermare che la disponibilità di piattaforme di fruizione di contenuti didattici sono offerte da operatori di settore a titolo gratuito per l’Amministrazione e le istituzioni scolastiche e rispondono a specifici requisiti tecnici (oltre alla completa gratuità, la qualificazione Agid, l’osservanza della normativa in materia di dati personali, sicurezza, affidabilità, scalabilità, divieto di utilizzo per fini commerciali di dati, documenti e materiali di cui gli operatori vengano in possesso). Peraltro, il Ministero ha chiarito che le istituzioni scolastiche non devono richiedere il consenso per effettuare il trattamento dei dati personali connessi allo svolgimento del loro compito istituzionale, quale la didattica, sia pure in modalità “virtuale” e non nell’ambiente fisico della classe. Ha precisato, altresì, che le istituzioni scolastiche sono tenute ad informare gli interessati secondo quanto previsto dagli artt. 13 e 14 del Regolamento (UE) 2016/679 nonché, sinteticamente, a: 1) rispettare i principi applicabili al trattamento di dati personali di cui all’art. 5 GDPR, evidenziando una particolare attenzione ad evitare qualsiasi forma di profilazione, di diffusione e comunicazione dei dati personali raccolti; 2) a stipulare contratti o atti di individuazione del responsabile del trattamento ai sensi dell’art. 28 GDPR, che per conto delle stesse tratta i dati personali necessari per l’attivazione della modalità didattica a distanza; 3) a sottoporre i trattamenti dei dati personali coinvolti a valutazione di impatto ai sensi dell’articolo 35 GDPR.

19 Sull’utilizzo del registro elettronico, diffusamente, v. Garante Privacy, Registro elettronico: lettera del Presidente del Garante per la protezione dei dati personali, Antonello Soro, al Ministro dell’istruzione, Lucia Azzolina, in Nota istituzionale del 4 maggio 2020 [doc-web 9334326]. In particolare, il Presidente dell’Autorità ha puntualizzato che “L’inclusione, nel registro, di un novero assai rilevante – in termini quantitativi e qualitativi – di dati personali, anche di minorenni, esige tuttavia l’adozione di tutte le cautele idonee a evitare o, quantomeno, minimizzare, i rischi di esfiltrazione, trattamento illecito, anche solo alterazione dei dati stessi”.

20 È bene evidenziare che la minimizzazione in quanto “misura” rappresenta altresì perfettamente il “principio di minimizzazione” di cui all’art. 5, par. 1, lett. c), GDPR secondo il quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Tale principio, infatti, lo ritroviamo precipitato nell’art. 25, comma 2, GDPR secondo il quale: “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”.

21 Così Garante Privacy, Didattica a distanza: prime indicazioni, cit.

22 “Social login is a form of single sign-on using existing information from a social

networking service such as Facebook, Twitter or Google+, to sign into a third party website instead of creating a new login account specifically for that website. It is designed to simplify logins for end users as well as provide more and more reliable demographic information to web developers”. Così Wikipedia: https://en.wikipedia. org/wiki/Social_login (consultato il 18 maggio 2020).

23 Sul punto, al contrario di quanto stabilito dalla Circolare del Ministero dell’istruzione del 17 marzo 2020, il Garante con il provvedimento n. 64 del 26 marzo 2020 ha stabilito che non è necessaria la valutazione di impatto prevista dal GDPR per i casi di rischi elevati, laddove il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio online di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.

24 Così, Garante Privacy, Registro elettronico: lettera del Presidente del Garante per la protezione dei dati personali, Antonello Soro, al Ministro dell’istruzione, Lucia Azzolina [doc-web 9334326], cit.

25 Se non è lecito da parte dei gestori delle piattaforme trattare i dati personali inizialmente raccolti e trattati per l’esecuzione della didattica online, è tuttavia opportuno precisare che laddove i singoli alunni e studenti richiedano la fornitura di servizi ulteriori preordinati al perseguimento di finalità proprie del gestore, quest’ultimo in qualità di titolare del trattamento potrà interagire autonomamente con gli interessati. Si tratta evidentemente dell’attività di trattamento riconducibile al ruolo privacy di titolare ex art. 4, n. 7, GDPR secondo il quale il soggetto che tratta i dati ne ha determinato le finalità e mezzi.

26 Su questo punto è intervenuto il Garante Privacy, Didattica a distanza: prime indicazioni, cit., il quale con estrema fermezza ha affermato che è “inammissibile il condizionamento, da parte dei gestori delle piattaforme, della fruizione dei servizi di didattica a distanza alla sottoscrizione di un contratto o alla prestazione – da parte dello studente o dei genitori – del consenso al trattamento dei dati connesso alla fornitura di ulteriori servizi on line, non necessari all’attività didattica”. Sulla libertà del consenso, nel senso di mancanza di condizionamenti, v. art. 7, par. 4, e Considerando 43 GDPR.

27 In realtà, ai sensi dell’art. 3, par. 2, GDPR “Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione”.

28 Il decreto legge n. 18/2020 ha previsto all’art. 120 lo stanziamento di 85 milioni di euro per far fronte all’attuale emergenza sanitaria e consentire alle istituzioni scolastiche statali la prosecuzione della didattica tramite la diffusione di strumenti digitali per l’apprendimento a distanza. In particolare, è stata prevista l’assegnazione alle medesime istituzioni delle seguenti somme: a) 10 milioni di euro per dotarle immediatamente di strumenti digitali o per favorire l’utilizzo di piattaforme di e-learning; b) 70 milioni di euro per mettere a disposizione degli studenti meno abbienti, in comodato d’uso gratuito, dispositivi digitali individuali, anche completi di connettività; c) 5 milioni di euro per la formazione on line dei docenti sulle metodologie e sulle tecniche di didattica a distanza.