Con provvedimento del 26 marzo 2020, l’Autorità Garante per la protezione dei dati personali si è pronunciata sul trattamento di dati nell’ambito della cd. didattica a distanza, fondamentale per scuole e università per proseguire regolarmente le attività ordinarie in questo periodo di emergenza sanitaria.
Il Garante si è soffermato innanzitutto sulla legittimità dei trattamenti di dati personali connessi alla didattica a distanza, chiarendo come scuole e università siano autorizzate a trattare tutti quei dati di insegnanti, alunni, studenti e genitori strettamente funzionali all’attività didattica e formativa. Sul punto chiarisce che la base giuridica sia rinvenibile nella necessità di effettuare un trattamento per eseguire un compito di interesse pubblico, anche sulla base di quanto già disposto dal d.P.C.M. dell’8 marzo 2020 in cui è espressamente prevista l’attivazione di modalità di didattica a distanza per sopperire alla sospensione delle attività didattiche cd. “in presenza” nelle scuole. Coerentemente, il Garante ha confermato che, anche nel caso di trattamento di categorie particolari di dati, – si pensi ad esempio a studenti portatori di handicap – gli istituti non debbano richiedere alcun consenso privacy, essendo il trattamento legittimo sulla base di motivi di interesse pubblico rilevante (art. 9, lett. g) del GDPR).
Nondimeno, il Garante ha posto l’attenzione sulle piattaforme e i servizi utilizzati da scuole e università per permettere ad insegnanti e studenti di svolgere le lezioni a distanza, nonché esami e prove didattiche; sul punto, l’Autorità evidenzia la necessità per gli istituti di effettuare opportune valutazioni su tali strumenti in un’ottica di pieno rispetto nei confronti dei trattamenti di dati personali, ovvero attraverso l’applicazione del principio di privacy by design e by default nella configurazione degli strumenti in utilizzo. Il Garante chiarisce comunque che, l’utilizzo di nuove tecnologie per la didattica, quali video-lezioni online o classi virtuali, non necessiti tout court di predisporre una valutazione d’impatto, obbligatoria esclusivamente qualora la tecnologia adottata sia particolarmente invasiva nei confronti di soggetti vulnerabili, quali i minori, come ad esempio il caso di geolocalizzazione degli utenti o il trattamento di dati biometrici.
Il provvedimento in esame analizza anche l’aspetto di modalità di didattica a distanza effettuata da scuole e università con l’ausilio di fornitori terzi; in tal caso, il Garante pone l’accento sull’importanza di individuare tali fornitori quali responsabili del trattamento ai sensi dell’art. 28 del GDPR, ovviamente qualora vi sia un effettivo trattamento di dati personali esternalizzato come può avvenire per la predisposizione del cd. registro elettronico. Inoltre, l’utilizzo di applicazioni online non strettamente progettate per il mondo della didattica – si pensi all’utilizzo di skype o zoom – è ammesso nei limiti della finalità perseguita secondo il principio di minimizzazione. Dovranno essere pertanto rimosse le funzionalità di geolocalizzazione o di social login potenzialmente previste dai suddetti servizi. Importante notare come l’Autorità abbia dichiarato in tale provvedimento come vigilerà sull’operato dei fornitori di tali servizi al fine di tutelare i diritti e le libertà di studenti e insegnanti.
In ultimo, il Garante ha ricordato come i principi cardine della vigente normativa in materia di protezione dei personali non debbano venire meno seppur sia in corso un’emergenza sanitaria straordinaria. Alla luce di ciò, si ribadisce l’importanza per scuole e università di informare i propri studenti e insegnanti sulle modalità di trattamento dei loro dati personali attraverso l’utilizzo dei sistemi adottati per la didattica a distanza.