Avv. Vincenzo Colarocco
L’emergenza causata dal diffondersi del Covid-19, presta il fianco a soggetti malintenzionati che, facendo leva sull’attuale situazione, fanno girare e-mail e pec dubbie che a volte contengono dei veri e propri malware o, addirittura, hackerano i sistemi.
È proprio delle ultime ore la notizia dell’attacco alle piattaforme didattiche e ai registri online gestiti da Axios, che in poche ore sono stati messi letteralmente fuori uso.
Per tali ragioni, se, come vedremo, da un lato l’utilizzo di queste piattaforme è senz’altro utile oltre che consigliato, dall’altro impone l’adozione di ulteriori e più rigide misure di sicurezza, anche atte a limitare errori umani.
Secondo quanto previsto dal Dpcm dell’8 marzo 2020, i dirigenti scolastici attivano, nel più ampio esercizio delle proprie prerogative, per tutta la durata della sospensione delle attività didattiche nelle scuole, modalità di didattica a distanza, con particolare attenzione alle specifiche esigenze degli studenti con disabilità (art. 2 lett. m). Previsione similare è contenuta nello stesso decreto per le Università per le quali le attività didattiche o curriculari possono essere svolte con modalità a distanza dalle stesse individuate (art. 2 lett. n).
Il MIUR, con la nota dell’8 marzo, ha chiarito che la didattica a distanza deve garantire, quanto più possibile, la continuità didattica che non consiste nella mera trasmissione di materiali ma si sostanzia in un insieme di attività che vanno “dalla registrazione delle lezioni, all’utilizzo di piattaforme per la didattica a distanza, presso l’istituzione scolastica, presso il domicilio o altre strutture”.
Anche il Garante per la protezione dei dati personali, con il Provvedimento del 26 marzo 2020, n. 64, ha fornito delle prime indicazioni utili per la didattica a distanza dal punto di vista privacy.
In particolare, l’Autorità ha avuto modo di chiarire che gli istituti scolastici “dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 del Regolamento).Varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di “classi virtuali”, la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in modo “social” tra docenti, studenti e famiglie. Alcune piattaforme offrono anche molteplici ulteriori servizi, non sempre specificamente rivolti alla didattica. Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento”).
Con riferimento al consenso è stato chiarito che le istituzioni scolastiche non devono richiedere il consenso per la gestione dei dati personali degli interessati trattati per il tramite delle piattaforme digitali non tanto perché era già stato rilasciato al momento dell’iscrizione quanto, piuttosto, perché è connesso all’esecuzione di un contratto di cui l’interessato è parte ovvero all’esecuzione di un compito d’interesse pubblico (art. 6 lett. b) ed e) del Regolamento).
Considerazioni diverse, invece, andrebbero fatte qualora si vogliano utilizzare dati particolari, ad esempio dati biometrici, per permettere tanto agli studenti che stanno per concludere il liceo quanto agli studenti universitari di sostenere gli esami da remoto. In questi casi il trattamento del dato biometrico dello studente è legittimato dall’acquisizione del suo consenso, ai sensi e per gli effetti dell’art. 9 lett. a) del Regolamento.
“Le istituzioni scolastiche sono invece tenute, qualora non lo abbiano già fatto, ad informare gli interessati del trattamento secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679”. Così la nota del MIUR sull’informativa. In linea con quanto previsto dalla normativa vigente gli istituti scolastici sono tenuti a informare i propri studenti.
Il Garante Privacy ha avuto modo di precisare che “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”.
