Il 2 luglio u.s. il Garante della Privacy ha presentato il Rapporto Annuale 2020 sull’attività svolta. Alcuni degli aspetti trattati restano fondamentali anche ora che l’emergenza si è attenuata: ad esempio è impossibile che l’uso delle piattaforme (che ora conosciamo bene) venga eliminato completamente dall’attività organizzativa delle scuole.
Intervenendo con il Provvedimento 26.03.2020, n. 64 (doc. web n. 9300784), il Garante ha chiarito che scuole non devono richiedere a personale scolastico, studenti e genitori il consenso al trattamento dei dati personali necessari allo svolgimento dell’attività didattica a distanza in quanto tale trattamento e riconducibile alle funzioni istituzionalmente poste in essere.
I titolari (dirigenti) sono pero tenuti, per assicurare la trasparenza e la correttezza del trattamento, a informare gli interessati (con un linguaggio comprensibile anche agli alunni) circa le sue caratteristiche essenziali (artt. 5, lett. a) e 13 GDPR).
Il Garante ha evidenziato che le scuole, nell’individuare gli strumenti più utili per la realizzazione della didattica a distanza, devono orientarsi verso piattaforme che siano in grado di soddisfare le effettive esigenze didattiche e formative e che offrano, al contempo, maggiori garanzie sul piano della protezione dei dati personali, prestando particolare attenzione a quelle che includono una pluralità di servizi, non sempre specificatamente rivolti alla didattica.
Infatti, il trattamento di dati effettuato per conto della scuola deve essere limitato a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica online e non deve essere effettuato per finalità ulteriori, proprie del fornitore; in tale quadro, i gestori delle piattaforme non possono condizionare la fruizione dei servizi alla sottoscrizione, da parte di studenti o famiglie, di un contratto o alla manifestazione del consenso al trattamento dei dati per la fornitura di servizi online ulteriori, non collegati all’attività didattica (art. 5, lett. b) GDPR).
Peraltro, il rapporto con il fornitore che effettua il trattamento di dati personali dei genitori, alunni, personale per conto di scuole deve essere regolato con contratto, o altro atto giuridico, ai sensi dell’art. 28 del GDPR.
Nel caso in cui il dirigente ritenga necessario ricorrere a piattaforme che erogano servizi più complessi (anche non rivolti in via esclusiva alla didattica), dovrà attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare.