Privacy e didattica a distanza: una buona prassi per i DPO degli istituti scolastici - Cyber Security 360

ADEMPIMENTI PRIVACY

Privacy e didattica a distanza: una buona prassi per i DPO degli istituti scolastici

La pandemia di COVID-19 ha determinato l’esigenza di adottare provvedimenti normativi per lo svolgimento della didattica a distanza, garantendo al contempo un trattamento dei dati personali in conformità alle disposizioni vigenti in materia di privacy. Ecco una buona prassi per i DPO degli istituti scolastici

04 Nov 2020
L
Alberto Linfante

GDPR & Data Protection Specialist

In seguito all’emergenza sanitaria, conseguente alla pandemia di COVID-19, si è determinata l’esigenza di adottare provvedimenti normativi per lo svolgimento, a distanza, delle attività didattiche delle scuole di ogni ordine e grado: parimenti, il trattamento dei dati personali, anche appartenenti a categorie particolari, connesso all’impiego degli strumenti per l’erogazione della didattica a distanza, ha stimolato l’intervento dell’Autorità Garante privacy al fine di assicurarne il corretto utilizzo e la conformità alle disposizioni vigenti.

È dunque utile fornire ai responsabili della protezione dei dati (RPD o DPO, Data Protection Officer) degli istituti scolastici uno strumento operativo, consistente in una “buona prassi”, attraverso l’elencazione analitica degli adempimenti collegati all’utilizzo di strumenti per la Didattica Digitale Integrata (DDI), la quale rappresenta, nella situazione nazionale attuale, la principale metodologia di insegnamento e apprendimento.

Privacy e didattica a distanza: riferimenti normativi

I principali riferimenti normativi in materia, che costituiscono la base dell’analisi che seguirà, sono rappresentati da:

  1. Linee Guida del MIUR per la Didattica Digitale Integrata, adottate con D.M. n. 89 del 7 agosto 2020.
  2. Provvedimento dell’Autorità Garante per la protezione dei dati personali del 26 marzo 2020 – “Didattica a distanza: prime indicazioni”.
  3. Linee Guida del Gruppo di lavoro congiunto Ministero dell’istruzione – Ufficio del Garante per la protezione dei dati personali di cui al Decreto del Capo di Gabinetto prot. n. 1885 del 5 giugno 2020.

Privacy e didattica a distanza: il ruolo del DPO

Le citate Linee Guida elaborate congiuntamente dal MIUR e dall’Autorità Garante elencano specificamente i compiti spettanti, in relazione alla DDI, ai DPO degli istituti scolastici. In particolare, ad essi competono:

EVENTO
16 Settembre 2021 - 17:00
Cybersecurity: la svolta dell’estate e come proteggersi al meglio
Sicurezza
Cybersecurity
  1. la consulenza in ordine alla necessità di eseguire la valutazione di impatto (DPIA);
  2. il supporto nella scelta delle tecnologie più appropriate per la DDI;
  3. la consulenza nell’adozione delle misure di sicurezza più adeguate;
  4. il supporto nella predisposizione del contratto o altro atto giuridico con il fornitore dei servizi per la DDI;
  5. il supporto nella designazione del personale autorizzato al trattamento dei dati personali;
  6. il supporto nelle campagne di sensibilizzazione rivolte al personale autorizzato e agli interessati sugli aspetti inerenti alla tutela dei dati personali e sull’uso consapevole delle tecnologie per la DDI.

Vediamo, dunque, come tali compiti possono essere opportunamente assolti, tramite un’analisi dettagliata ma sicuramente non rivoluzionaria, semmai più specifica, rispetto all’ordinaria compliance delle organizzazioni dei titolari del trattamento alla vigente normativa in materia di protezione dei dati personali.

La valutazione di impatto

La prima questione è relativa alla necessità di eseguire o meno una DPIA (Data Protection Impact Assessment). Il Garante, a tal proposito, chiarisce che “poiché l’istituzione scolastica, in genere, non effettua trattamenti di dati personali su larga scala, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive”.

In presenza di una posizione così chiara, da parte del Garante, sul “normale” utilizzo di strumentazioni “ordinarie”, si deve ritenere che la DPIA vada effettuata solo in presenza di già note condizioni, come la profilazione, il trattamento su larga scala di categorie particolari di dati personali, trattamenti valutativi o di scoring.

Scelta della piattaforma e qualificazione del fornitore

Spetta alle scuole (e alle università), adeguatamente supportate allo scopo dal DPO, la scelta in ordine agli strumenti più utili all’erogazione della didattica a distanza, tenendo conto, in primo luogo, del rispetto dei principi di privacy by design e by default (art. 25 GDPR) in considerazione del contesto, delle finalità del trattamento e dei rischi per i diritti e le libertà degli interessati.

Per quanto concerne il ruolo dei fornitori del servizio, si configurano diversi scenari:

  1. Come regola generale, la Scuola, in qualità di titolare del trattamento, dovrà nominare il fornitore responsabile del trattamento ex art. 28 GDPR e il rapporto con lo stesso dovrà essere regolato da contratto o altro atto giuridico. Nel caso in cui il fornitore della scuola sia il medesimo per altri servizi (es. registro scolastico) potrà procedersi, ove non già disciplinato, all’integrazione del contratto già in essere. Fondamentale, in ogni caso, è che le scuole si assicurino che i dati trattati dal fornitore per loro conto siano utilizzati soltanto per l’erogazione della didattica a distanza e non per ulteriori finalità estranee all’attività scolastica.
  2. Nel caso in cui la Scuola ricorra a strumenti e piattaforme per la DDI gestite in via autonoma, senza far ricorso a soggetti esterni, non è richiesto l’atto di designazione del responsabile del trattamento.
  3. Nel caso, piuttosto frequente, di ricorso da parte della scuola a piattaforme più complesse, c.d. “generaliste”, in quanto includono una vasta gamma di servizi, anche non specificamente rivolti alla didattica, è necessario verificare che siano attivati esclusivamente i servizi correlati all’erogazione della didattica a distanza e che siano trattati i soli dati necessari, nel rispetto del principio di minimizzazione, necessari all’attivazione ed alla fruizione del servizio (ad esempio, evitando di acconsentire all’utilizzo di dati sulla geolocalizzazione o a sistemi di social login).

Trasparenza, finalità e base giuridica del trattamento

Le istituzioni scolastiche devono informare tutte le categorie di interessati (studenti, docenti, genitori) in relazione ai trattamenti dei dati personali nell’ambito dell’erogazione della didattica a distanza.

In virtù dell’ormai noto principio di progressività informativa, potrà essere resa un’informativa sintetica, redatta con un linguaggio chiaro e facilmente comprensibile anche dai minori, nella quale dovranno essere indicate specificamente le varie modalità di fruizione (piattaforma web, app ecc.) e l’eventuale utilizzo di archiviazione in cloud, nonché l’eventuale trasferimento dei dati personali in Paesi extra UE.

Le finalità di trattamento, come detto ma è opportuno ripeterlo, dovranno essere limitate alle sole attività necessarie all’insegnamento-apprendimento tramite tale innovativa metodologia didattica. Dovranno pertanto essere evitate finalità ulteriori e/o aggiuntive, non inerenti all’attività scolastica.

Quanto alla base giuridica del trattamento, il Garante ha chiarito nel Provvedimento del 26 marzo che “il trattamento dei dati personali da parte delle istituzioni scolastiche è necessario in quanto collegato all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri”. La condizione di liceità è pertanto da individuarsi nell’art. 6, par. 1, lett. e) del GDPR.

Il consenso, da parte degli interessati, non rappresenta invece un’idonea base giuridica per il trattamento dei dati personali funzionali allo svolgimento dell’attività didattica.

Misure di sicurezza

Come per ogni altro trattamento, anche quello effettuato nell’ambito dell’erogazione della didattica a distanza, dovranno essere previste, in conformità a quanto previsto dall’art. 32 del GDPR, misure tecniche ed organizzative adeguate al livello di rischio.

Nel caso di specie, il Garante, nell’ambito del lavoro congiunto con il MIUR ha elencato, quasi con un nostalgico pensiero al compianto Allegato B del d.lgs. 196/2003, una serie di misure esemplificative, ovvero:

  1. adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti;
  2. utilizzo di robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione;
  3. definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati;
  4. definizione di password policy adeguate (es. regole di composizione, scadenza periodica, ecc.);
  5. conservazione delle password degli utenti, mediante l’utilizzo di funzioni di hashing allo stato dell’arte (es. PBKDF2, bcrypt, ecc.) e di salt di lunghezza adeguata;
  6. utilizzo di canali di trasmissione sicuri tenendo conto dello stato dell’arte;
  7. adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery);
  8. utilizzo di sistemi di protezione perimetrale, adeguatamente configurati in funzione del contesto operativo;
  9. utilizzo di sistemi antivirus e anti malware costantemente aggiornati;
  10. aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità;
  11. registrazione degli accessi e delle operazioni compiute in appositi file di log, ai fini della verifica della correttezza e legittimità del trattamento dei dati;
  12. definizione di istruzioni da fornire ai soggetti autorizzati al trattamento;
  13. formazione e sensibilizzazione degli utenti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5