Didattica online: il Garante fornisce le prime indicazioni operative
Con Provvedimento n. 64 del 26 marzo 2020 l’Autorità ha fornito le prime linee guida indirizzate agli Istituti scolastici e Università.
Ormai tutti gli Istituti scolastici e le Università italiane stanno proseguendo le proprie ordinarie attività attraverso piattaforme di didattica online. Gli strumenti utilizzati sono molteplici: da Microsoft Teams a Google Meet.
Passanti i primi giorni di smarrimento il MIUR aveva già fornito con provvedimento del 17 marzo 2020 le prime precisazioni. Ora è intervenuto il Garante.
Vediamo nel dettaglio i chiarimenti.
Base giuridica del trattamento: no al consenso. Per i trattamenti di dati comuni e particolari la base giuridica del trattamento è lo svolgimento delle attività didattiche (art. 6, parr. 1, lett. e), 3, lett. b) e 9, par. 2, lett. g) GDPR e artt. 2-ter e 2-sexies Codice Privacy).
Piattaforme: la scelta è demandata a ciascun Ente in base alle proprie esigenze. Precisiamo che: “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati”.
Il ruolo dei fornitori: sono da qualificarsi come Responsabili del trattamento (art. 28 GDPR). Il rapporto dovrà essere disciplinato con apposito contratto. Dovranno limitarsi unicamente ai soli trattamenti necessari per la fruizione dei servizi.
Trasparenza: “Al fine di garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono assicurare la trasparenza del trattamento informando gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, in ordine, in particolare, alle caratteristiche essenziali del trattamento, che deve peraltro limitarsi all’esecuzione dell’attività didattica a distanza, nel rispetto della riservatezza e della dignità degli interessati” (d.P.R. 24 giugno 1998, n. 249, spec. art. 1; art. 13 GDPR).
Nella sostanza si ribadisce quanto già chiarito dal Miur il 17 marzo, con una precisazione: la valutazione di impatto (art. 35 GDPR) non è necessaria se i trattamenti non presentano rischi elevati per i soggetti convolti.
Come ribadito ai nostri Clienti sarà impossibile evitare che gli studenti possano registrare le lezioni autonomamente e farne un utilizzo improprio, come i docenti stessi. In questi casi tutto è demandato al singolo Utente utilizzatore e alla sua civiltà ed educazione.
Attendiamo nuovi sviluppi.