Con il provvedimento n. 64 del 26 marzo 2020, il Garante privacy è intervenuto per fornire alcune indicazioni relative all’utilizzo di strumenti tecnologici per i servizi dell’istruzione da remoto, nell’intento di promuovere la più ampia comprensione di quelle norme, garanzie e diritti che, anche nell’attuale contesto di emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati.
Nel provvedimento in oggetto, il Garante chiarisce anzitutto che scuole e università sono autorizzate a trattare i dati (anche relativi a categorie particolari) di docenti, alunni, studenti e genitori, tramite i servizi di didattica online, in quanto il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei e, pertanto, non è necessario richiedere un consenso specifico.
D’altro canto, proprio in quanto titolari del trattamento, spetta alle scuole e alle università l’attenta selezione e l’adeguata configurazione degli strumenti impiegati per la didattica online. Tali scelte dovranno conformarsi ai principi di privacy by design e by default del GDPR, tenendo conto del contesto didattico, delle finalità di insegnamento, nonché dei rischi connessi per i soggetti coinvolti, che possono essere anche minorenni.
Quanto al ruolo dei fornitori, il Garante sottolinea che, se il trattamento dei dati attraverso la piattaforma viene effettuato per conto della scuola o dell’università, allora sarà necessario sottoscrivere una nomina a responsabile del trattamento, esortando gli istituti ad accertarsi che i dati trattati per loro conto siano utilizzati esclusivamente per finalità di didattica online. A tal riguardo, rilevando l’Autorità che talune piattaforme offrono anche servizi ulteriori rispetto a quelli per meri fini didattici, sarà necessario configurare le stesse affichè venga rispettato il principio di minimizzazione, anche prevedendo un termine di cancellazione dei dati raccolti al temine del progetto didattico. Il Garante vigilerà sull’operato dei fornitori, ritenendo inammissibile l’operato di alcune piattaforme per la didattica a distanza che condizionano la fornitura dei servizi legati all’istruzione al rilascio del consenso – da parte dello studente o dei genitori – per l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore.
Nel contesto in esame – procede il Garante – potrebbe altresì rendersi necessaria una valutazione d’impatto (“DPIA”). Tale analisi, tuttavia, non è richiesta per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio online di videoconferenza o di una piattaforma, a condizione che non consenta il monitoraggio sistematico degli utenti o comunque non implichi l’utilizzo di soluzioni tecnologiche particolarmente invasive, come la geolocalizzazione o l’uso di dati biometrici.
In chiusura al provvedimento, l’Autorità chiarisce inoltre l’esigenza imprescindibile di rendere pienamente consapevoli docenti, studenti e genitori, mediante adeguata informativa, delle caratteristiche del trattamento e delle misure di salvaguardia nonché dei loro diritti in relazione al trattamento.