DDI e privacy

Autore
Luisa Treccani
Pubblicazione
11-02-21

La riorganizzazione dell'attività didattica in modalità a distanza, totale o parziale, a costretto a fare i conti con il tema delicato della privacy

Il tema è di grande attualità ed è tornato al centro dell’attenzione con la situazione che ha costretto le scuole a riorganizzarsi in maniera improvvisa nel corso del lockdown. La scuola ha dimostrato grande dinamicità e flessibilità nel rimettersi in gioco per garantire la realizzazione dell’offerta formativa e la conclusione dell’anno scorso e poi l’avvio del nuovo.

L’emergenza ha palesato molte realtà di povertà educativa e grandi difficoltà nella presenza di infrastrutture digitali nel nostro Paese, ma, nonostante questo, la scuola ha fatto fronte alla didattica a distanza prima e alla didattica digitale dopo.

Il primo elemento che si è immediatamente manifestato è che attraverso questi canali digitali si entra in casa degli studenti ma anche in casa degli insegnanti.

Questa ed altre situazioni vissute utilizzando tali strumenti, hanno stimolato alcune domande: Come fare in modo di evitare delle indagini sulla sfera privata senza peraltro evitare che questo vada a ledere la libertà di insegnamento? Come faccio a gestire i nomi e cognomi dei ragazzi che inevitabilmente, all’atto di compilazione della registrazione sulla piattaforma, devono essere individuati? Come posso fare in modo di trattare l’eventuale segnalazione della sede della scuola che l’alunno riporta sulla piattaforma? la sede di scuola indicata dall’alunno può essere considerata una forma di geolocalizzazione? I video durante la lezione, vanno mantenuti accesi? Se gli alunni sono i minorenni, possono partecipare a questa attività a distanza? Si può procedere alla registrazione su queste piattaforme da parte degli alunni attraverso degli avatar o dei nickname? Dove e come sono conservati i dati raccolti dalle piattaforme? Il docente può raccogliere le mail degli studenti per inviare il link delle piattaforme?…potremmo continuare con i quesiti, i dubbi e le perplessità, ma è utile cercare dei punti fermi, utili per capire in cosa consista una violazione della privacy e cosa, invece, siano soltanto dubbi legittimi, per cercare soprattutto di trovare risposta a quesiti stessi.

I riferimenti normativi fondamentali da avere presenti sono i seguenti:

  • Nota Miur del 17 marzo 2020 sulla didattica a distanza che ha fornito indicazioni utili per affrontare la situazione nel corso dell’anno scorso e che, vedremo, riporta elementi di fondamentale importanza;
  • le Linee guida del Ministero con la Nota n. 64 del 26 marzo del 2020;
  • il Regolamento generale sulla protezione dei dati, meglio noto come GDPR, approvato nel 2016 ed entrato in vigore ufficialmente nel 2018 (Regolamento n. 679 del 2016),

Attingendo questi testi, andremo ad analizzare due aspetti in particolare:

  1. punti di riferimento irrinunciabili;
  2.  ruoli e le responsabilità.

La cornice di riferimento è la cosiddetta accountability: a seguito dell’approvazione del Regolamento generale la protezione dei dati da parte del Consiglio dell’Unione Europea, il riferimento è la responsabilizzazione in termini anglosassoni. Quindi, le diverse figure hanno ruoli differenti rispetto al trattamento dei dati,  hanno una responsabilizzazione diversa ma trasversale, perché coinvolge tutti coloro che entrano in contatto con i dati.  

Punti di riferimento irrinunciabili

Le prime indicazioni sono state fornite dal Ministero il 17 di marzo, alla pagina 3, precisando che, se anche a distanza, si tratta sempre di dar vita ad un ambiente di apprendimento, pertanto, dobbiamo leggerlo in un’ottica proprio didattica. 

La didattica a distanza può avvenire tramite collegamento diretto o indiretto, immediato o differito, attraverso il video conferenza, video lezione o altre modalità di trasmissione ragionata di materiali, attraverso il caricamento degli stessi su piattaforme digitali e l’impiego di registri di classe in tutte le loro funzioni di comunicazione e di supporto alla didattica, con successiva rielaborazione e discussione operata direttamente o indirettamente. 

Nota Ministero Istruzione del 17 marzo 2020

il Ministero definisce anche quali attività non possano considerarsi didattica digitale:

Una trasmissione di materiali non può limitarsi solo ed esclusivamente a trasferire dei materiali agli alunni ma deve prevedere anche un momento comunicativo e di rielaborazione, precedente o successivo.

Nota Ministero Istruzione del 17 marzo 2020

La precisazione è stata dettata anche dalla situazione inaspettata ed improvvisa dello scorso lockdown, che ha comportato nella fase di avvio trasferimento di materiali e in un secondo momento si è strutturata in maniera completa.

 Per quanto attiene il tema della privacy, il riferimento nel medesimo testo è alle pagine 3 e 4 con le prime indicazioni del Garante. Sì precisa, infatti, che le istituzioni scolastiche non devono richiedere il consenso per effettuare il trattamento dei dati personali perché questo passaggio è già avvenuto all’atto dell’iscrizione, nel momento in cui genitori hanno proceduto con l’iscrizione a scuola ed hanno sottoscritto il consenso il trattamento dei dati personali.

Pertanto, tutte quelle attività connesse al trattamento dei dati sono legate allo svolgimento del compito istituzionale della scuola e, in questo caso, si tratta dell’attività didattica, che sia condotta in presenza, come abitualmente, o virtualmente,  rientra in questo consenso ricevuto all’inizio dell’anno. 

Tale passaggio legato alla gestione della privacy, è stato un passaggio fondamentale per rasserenare i docenti rispetto ai loro obblighi.

Sempre in questo testo, alla pagina 4, si ribadiscono anche le prime indicazioni del Garante e gli obblighi della GDPR su come va trattata da parte dell’istituzione scolastica la gestione dei dati: si tratta di dati personali che vanno trattati in modo lecito, corretto, trasparente, raccolti per finalità determinate, esplicite e legittime.  Faccio un esempio: se noi come scuola decidiamo di utilizzare una piattaforma che da accesso ad una serie di servizi, incluse le App di gioco o altro,  utilizzarla privatamente per fare dei giochi personalmente non è corretto, perché la piattaforma e di conseguenza i dati trattati,  prevedono che la scuola li raccolga e li utilizzi per finalità determinate, esplicite e legittime, definite dalla scuola e con la scuola. Pertanto,  le attività di gioco possono solo essere funzionali all’attività didattica, perché trattasi di strumenti a supporto dell’attività didattica e non per altri scopi.

Altro tema centrale più volte richiamato è evitare qualsiasi forma di profilazione, diffusione e comunicazione di personali per garantire la protezione mediante misure tecniche ed organizzative adeguate. Viene, allora, spontaneo chiedersi come scuola come si possa sapere se la piattaforma in uso preveda o meno una profilazione. Vedremo dopo, affrontando i ruoli e le responsabilità, come si possa verificare questo passaggio e come possa la scuola essere tranquilla, stipulando contratti corretti nell’individuazione delle responsabilità, dei tempi, in modi e delle condizione di conservazione e utilizzo dei dati raccolti dalle piattaforme.

Altro passaggio centrale riguarda il ruolo degli organi collegiali su tali materie: collegio docenti, consiglio di classe, dipartimenti, consiglio d’istituto sono chiamati in causa per un riesame della progettazione curricolare e per la revisione del PTOF. Con la necessità di riorganizzare l’attività didattica integrandola anche con la modalità a distanza, vanno rimodulati gli obiettivi informativi in base alle esigenze. In merito a questo, il Ministero ha raccomandato ad un impegno di coordinamento tra i docenti per evitare sovrapposizioni nei carichi di lavoro a casa, rischio possibile, data la difficoltà nel confrontarsi. Pertanto, sarebbero utili bilanci periodici, occasioni di progettazione condivisa, operazione non da farsi solo in occasione delle sole scadenze della valutazione. 

Il collegio docenti ed i consigli di classe avrebbero dovuto affrontare una valutazione didattica delle piattaforme in termini di efficacia, prestando attenzione non solo alla sicurezza delle stesse, ma anche all’efficacia in termini di inclusione, di personalizzazione, di flessibilità. 

Ruoli e responsabilità

Sintesi ruoli e responsabilità

I riferimenti legislativi da cui ho attinto per la costruzione di questa sintesi sono i seguenti:

  • Indicazioni Generali sulla didattica digitale integrata e la privacy del giugno 2020, che in quanto successive rispettano le riflessioni precedenti, le riprendono e le completano; 
  • Nota Ministero Istruzione del 17 marzo 2020 sulla didattica a distanza che ha fornito indicazioni utili per affrontare la situazione nel corso dell’anno scorso e, vedremo, che riporta elementi di fondamentale importanza;
  • le Linee guida del Ministero con la Nota n. 64 del 26 marzo del 2020;
  • il Regolamento generale sulla protezione dei dati, meglio noto come GDPR, approvato nel 2016 ed entrato in vigore ufficialmente nel 2018 (Regolamento n. 679 del 2016).

Le prime indicazioni del giugno 2020 sono frutto del lavoro di un gruppo composto dal ministero e dall’ufficio tecnico del garante della privacy. Quindi, le indicazioni del primo punto approfondito sono state riprese e sintetizzate per fornire le Indicazioni generali su didattica digitale integrata e privacy.

Analizziamo le diverse figure:

Titolare del trattamento

Titolare del trattamento: definito con questi termini dal Regolamento UE, meglio noto GDPR. Si tratta  della persona fisica o giuridica, dell’autorità pubblica, del servizio o di altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati, quindi nel caso della scuola è l’istituzione scolastica, rappresentata dalla persona del dirigente scolastico, responsabile dell’istituzione stessa. Sì precisa singolarmente o insieme ad altri perché in alcuni passaggi il dirigente può essere coadiuvato, può collaborare con il Ministero dell’Istruzione.  Ne è un esempio il tema privacy: alcune indicazioni rispetto a piattaforme sono state fornite dal Ministero.  

Titolare del trattamento è, allora, il dirigente scolastico, cui compete valutare una piattaforma ma per verificarne la funzionalità didattica, si deve chiamare in causa il collegio docenti ed il consiglio di classe. Infatti, accanto alla fondamentale attenzione alla sicurezza, va verificato se sia rispondente alle esigenze dell’istituto e alla realizzazione dell’offerta formativa. Vedremo che il dirigente va supportato da esperti per la verifica in termini di sicurezza, data la grande responsabilità che ne deriva dal punto di vista civile e penale.

Responsabile della protezione dei dati (RPD o DPO)

Per questo sopraggiunge in aiuto una seconda figura: il responsabile della protezione dei dati (RPD o DPO). Sì tratta del soggetto che assicura l’applicazione, nel quadro del normativo vigente in materia di protezione dei dati, di quanto prescritto dal regolamento GDPR. Può essere designato un soggetto interno oppure esterno,  che abbia le competenze professionali certificate per ricoprire questo ruolo. Per esempio, molte scuole si sono convenzionate ed hanno individuato una figura esterna con preparazione professionale specifica su questo tema tanto delicato.  

Presidi privacy

Accanto a queste due prime figure, vi possono essere altre figure che supportano ed aiutano il DS. Il Regolamento, valendo per tutti i settori, non ha identificato figure precise per la scuola ma presidi privacy. Questi, insieme al titolare del trattamento, supportano nel rispetto degli adempimenti della privacy, che in particolare dal 28 di maggio 2018, sono diventati molti, complicati e carichi di responsabilità. Nel caso della scuola potremmo riconoscere come presidi privacy l’animatore digitale ed i componenti del team per l’innovazione. Infatti, l’animatore digitale non deve essere quello che sistema i computer, ma ha un ruolo educativo e didattico.

Persone autorizzate al trattamento

Le persone autorizzate al trattamento ottengono il permesso dal titolare per gestire i dati, sui quali devono effettuare operazioni, con l’obbligo di rispettare le istruzioni fornite. Quindi, si tratta del personale scolastico, docente e ATA. Questi devono essere autorizzati dal dirigente al trattamento dei dati e devono ricevere indicazioni precise su come trattare questi dati. Un esempio, riprendendo i quesiti iniziali, riguarda la  raccolta delle mail dei ragazzi per mandare i link. Quest’operazione dovrebbe essere stata fatta dal dirigente all’atto dell’iscrizione, con la sottoscrizione dell’informativa sul trattamento dei dati. Se questo non è avvenuto o la famiglia non ha indicato una mail, il dirigente darà indicazioni alla segreteria perché proceda a completare la procedura. Se vi trovate nella necessità di procedere con questa richiesta come docente dovete essere preventivamente autorizzati a farlo dal dirigente, altrimenti, potreste rischiare che venga considerata una libera iniziativa, non supportata dalle dovute tutele.  

Responsabile del trattamento

Per chiudere il quadro abbiamo bisogno di identificare chi conserva e tratta i dati in maniera adeguata: il responsabile del trattamento. Si tratta del fornitore della piattaforma, che, pertanto, si deve interfacciare subito con titolare del trattamento e formalizzare con lui in un contratto tutti quei vincoli che noi abbiamo visto prima. In tale contratto va precisato che i dati vengono trattati in modo lecito, corretto, trasparente, raccolti per finalità esplicite e legittime e, nel caso della scuola, sono riconducibili esclusivamente all’attività educativa e didattica. Il titolare deve assolutamente indicare che la diffusione o la comunicazione di dati personali illegittimi non è consentita e va perseguita. Quindi, queste due figure, il titolare del trattamento ed il responsabile, devo stendere e sottoscrivere questi passaggi ed, una volta che l’hanno fatto, il dirigente può stare tranquillo, essendo supportato dalle figure di professionisti rispetto alla serietà della piattaforma che ha scelto. A sua volta, il docente può stare tranquillo perché vuol dire che chi doveva vigilare sulla correttezza della piattaforma l’ha fatto.

Approfondiamo ulteriori passaggi sul controllo del dipendente e sulla modalità di informativa.

Il titolare del trattamento non può mettere in atto delle procedure di controllo del dipendente e deve rispettare il principio costituzionale della libertà di insegnamento. Tali aspetti sono ribaditi nelle stesse Indicazioni Generali di giugno 2020 del Ministero. Pertanto, l’utilizzo della piattaforma a fini di controllo delle ore di lezione del docente non è assolutamente lecito e ci invita, piuttosto, ad una riflessione di natura etica e professionale, che richiederebbe un altro approfondimento.

Infine, tema richiamato dalle  Indicazioni generali del Miur, a pagina 3 e dal Regolamento dell’Unione Europea, agli articoli 13 e 14, è fornire una rete informativa agli interessati al trattamento dei dati, quindi, nel nostro caso, alle famiglie ed agli studenti. 

Le famiglie, responsabili degli alunni iscritti, hanno diritto ad una informativa sul trattamento dei dati legate all’erogazione dell’offerta formativa, in maniera sintetica e scritta con linguaggio molto semplice. Il Ministero dice addirittura che sia comprensibile anche i minori.

L’informativa deve specificare i tipi di dati raccolti, le modalità di trattamento, i tempi di conservazione e le altre operazioni legate al trattamento. Quindi, nel momento in cui noi facciamo una lezione a distanza e della stessa rimane traccia, perché chiunque ha utilizzato una piattaforma sa che queste informazioni lasciano traccia, va garantito l’utilizzo dei dati, escludendo qualsiasi tipo di attività che non sia riconducibile all’attività didattica, sulla base dei medesimi presupposti e con garanzia analoghe a quelle e vengono utilizzate per la didattica tradizionale.

Infine, concluderei con uno spunto didattico: il tema complesso ed articolato della privacy sul quale va fornita adeguata informativa può diventare un interessante occasione per pianificare un percorso di educazione alla cittadinanza digitale con gli alunni e le alunne, gli studenti e le studentesse.

Articoli correlati

Organi collegiali nella DDI

L'approfondimento del ruolo degli organi collegiali nella Didattica Digitale Integrata richiama alla memoria uno slogan: non c'è innovazione senza partecipazione.

I'M SOCIAL
seguimi