Provvedimento Garante per la protezione dei dati personali 26.03.2020, n. 64
Didattica a distanza - Prime indicazioni.
Garante per la protezione dei dati personali
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice;
Considerata la necessità di assicurare con urgenza, in ragione dell'improvvisa sospensione dell'attività didattica in presenza, con rilevanti sforzi per superare le notevoli difficoltà derivanti dall'assenza di adeguati mezzi e risorse, il diritto fondamentale all'istruzione, attraverso modalità di apprendimento a distanza;
Visto il decreto legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica da COVID-19;
Visti i decreti del Presidente del Consiglio dei Ministri adottati in attuazione del decreto legge n. 6 del 2020 e, in particolare, il decreto dell'8 marzo 2020 che, nel disporre la sospensione dei servizi educativi per l'infanzia e delle attività didattiche nelle scuole di ogni ordine e grado, nonché la frequenza delle attività scolastiche e di formazione superiore, comprese le Università e le Istituzioni di Alta formazione artistica musicale e coreutica, di corsi professionali (art. 1, comma 1, lett. h)), prevede che siano attivate, per tutta la durata della sospensione, modalità di didattica a distanza (art. 2, comma 1, lett. m) e n));
Visti altresì gli articoli 101, 120 e 121 del decreto legge del 17 marzo 2020 n. 18 "Misure di potenziamento del Servizio sanitario nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all'emergenza epidemiologica da COVID-19" che contengono misure urgenti per garantire la continuità formativa e la didattica;
Vista le note del Ministero dell'Istruzione del 6 marzo 2020, prot. n. 278, e dell'8 marzo 2020, prot. n. 279, con le quali sono state fornite istruzioni operative alle istituzioni scolastiche sull'attivazione e sul potenziamento di modalità di apprendimento a distanza, ottimizzando le risorse didattiche del registro elettronico e utilizzando classi virtuali, ovvero altri strumenti e canali digitali, per favorire la produzione e la condivisione di contenuti;
Vista, inoltre, al riguardo, la nota del Ministero dell'Istruzione del 17 marzo 2020, prot. n. 388, nella quale sono state fornite, tra l'altro, alcune indicazioni sulla protezione dei dati personali trattati nell'ambito della didattica a distanza;
Vista la Dichiarazione sul trattamento dei dati personali nel contesto dell'epidemia di COVID-19, adottata dal Comitato europeo per la protezione dei dati (EDPB) in data 19 marzo 2020 (doc. web n. 9295504, pubblicato in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9295504);
Viste le segnalazioni e i quesiti pervenuti al Garante da parte di responsabili della protezione dei dati di istituti scolastici, associazioni, docenti e famiglie in ordine alle modalità di trattamento dei dati personali effettuato nel predetto contesto emergenziale e agli adempimenti necessari a rispettare il Regolamento e il Codice;
Ritenuta l'opportunità di fornire, nell'attuale contesto emergenziale, al sistema scolastico, alle università, alle istituzioni di alta formazione artistica musicale e coreutica, ai docenti, alle famiglie e agli studenti, talune prime utili indicazioni, ai sensi dell'art. 57, par. 1, lett. b) e d), del Regolamento (v. anche cons. nn. 122 e 132), che attribuisce al Garante il compito di promuovere la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, con particolare attenzione alle attività destinate specificamente ai minori, nonché agli obblighi imposti ai titolari e i responsabili del trattamento;
Ritenuto che, alla luce delle predette indicazioni, superata la prima fase emergenziale in cui sono state avviate d'urgenza iniziative di didattica a distanza, le scuole e le università potranno gradualmente valutare di adottare ulteriori misure per rafforzare la piena conformità al Regolamento e al Codice;
Considerato che l'Autorità valuterà, in ogni caso, l'opportunità di avviare verifiche sui fornitori delle principali piattaforme per la didattica a distanza per assicurare il rispetto del Regolamento e del Codice in relazione ai trattamenti effettuati per conto delle scuole e delle università;
Ritenuto di adottare il documento denominato "Didattica a distanza: prime indicazioni" (all. n. 1), che forma parte integrante del presente provvedimento, recante talune prime indicazioni al fine di promuovere la consapevolezza delle scelte da effettuare e favorire la più ampia comprensione riguardo alle norme, alle garanzie e ai diritti che, anche nel contesto dell'emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
Tutto ciò premesso il Garante
Adotta, ai sensi dell'art. 57, par. 1, lett. b) e d), del Regolamento, il documento denominato "Didattica a distanza: prime indicazioni" (all. n. 1), che forma parte integrante del presente provvedimento, recante talune prime indicazioni al fine di promuovere la consapevolezza delle scelte da effettuare e favorire la più ampia comprensione riguardo alle norme, alle garanzie e ai diritti che, anche nel contesto dell'emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati.
Allegato 1 - Didattica a distanza: prime indicazioni
Base giuridica del trattamento dei dati personali
Le scuole e le università sono autorizzate a trattare i dati, anche relativi a categorie particolari, di insegnanti, alunni (anche minorenni), genitori e studenti, funzionali all'attività didattica e formativa in ambito scolastico, professionale, superiore o universitario (art. 6, parr. 1, lett. e), 3, lett. b) e 9, par. 2, lett. g) del Regolamento e artt. 2-ter e 2-sexies del Codice).
In tal senso dispone la normativa di settore, comprensiva anche delle disposizioni contenute nei decreti, emanati ai sensi dell'art. 3 del d.l. 23 febbraio 2020, n. 6, che hanno previsto - per tutta la durata della sospensione delle attività didattiche "in presenza" nelle scuole, nelle università e nelle istituzioni di alta formazione - l'attivazione di modalità di didattica a distanza, avuto anche riguardo alle specifiche esigenze degli studenti con disabilità (cfr. spec. art. 2, lett. m) e n), del d.P.C.M. dell'8 marzo 2020).
Non deve pertanto essere richiesto agli interessati (docenti, alunni, studenti, genitori) uno specifico consenso al trattamento dei propri dati personali funzionali allo svolgimento dell'attività didattica a distanza, in quanto riconducibile - nonostante tali modalità innovative - alle funzioni istituzionalmente assegnate a scuole ed atenei.
Privacy by design e by default: scelta e configurazione degli strumenti da utilizzare
Spetta in primo luogo alle scuole e alle università - quali titolari del trattamento - la scelta e la regolamentazione, anche sulle base delle indicazioni fornite dalle autorità competenti, degli strumenti più utili per la realizzazione della didattica a distanza (cfr. anche, ove applicabile, art. 39 del Regolamento (UE) 2016/679, infra: "Regolamento").
Tali scelte dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 del Regolamento).
Varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di "classi virtuali", la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l'assegnazione di compiti, la valutazione dell'apprendimento e il dialogo in modo "social" tra docenti, studenti e famiglie. Alcune piattaforme offrono anche molteplici ulteriori servizi, non sempre specificamente rivolti alla didattica.
Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all'adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento).
La valutazione di impatto, che l'art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell'ambito dell'utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).
Il ruolo dei fornitori dei servizi on line e delle piattaforme
Qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell'università, il rapporto con il fornitore (quale responsabile del trattamento) dovrà essere regolato con contratto o altro atto giuridico (art. 28 del Regolamento). È il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola e, pertanto, assume il ruolo di responsabile del trattamento. Le eventuali, ulteriori attività di didattica a distanza, talora fornite da alcuni registri elettronici, possono essere in alcuni casi già disciplinate nello stesso contratto di fornitura stipulato.
Diversamente, qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente - per non dover designare ulteriori responsabili del trattamento - utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato. Alcuni di questi servizi sono, peraltro, facilmente utilizzabili anche senza la necessaria creazione di un account da parte degli utenti.
Laddove, invece, si ritenga necessario ricorrere a piattaforme più complesse e "generaliste", che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l'utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).
Le istituzioni scolastiche e universitarie dovranno assicurarsi (anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi designato responsabile del trattamento), che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Saranno, in tal senso, utili specifiche istruzioni, tra l'altro, sulla conservazione dei dati, sulla cancellazione - al temine del progetto didattico - di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali.
L'Autorità vigilerà sull'operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie.
Al fine di garantire la massima consapevolezza nell'utilizzo di strumenti tecnologici - delle cui implicazioni non tutti gli studenti (soprattutto se minorenni) hanno piena cognizione- sarebbero auspicabili, in ogni caso, iniziative di sensibilizzazione in tal senso, rivolte a famiglie e ragazzi.
Limitazione delle finalità del trattamento
Ancora, con riferimento al trattamento dei dati degli studenti svolti dalle piattaforme quali responsabili del trattamento stesso, si ricorda che esso deve limitarsi a quanto strettamente necessario per la fornitura dei servizi richiesti ai fini della didattica on line, senza l'effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore. L'ammissibilità di tali operazioni dovrà, infatti, essere valutata di volta in volta, rispetto ai requisiti richiesti dal Regolamento quali, in particolare, i presupposti di liceità e i principi applicabili al trattamento dei dati personali (artt. 5 e ss.). Il trattamento ulteriore dei dati degli utenti, da parte dei gestori delle piattaforme, nella diversa veste di titolari del trattamento, dovrà naturalmente osservare, tra gli altri, gli obblighi di informazione e trasparenza secondo quanto previsto dall'art. 13 del Regolamento.
È peraltro inammissibile il condizionamento, da parte dei gestori delle piattaforme, della fruizione dei servizi di didattica a distanza alla sottoscrizione di un contratto o alla prestazione - da parte dello studente o dei genitori - del consenso al trattamento dei dati connesso alla fornitura di ulteriori servizi on line, non necessari all'attività didattica. Il consenso non sarebbe, infatti, validamente prestato perché, appunto, indebitamente condizionato al perseguimento di finalità ultronee rispetto a quelle proprie della didattica a distanza (art. 7; cons. 43 del Regolamento).
I dati personali dei minori, del resto, "meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali" (cons. 38 del Regolamento). Tale specifica protezione dovrebbe, in particolare, riguardare l'utilizzo di tali dati a fini di marketing o di profilazione e, in senso lato, la relativa raccolta nell'ambito della fornitura di servizi ai minori stessi (cons. 38 cit.).
Liceità, correttezza e trasparenza del trattamento
Al fine di garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono assicurare la trasparenza del trattamento informando gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, in ordine, in particolare, alle caratteristiche essenziali del trattamento, che deve peraltro limitarsi all'esecuzione dell'attività didattica a distanza, nel rispetto della riservatezza e della dignità degli interessati (d.P.R. 24 giugno 1998, n. 249, spec. art. 1; art. 13 del Regolamento).
Nel trattare i dati personali dei docenti funzionali allo svolgimento della didattica a distanza, le scuole e le università dovranno rispettare presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo (artt. 5 e 88, par. 2, del Regolamento, art. 114 del Codice in materia di protezione dei dati personali e art. 4 della legge 20 maggio 1970, n. 300) limitandosi a utilizzare quelli strettamente necessari, comunque senza effettuare indagini sulla sfera privata (art. 113 del citato Codice) o interferire con la libertà di insegnamento.