Privacy a scuola, ecco le linee guida del Consiglio d’Europa sul trattamento dati dei minori - Cyber Security 360

L'approfondimento

Privacy a scuola, ecco le linee guida del Consiglio d’Europa sul trattamento dati dei minori

La Commissione della Convenzione 108 del Consiglio d’Europa ha elaborato linee guida sulla data protection dei minori, destinate ai produttori e utilizzatori di piattaforme e app destinate all’uso scolastico: l’obiettivo è garantire la tutela dei diritti dei ragazzi in materia di privacy

07 Dic 2020
C
Marina Rita Carbone

Consulente privacy

L’esigenza di sviluppare forme di insegnamento nuove e strumenti di apprendimento sempre più interattivi è stata accelerata dall’attuale emergenza sanitaria, ma non bisogna trascurare la privacy degli studenti: in tale contesto si pongono le nuove linee guida elaborate dalla Commissione della Convenzione 108 del Consiglio d’Europa, il cui scopo è quello di fornire preziose indicazioni ai soggetti coinvolti nel processo di creazione, selezione ed utilizzo di applicativi e piattaforme destinate ai minori.

Analizziamo nel seguito il processo di formazione delle linee guida e il loro contenuto, alla luce dei principi europei sul trattamento dei dati personali come quelli indicati dal GDPR.

Il pregresso: la Convenzione 108 del Consiglio d’Europa

Occorre, in premessa, spiegare brevemente cosa rappresenti la Convenzione 108, ossia la Convenzione di Strasburgo del 1981, all’interno del generale quadro normativo sulla protezione dei dati personali.

WEBINAR, 22 APRILE
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity

La Convenzione 108 nasce al fine di tutelare le persone dai rischi connessi all’abuso delle tecnologie dell’informazione e della comunicazione, sia nel settore pubblico che in quello privato.

In particolare, si legge all’art. 1: “Scopo della presente Convenzione è quello di garantire, sul territorio di ciascuna Parte, ad ogni persona fisica, quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano («protezione dei dati »)”.

Al suo interno sono enucleati una serie di principi fondamentali propri anche delle più recenti normative sulla protezione dei dati, quali il GDPR ed il Codice Privacy. In particolare:

  • all’art. 5, rubricato “Qualità dei dati”, si afferma che “i dati a carattere personale oggetto di elaborazione automatica devono essere: a) ottenuti ed elaborati lealmente e legalmente; b) registrati per fini determinati e legittimi e non devono essere utilizzati in modo incompatibile con tali fini; c) adeguati, pertinenti e non eccessivi in rapporto ai fini per i quali sono registrati; d) esatti e, se necessario, aggiornati; e) conservati sotto una forma che permetta l’identificazione delle persone interessate per un periodo non superiore a quello necessario per i fini per i quali essi sono registrati”;
  • particolare attenzione viene riposta sulle categorie “speciali” di dati (i c.d. dati particolari del GDPR) e sui dati relativi a condanne penali, all’interno dell’art. 6, che ne impedisce l’elaborazione automatica, salvo che il diritto interno non preveda delle garanzie appropriate;
  • all’art. 7 si ribadisce la necessità di adottare “idonee misure di sicurezza” ai dati “a carattere personale registrati nelle collezioni automatizzate contro la distruzione accidentale o non autorizzata, o la perdita accidentale, nonché contro l’accesso, la modificazione o la diffusione non autorizzata”.
  • infine, si elencano, all’art. 8, una serie di garanzie supplementari che devono essere rese all’interessato, come: il diritto di conoscere l’esistenza di una collezione automatizzata di dati personali, le finalità connesse alla stessa, i responsabili della collezione; ottenere la conferma dell’esistenza di dati personali, nella detta collezione, che lo riguardano e ottenere tali dati in forma intelligibile; rettificare tali dati o cancellarli, se elaborati in violazione della normativa privacy; proporre ricorso a tutela dei propri diritti.

Il report “Children’s data protection in education systems”

Sulla scorta dei principi contenuti nella Convenzione 108 e dei rischi connessi all’utilizzo della tecnologia anche in settori particolarmente delicati, come quello scolastico, Jen Persson, direttore di “defenddigitalme”, ha elaborato, il 15 novembre 2019, il report “Children’s Data Protection in Education Systems: Challenges and Possible Remedies”.

All’interno di tale documento, Persson, prendendo a riferimento le ricerche condotte negli ultimi 10 anni sull’utilizzo dei dati nel settore pubblico, pone in risalto il rischio, fortemente presente soprattutto per i minori, di essere inconsciamente e incolpevolmente lesi nei propri diritti fondamentali (incluso il diritto alla riservatezza della vita privata) e oggetto di strumentalizzazioni a fini commerciali, specie ove non si accompagni alla crescita tecnologica un controllo da parte dei legislatori e delle autorità ed una maggiore consapevolezza, da parte del personale scolastico, degli strumenti che si utilizzano, al fine ponderare con attenzione quali piattaforme utilizzare per garantire il rispetto dei diritti del minore.

Le informazioni personali e confidenziali dei bambini, afferma Persson, sono oggi, infatti, nelle mani di un numero di soggetti sempre crescente.

I minori interagiscono, anche all’interno dell’ambiente scolastico, con strumenti di realtà aumentata, sistemi di tracciamento RFID, software di elaborazione vocale, e altro. Il rischio che tali dati siano utilizzati per scopi ultronei a quelli necessari, configurando pericolosi fenomeni di abuso, è ormai elevato.

Per tale ragione riteneva di primaria importanza regolare, alla luce delle nuove tecnologie sviluppate, un’azione da parte del Consiglio d’Europa che permettesse di gettare le basi per un corretto uso dei dati dei minori all’interno degli ambienti scolastici.

Le linee guida del Consiglio d’Europa: il contenuto

In risposta alle osservazioni contenute nel report di Persson, il Consiglio d’Europa, il 20 novembre 2020, ha formulato delle Linee Guida per l’impiego di sistemi tecnologici all’interno dell’ambiente scolastico, dal titolo “Children’s Data Protection in an Education setting”.

Lo scopo perseguito dal Consiglio, tramite le linee guida, è quello, espresso, di supportare le organizzazioni e gli individui, educando al rispetto, alla protezione ed alla realizzazione dei diritti di protezione dei minori all’interno dell’ambiente digitale.

Ciò si rende necessario, a maggior ragione, nel contesto odierno, che vede:

  • la crescita di soluzioni in cloud o che richiedono il trasferimento di dati al di fuori dei confini nazionali ed europei;
  • l’introduzione, nel contesto scolastico, di un numero sempre crescente di soggetti non-statali, con necessità di controllare e verificare con attenzione che gli stessi non utilizzino i dati raccolti per finalità proprie ben differenti da quelle meramente educative.

Anche il coinvolgimento pieno del minore nell’utilizzo delle nuove tecnologie rende necessario ricorrere a soluzioni che, in virtù dei principi di trasparenza e chiarezza, rendano lo stesso, in base alla sua età ed alla consapevolezza digitale, pienamente cosciente dello strumento che stanno utilizzando e delle modalità/finalità del trattamento.

Il documento risulta suddiviso in cinque macroaree:

  1. la definizione delle finalità delle linee guida;
  2. l’enunciazione dei principi fondamentali connessi al trattamento dei dati dei minori nell’ambiente educativo;
  3. le raccomandazioni per i legislatori;
  4. le raccomandazioni per i titolari del trattamento;
  5. le raccomandazioni per l’industria.

Nel seguito, una breve disamina del contenuto delle citate macroaree.

Le finalità delle linee guida

Le Linee Guida elaborate dal Consiglio, facendo applicazione dei principi contenuti nella Convenzione 108 e nella Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (European Convention on Human Rights), mirano a garantire che “l’intera gamma dei diritti del minore sia soddisfatta in relazione alla protezione dei dati a seguito delle interazioni con un ambiente educativo, tra cui i diritti all’informazione, alla rappresentanza, alla partecipazione e alla privacy”, tenuto debito conto del “livello di maturità e comprensione del bambino”.

Si fa salva, alle Autorità, la possibilità di elaborare delle indicazioni di stampo pratico, ivi incluse delle check-list e standard qualitativi, che consentano alle scuole e agli altri organismi coinvolti nel processo di insegnamento, di assicurarsi che le soluzioni scelte siano rispettose dei principi fondamentali dei minori.

I principi del trattamento dati

In primis, le Linee-Guida enunciano i principi ed i diritti che devono essere garantiti nel trattamento dei dati personali, in accordo con quanto contenuto anche nelle normative sul trattamento dei dati personali più recenti (in particolare, il GDPR):

  • il principio di legittimità del trattamento (ex art. 5 Convenzione), ed i connessi principi di liceità, correttezza, necessità, proporzionalità, limitazione delle finalità, accuratezza, limitazione della conservazione in un formato identificabile, trasparenza, minimizzazione dei dati, adeguatezza e pertinenza dei dati, trattamento dei soli dati necessari all’esecuzione delle finalità per le quali sono trattati;
  • il principio di cautela e rafforzamento delle misure di sicurezza, ove si trattino dati appartenenti a categorie particolarmente sensibili (ex art. 6 Convenzione);
  • il principio di trasparenza del trattamento e di accessibilità delle informazioni, tramite l’uso di un linguaggio chiaro e comprensibile per il minore (ex art. 8 Convenzione);
  • il principio di responsabilizzazione del titolare (ex art. 10 Convenzione);
  • il principio di data protection by design (ex art. 10 Convenzione);
  • il principio di valutazione del rischio, per i diritti e le libertà degli interessati, del trattamento (quest’ultimo, avuto riguardo delle conseguenze che il trattamento dei dati può avere sull’individuo anche una volta che lo stesso lascia l’ambiente scolastico);
  • il principio di adozione di misure di sicurezza adeguate (espresso anche dall’art. 32 GDPR).

I suddetti principi dovranno essere riconosciuti, sulla base del contesto scolastico nel quale il trattamento si pone in essere, ai sensi dell’art. 9 Convenzione, anche ai genitori del minore o ai soggetti che ne fanno le veci.

In aggiunta ai citati principi, dovrà garantirsi:

  • il “miglior interesse del minore” (c.d. best interests of the child): ciò comporta la necessità di bilanciare il diritto del minore alla protezione dei dati con altri diritti fondamentali, come il diritto alla libertà di espressione, il diritto all’informazione ed alla partecipazione, nonché il diritto di essere ascoltato;
  • la protezione dei diritti del minore inteso quale soggetto dinamico, dotato di capacità che si evolvono, nonché la tutela delle sue necessità specifiche, nel caso, ad esempio, di minori con disabilità o in situazioni vulnerabili;
  • il diritto ad essere ascoltato (c.d. right to be heard), che si traduce nel diritto, per il minore, di essere reso conscio e partecipe dei propri diritti digitali, in modo trasparente, comprensibile ed accessibile;
  • il diritto a non essere discriminato: occorrerà progettare misure specifiche per i bambini che hanno specifiche necessità, al fine di proteggere e supportare al meglio questi ultimi.

Raccomandazioni per i legislatori

La varietà di situazioni nelle quali può esservi un trattamento di dati, e l’eterogeneità delle informazioni che possono essere trattate, comporta l’obbligo, per le autorità e per i legislatori, di operare congiuntamente al fine di:

  • garantire la minimizzazione dei dati e la soddisfazione delle aspettative del minore;
  • limitare gli scopi per i quali è consentito il trattamento dei dati nell’ambiente scolastico;
  • limitare i tempi di conservazione dei dati.

I legislatori, in particolare, “dovrebbero garantire che l’intera gamma di diritti (fondamentali e connessi alla protezione dei dati, N.d.A.) sia garantita da altri strumenti, protocolli e orientamenti in cui si considerino le implicazioni del trattamento dei dati dei minori nel contesto dell’istruzione”.

Ciò attraverso una serie di azioni congiunte, così individuate dal Consiglio:

  • attuando una revisione delle normative, delle policies e delle prassi in uso nel settore scolastico, di modo tale da elevare gli standard qualitativi minimi richiesti ai fornitori di prodotti e servizi a scopo didattico (principio di privacy by design);
  • fornendo alle Autorità di controllo sufficienti risorse per assicurare che le leggi sulla protezione dei dati siano adeguatamente applicate nel settore scolastico, ai sensi di quanto previsto dalla Convenzione agli artt. 12 e 18;
  • formando il personale scolastico affinché sia in grado di capire il suo ruolo nel processo di valutazione della strumentazione in uso, e possa garantire il rispetto del diritto del bambino di essere ascoltato;
  • revisionando i contratti pubblici affinché richiedano ai fornitori al rispetto dei diritti del minore;
  • adottando delle misure appropriate a “prevenire, monitorare e indagare sulle violazioni da parte delle imprese nel contesto educativo e nell’ambiente digitale”.

Raccomandazioni per i titolari

“Ci sono molti attori nel processo di trattamento dei dati che possono essere titolari; non solo istituzioni educative e enti governativi, ma fornitori di piattaforme, dispositivi, programmi e applicazioni”, afferma il Consiglio. I fornitori, in particolare, possono essere definiti a loro volta titolari del trattamento “qualora essi, soli o congiuntamente ad altri, determinino la natura del trattamento come definito all’articolo 2 della Convenzione 108+”.

Per tale ragione, come previsto anche all’interno del GDPR, si rende necessario individuare chiaramente i soggetti coinvolti nel trattamento ed i loro ruoli effettivi, a prescindere da quanto indicato all’interno dei termini contrattuali di fornitura del prodotto e/o servizio.

Ai titolari del trattamento ed agli altri soggetti coinvolti nello stesso, una volta individuati, si chiede il rispetto:

  • del principio di legittimità, inteso come compliance alle normative applicabili al trattamento dei dati ed agli obblighi in esse previsti (si pensi agli obblighi del titolare e del responsabile del trattamento di cui al GDPR). Il rispetto del principio di legittimità comporta, in linea generale, l’impossibilità di assumere il consenso quale base legale per il trattamento dei dati sensibili del minore (salvo il caso in cui non siano applicabili altre basi legali e, dunque, il consenso sia espresso dal genitore o dal tutore del minore) e di comunicare i dati a soggetti terzi sulla base del consenso o l’utilizzo dei dati a fini analitici e commerciali;
  • del principio di lealtà e trasparenza del trattamento: come già più volte indicato, le informazioni sul trattamento devono essere trasparenti e rese in un formato intelligibile anche ai più piccoli;
  • del principio di valutazione del rischio (“risk assessment”) connesso al trattamento, incluso l’obbligo, per il titolare, di condurre un DPIA (“Data Protection Impact Assessment”) ai sensi dell’art. 35 GDPR;
  • dei principi di minimizzazione dei dati e limitazione della conservazione degli stessi, trattenendo, alla fine del percorso scolastico, solo i dati sufficienti a soddisfare gli interessi del minore o richiesti da norme di legge;
  • delle norme sull’adeguata sicurezza dei dati, anche tramite il ricorso a norme tecniche come la serie delle ISO 27000.

Deve ritenersi vietato il trattamento dei dati di soggetti minori a fini di profilazione, o, ancora peggio, al fine di sottoporre il minore a profilazione comportamentale e targeting commerciale.

Anche l’uso dei dati biometrici, secondo le indicazioni fornite dal Consiglio nelle linee guida, deve ridursi a circostanze di natura eccezionale, come il “proctoring”, ossia l’attività di monitoraggio posta in essere dall’insegnante, nel corso dell’esame, al fine di verificare che l’alunno non imbrogli, da attuarsi sempre con metodi poco invasivi.

Raccomandazioni per l’industria

Da ultimo, le linee guida si occupano di fornire alcune indicazioni per le imprese che si occupano di progettare e fornire prodotti tecnologici a scopi educativi.

Si chiede ai fornitori, in particolar modo, di:

  • rispettare standard di privacy by design maggiormente elevati, se i trattamenti hanno ad oggetto soggetti diversi dai minori (ricorrendo, ad esempio, a certificazioni che attestino il rispetto dei principi fondamentali del trattamento dei dati);
  • assicurare che tutte le funzionalità del prodotto siano chiare e trasparenti, inclusi i termini e le condizioni del servizio, le quali devono essere concise e fornite in un linguaggio appropriato per i bambini;
  • disegnare il prodotto ed i suoi aggiornamenti nel pieno rispetto del principio di privacy by design, evitando di includere funzionalità che spingano i bambini a fornire dati non necessari o che ne limitino i diritti.

Le indicazioni del Garante Privacy

A livello nazionale, anche il Garante Privacy si è occupato spesso di definire i confini dell’utilizzo dei dati nell’ambiente scolastico, raccogliendo i principali quesiti ed i documenti pertinenti all’interno di una pagina dedicata.

In particolare, con riferimento alla recente necessità di operare soluzioni di didattica a distanza, il Garante ha fornito alcune indicazioni che risultano pienamente coerenti con quanto espresso dal Consiglio d’Europa nelle linee guida esaminate:

  • invalidità del consenso quale base legale per il trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei;
  • limitazione delle finalità del trattamento dei dati a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore;
  • correttezza e trasparenza nell’uso dei dati raccolti;
  • attenzione nella scelta e nella regolamentazione degli strumenti di didattica a distanza: dovranno essere preferite, nel processo di selezione, soluzioni che fanno propri i principi di privacy by design e by default;
  • rigorosa regolamentazione, con contratto o con altro atto giuridico, del rapporto con il fornitore.

WEBINAR
[WEBINAR, 29 aprile] Garantire la sicurezza dei dati nell’era della collaboration online
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4