ADEMPIMENTI PRIVACY

Privacy e didattica a distanza: una buona prassi per i DPO degli istituti scolastici

La pandemia di COVID-19 ha determinato l’esigenza di adottare provvedimenti normativi per lo svolgimento della didattica a distanza, garantendo al contempo un trattamento dei dati personali in conformità alle disposizioni vigenti in materia di privacy. Ecco una buona prassi per i DPO degli istituti scolastici

04 Nov 2020
L
Alberto Linfante

GDPR & Data Protection Specialist

In seguito all’emergenza sanitaria, conseguente alla pandemia di COVID-19, si è determinata l’esigenza di adottare provvedimenti normativi per lo svolgimento, a distanza, delle attività didattiche delle scuole di ogni ordine e grado: parimenti, il trattamento dei dati personali, anche appartenenti a categorie particolari, connesso all’impiego degli strumenti per l’erogazione della didattica a distanza, ha stimolato l’intervento dell’Autorità Garante privacy al fine di assicurarne il corretto utilizzo e la conformità alle disposizioni vigenti.

È dunque utile fornire ai responsabili della protezione dei dati (RPD o DPO, Data Protection Officer) degli istituti scolastici uno strumento operativo, consistente in una “buona prassi”, attraverso l’elencazione analitica degli adempimenti collegati all’utilizzo di strumenti per la Didattica Digitale Integrata (DDI), la quale rappresenta, nella situazione nazionale attuale, la principale metodologia di insegnamento e apprendimento.

Privacy e didattica a distanza: riferimenti normativi

I principali riferimenti normativi in materia, che costituiscono la base dell’analisi che seguirà, sono rappresentati da:

  1. Linee Guida del MIUR per la Didattica Digitale Integrata, adottate con D.M. n. 89 del 7 agosto 2020.
  2. Provvedimento dell’Autorità Garante per la protezione dei dati personali del 26 marzo 2020 – “Didattica a distanza: prime indicazioni”.
  3. Linee Guida del Gruppo di lavoro congiunto Ministero dell’istruzione – Ufficio del Garante per la protezione dei dati personali di cui al Decreto del Capo di Gabinetto prot. n. 1885 del 5 giugno 2020.

Privacy e didattica a distanza: il ruolo del DPO

Le citate Linee Guida elaborate congiuntamente dal MIUR e dall’Autorità Garante elencano specificamente i compiti spettanti, in relazione alla DDI, ai DPO degli istituti scolastici. In particolare, ad essi competono:

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
  1. la consulenza in ordine alla necessità di eseguire la valutazione di impatto (DPIA);
  2. il supporto nella scelta delle tecnologie più appropriate per la DDI;
  3. la consulenza nell’adozione delle misure di sicurezza più adeguate;
  4. il supporto nella predisposizione del contratto o altro atto giuridico con il fornitore dei servizi per la DDI;
  5. il supporto nella designazione del personale autorizzato al trattamento dei dati personali;
  6. il supporto nelle campagne di sensibilizzazione rivolte al personale autorizzato e agli interessati sugli aspetti inerenti alla tutela dei dati personali e sull’uso consapevole delle tecnologie per la DDI.

Vediamo, dunque, come tali compiti possono essere opportunamente assolti, tramite un’analisi dettagliata ma sicuramente non rivoluzionaria, semmai più specifica, rispetto all’ordinaria compliance delle organizzazioni dei titolari del trattamento alla vigente normativa in materia di protezione dei dati personali.

La valutazione di impatto

La prima questione è relativa alla necessità di eseguire o meno una DPIA (Data Protection Impact Assessment). Il Garante, a tal proposito, chiarisce che “poiché l’istituzione scolastica, in genere, non effettua trattamenti di dati personali su larga scala, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive”.

In presenza di una posizione così chiara, da parte del Garante, sul “normale” utilizzo di strumentazioni “ordinarie”, si deve ritenere che la DPIA vada effettuata solo in presenza di già note condizioni, come la profilazione, il trattamento su larga scala di categorie particolari di dati personali, trattamenti valutativi o di scoring.

Scelta della piattaforma e qualificazione del fornitore

Spetta alle scuole (e alle università), adeguatamente supportate allo scopo dal DPO, la scelta in ordine agli strumenti più utili all’erogazione della didattica a distanza, tenendo conto, in primo luogo, del rispetto dei principi di privacy by design e by default (art. 25 GDPR) in considerazione del contesto, delle finalità del trattamento e dei rischi per i diritti e le libertà degli interessati.

Per quanto concerne il ruolo dei fornitori del servizio, si configurano diversi scenari:

  1. Come regola generale, la Scuola, in qualità di titolare del trattamento, dovrà nominare il fornitore responsabile del trattamento ex art. 28 GDPR e il rapporto con lo stesso dovrà essere regolato da contratto o altro atto giuridico. Nel caso in cui il fornitore della scuola sia il medesimo per altri servizi (es. registro scolastico) potrà procedersi, ove non già disciplinato, all’integrazione del contratto già in essere. Fondamentale, in ogni caso, è che le scuole si assicurino che i dati trattati dal fornitore per loro conto siano utilizzati soltanto per l’erogazione della didattica a distanza e non per ulteriori finalità estranee all’attività scolastica.
  2. Nel caso in cui la Scuola ricorra a strumenti e piattaforme per la DDI gestite in via autonoma, senza far ricorso a soggetti esterni, non è richiesto l’atto di designazione del responsabile del trattamento.
  3. Nel caso, piuttosto frequente, di ricorso da parte della scuola a piattaforme più complesse, c.d. “generaliste”, in quanto includono una vasta gamma di servizi, anche non specificamente rivolti alla didattica, è necessario verificare che siano attivati esclusivamente i servizi correlati all’erogazione della didattica a distanza e che siano trattati i soli dati necessari, nel rispetto del principio di minimizzazione, necessari all’attivazione ed alla fruizione del servizio (ad esempio, evitando di acconsentire all’utilizzo di dati sulla geolocalizzazione o a sistemi di social login).

Trasparenza, finalità e base giuridica del trattamento

Le istituzioni scolastiche devono informare tutte le categorie di interessati (studenti, docenti, genitori) in relazione ai trattamenti dei dati personali nell’ambito dell’erogazione della didattica a distanza.

In virtù dell’ormai noto principio di progressività informativa, potrà essere resa un’informativa sintetica, redatta con un linguaggio chiaro e facilmente comprensibile anche dai minori, nella quale dovranno essere indicate specificamente le varie modalità di fruizione (piattaforma web, app ecc.) e l’eventuale utilizzo di archiviazione in cloud, nonché l’eventuale trasferimento dei dati personali in Paesi extra UE.

Le finalità di trattamento, come detto ma è opportuno ripeterlo, dovranno essere limitate alle sole attività necessarie all’insegnamento-apprendimento tramite tale innovativa metodologia didattica. Dovranno pertanto essere evitate finalità ulteriori e/o aggiuntive, non inerenti all’attività scolastica.

Quanto alla base giuridica del trattamento, il Garante ha chiarito nel Provvedimento del 26 marzo che “il trattamento dei dati personali da parte delle istituzioni scolastiche è necessario in quanto collegato all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri”. La condizione di liceità è pertanto da individuarsi nell’art. 6, par. 1, lett. e) del GDPR.

Il consenso, da parte degli interessati, non rappresenta invece un’idonea base giuridica per il trattamento dei dati personali funzionali allo svolgimento dell’attività didattica.

Misure di sicurezza

Come per ogni altro trattamento, anche quello effettuato nell’ambito dell’erogazione della didattica a distanza, dovranno essere previste, in conformità a quanto previsto dall’art. 32 del GDPR, misure tecniche ed organizzative adeguate al livello di rischio.

Nel caso di specie, il Garante, nell’ambito del lavoro congiunto con il MIUR ha elencato, quasi con un nostalgico pensiero al compianto Allegato B del d.lgs. 196/2003, una serie di misure esemplificative, ovvero:

  1. adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti;
  2. utilizzo di robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione;
  3. definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati;
  4. definizione di password policy adeguate (es. regole di composizione, scadenza periodica, ecc.);
  5. conservazione delle password degli utenti, mediante l’utilizzo di funzioni di hashing allo stato dell’arte (es. PBKDF2, bcrypt, ecc.) e di salt di lunghezza adeguata;
  6. utilizzo di canali di trasmissione sicuri tenendo conto dello stato dell’arte;
  7. adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery);
  8. utilizzo di sistemi di protezione perimetrale, adeguatamente configurati in funzione del contesto operativo;
  9. utilizzo di sistemi antivirus e anti malware costantemente aggiornati;
  10. aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità;
  11. registrazione degli accessi e delle operazioni compiute in appositi file di log, ai fini della verifica della correttezza e legittimità del trattamento dei dati;
  12. definizione di istruzioni da fornire ai soggetti autorizzati al trattamento;
  13. formazione e sensibilizzazione degli utenti.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr