La didattica a distanza (DAD) comporta l’utilizzo di piattaforme digitali, mediante le quali è possibile il collegamento attraverso videoconferenze, video lezioni, chat di gruppo, fino all’interazione su sistemi e app interattive educative digitali.

Poiché l’utilizzo di tali strumenti implica il trattamento di dati personali, è stato da più parti sollecitato un intervento chiarificatore da parte del MIUR e del Garante per la protezione dei dati personali, anche in considerazione del fatto che alcune scuole ritenevano necessario acquisire uno specifico consenso informato da parte delle famiglie per l’utilizzo della DAD. Inoltre, non vi era chiarezza in ordine ad eventuali ulteriori adempimenti da attuare al fine di garantire il rispetto della privacy dei soggetti interessati (docenti, alunni, studenti, genitori), in conformità a quanto disposto dalla normativa in materia (Regolamento UE 2016/679 e dal D.Lgs. n. 196/2003, così come modificato dal D.Lgs. n. 101/2018).  

Sul punto, sono ora intervenuti sia il MIUR, con nota del 17 marzo 2020, che il Garante per la protezione dei dati personali, con provvedimento del 26 marzo 2020. 

Innanzitutto, sia il MIUR che il Garante hanno precisato che l’attività DAD è riconducibile, seppur con modalità innovative, allo svolgimento del compito istituzionale della scuola rappresentato dalla didattica e, di conseguenza, non deve essere richiesto alcuno specifico consenso agli interessati per il trattamento dei propri dati personali. 

Il MIUR ha poi chiarito che le istituzioni scolastiche sono invece tenute ad integrare l’informativa privacy - “secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679” (cfr. nota MIUR del 17 marzo 2020) – informando, ove non già previsto, gli interessati che la scuola ha adottato strumenti informatici adatti all’obiettivo di fornire e garantire un adeguato servizio di didattica e formazione a distanza agli alunni iscritti e che il trattamento dei dati personali consiste nell’utilizzo di dati anagrafici identificativi, di contatto (ad es. mail, numero di telefono o ID di sistema di messaggistica) ed eventualmente delle immagini in videoconferenza per l’erogazione della DAD ed è finalizzato ad assicurare il regolare svolgimento del percorso didattico.

Rispetto alla modalità di lezioni in videoconferenza sarà poi opportuno richiamare nell’informativa privacy che le immagini ivi riprodotte hanno uno scopo meramente didattico e una finalità strettamente istituzionale e che non si possono utilizzare le immagini riprodotte per altri fini, intendendosi tali ad esempio fotografie/riprese/download della video-lezione. Tra l’altro, è opportuno ricordare che, a norma dell’art. 10 c.c., è vietata l’esposizione o la pubblicazione fuori dai casi previsti dalla legge dell’immagine di una persona e comunque è vietata la diffusione di ogni immagine con pregiudizio al decoro e/o reputazione della persona.

Sia il Ministero che il Garante privacy hanno, inoltre, chiarito che la scuola è tenuta a garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, evitando qualsiasi forma di profilazione, e che la medesima è tenuta a stipulare contratti o atti di individuazione del responsabile del trattamento ai sensi dell’articolo 28 del Regolamento, che tratta i dati personali necessari per l’attivazione della modalità DAD. È stato, altresì, precisato che la scuola non è tenuta a sottoporre i trattamenti dei dati personali utilizzati nella DAD a valutazione di impatto, se non nei casi di rischi elevati per i diritti e le libertà degli interessati, come sarebbe nel caso in cui fossero utilizzati dati di geolocalizzazione o biometrici.

Il citato provvedimento del Garante privacy precisa anche i criteri che devono orientare la scelta degli strumenti da utilizzare, suggerendo di prestare particolare attenzione, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche alle garanzie offerte sul piano della protezione dei dati personali.

Poiché ogni piattaforma comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola, come già per il registro elettronico, il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico, assumendo questi il ruolo di responsabile del trattamento. 

Nel caso di utilizzo di piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare di default i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).

Le istituzioni scolastiche e universitarie dovranno assicurarsi (anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi designato responsabile del trattamento), che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Saranno, in tal senso, utili specifiche istruzioni, tra l’altro, sulla conservazione dei dati, sulla cancellazione - al temine del progetto didattico - di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali.

Si noti, infine, che il provvedimento del Garante privacy del 26 marzo 2020 definisce “inammissibile il condizionamento, da parte dei gestori delle piattaforme, della fruizione dei servizi di didattica a distanza alla sottoscrizione di un contratto o alla prestazione – da parte dello studente o dei genitori – del consenso al trattamento dei dati connesso alla fornitura di ulteriori servizi on line, non necessari all’attività didattica. Il consenso non sarebbe, infatti, validamente prestato perché, appunto, indebitamente condizionato al perseguimento di finalità ultronee rispetto a quelle proprie della didattica a distanza (art. 7; cons. 43 del Regolamento)”.

Infine, si richiama che il Garante Privacy (2012) ha precisato che: “l'uso di cellulari e smartphone è in genere consentito per fini strettamente personali, ad esempio per registrare le lezioni, e sempre nel rispetto delle persone. Spetta comunque agli istituti scolastici decidere nella loro autonomia come regolamentare o se vietare del tutto l'uso dei cellulari. Non si possono diffondere immagini, video o foto sul web se non con il consenso delle persone riprese. È bene ricordare che la diffusione di filmati e foto che ledono la riservatezza e la dignità delle persone può far incorrere lo studente in sanzioni disciplinari e pecuniarie o perfino in veri e propri reati. Stesse cautele vanno previste per l'uso dei tablet, se usati a fini di registrazione e non soltanto per fini didattici o per consultare in classe libri elettronici e testi on line”.

Massimo Osler, Avvocato in Padova