Buone pratiche per l’applicazione del RGPD nella scuola

Trattamento dei dati personali degli studenti nelle piattaforme didattiche on line

Gli ambienti di apprendimento on line, le piattaforme di e-learning o più in generale tutto quanto rientra nella sigla LMS (Learning Management Systems http://bit.ly/2RsHIdx) sono strumenti indispensabili per una scuola come declinato in molte delle azioni del Piano Nazionale per la Scuola Digitale (PNSD). D’altro canto uno dei principi cardine del RGDP è la minimizzazione del trattamento dei dati (RGPD 679/2016 art. 5 comma c) cioè il trattamento dei dati personali deve essere adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per i quali sono trattati. L’uso delle piattaforme didattiche on line, in generale, richiede il trattamento dei dati personali degli studenti, anche minorenni. Si pone allora il problema di decidere il punto di equilibrio tra l’applicazione del PNSD e il principio di minimizzazione del trattamento. Alla luce di quanto sopra chi scrive ritiene che l’uso di una piattaforma didattica on line alla stregua di un libro di testo o dell’allestimento di uno spazio (fisico) alternativo per l’apprendimento, vada approvato in via preventiva dal Collegio Docenti o, almeno, dal Consiglio di Classe sentito il responsabile per la protezione dei dati. La decisione dovrebbe indicare, tra l’altro, il periodo temporale in cui lo strumento può essere usato per le azioni didattiche. Fanno eccezione le piattaforme on line associate ai libri di testo che, per loro natura, sono approvate contestualmente all’adozione del libro di testo stesso. Un altro dei principi cardine del RGPD è l’integrità e la riservatezza del trattamento dei dati (RGPD 679/2016 art. 5 comma f); i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Nel caso di una piattaforma didattica on line chi è che deve porre in atto le misure tecniche e organizzative adeguate al fine di evitare trattamenti non autorizzati o illeciti? Su questa e molte altre domande occorre decidere. Chi scrive ritiene che non sia possibile formulare una risposta unica per tutte le possibili piattaforme didattiche on line ma che sia necessario analizzarle e decidere caso per caso. Considerato che la scuola mai chiede il consenso ai genitori per il trattamento dei dati ai fini istituzionali (RGDP art. 6 lettera e), prendiamo in esame qualche caso significativo: Caso 0) WhatsApp WhatsApp non è una piattaforma didattica.

Caso 1) piattaforme didattiche gestite dai fornitori che assumono in proprio la responsabilità del trattamento dei dati personali. In genere si tratta delle piattaforme didattiche delle case editrici fornitrici dei libri di testo che assumono in proprio la responsabilità del trattamento dandone discarico alla scuola esattamente come fanno le case che forniscono il registro elettronico. Domande e risposte.

 Chi è il Titolare del trattamento? La scuola rappresentata dal Dirigente Scolastico.  La scuola deve nominare con atto formale il gestore della piattaforma quale Responsabile del trattamento nei modi dell’art. 28 RGPD? Sì.  È necessario informare le famiglie nei modi dell’art.13 RGPD? Sì.  È necessario in consenso delle famiglie? No.  Chi è autorizzato al trattamento dei dati? I docenti formalmente autorizzati e specificatamente istruiti dal Dirigente Scolastico. Caso 2) piattaforme didattiche gestite direttamente dalla scuola. Caso 2a) la piattaforma didattica è operativa in un server della scuola fisico o virtuale. Ad esempio Moodle installato in un server all’interno di laboratorio di informatica della scuola o in un virtual personal server. In questo caso è la scuola che deve provvedere a porre in atto tutte le misure tecniche necessarie per la protezione dei dati personali (principio di responsabilizzazione). Domande e risposte.  Chi è il Titolare del trattamento? La scuola rappresentata dal Dirigente Scolastico.  La scuola deve nominare con atto formale il gestore della piattaforma quale Responsabile del trattamento nei modi dell’art. 28 RGPD? Non si applica non essendoci un gestore esterno.  È necessario informare le famiglie nei modi dell’art.13 RGPD? Sì.  È necessario in consenso delle famiglie? No.  Chi è autorizzato al trattamento dei dati? I docenti formalmente autorizzati e specificatamente istruiti dal Dirigente Scolastico. Caso 2b) la piattaforma è operativa in un computer in housing presso un data center di un internet service provider. Ad esempio Moodle installato in un server di Aruba (o Seeweb, o Altervista, ecc.). In questo caso è il fornitore dei servizi di housing che deve provvedere a porre in atto tutte le misure tecniche necessarie per la protezione dei dati. Domande e risposte.  Chi è il Titolare del trattamento? La scuola rappresentata dal Dirigente Scolastico.  La scuola deve nominare con atto formale il gestore della piattaforma quale Responsabile del trattamento nei modi dell’art. 28 RGPD? Sì, anche se alcuni fornitori come Aruba non assumono il ruolo di Responsabile del trattamento producendo una documentazione atta a dimostrare la sicurezza intrinseca dei loro sistemi e un regolamento interno che impedisce il trattamento illecito dei dati da parte del loro personale. Il Titolare può decidere di validare le procedure proposte avocando a sé la responsabilità in caso di violazione della sicurezza.  È necessario informare le famiglie nei modi dell’art.13 RGPD? Sì.  È necessario in consenso delle famiglie? No.  Chi è autorizzato al trattamento dei dati? I docenti autorizzati e specificatamente istruiti dal Dirigente Scolastico. Caso 3) piattaforme didattiche domiciliate in paesi non soggetti al RGDP.

La scuola, nella qualità di Titolare del trattamento, può usare solo piattaforme didattiche aderenti il RGPD. Il Regolamento, tuttavia, si applica solo nei paesi europei. Molte piattaforme didattiche, domiciliate in paesi non europei, al contrario, trattano i dati non dichiarando la conformità al Regolamento. Se l’uso di queste piattaforme è necessario per il raggiungimento degli obiettivi didattici non rimane che: 1. rapportarsi con responsabile della protezione dei dati per verificare, per quanto possibile, se la politica di privacy è compatibile con il contesto scolastico; 1. invitare i genitori ad iscrivere i loro figli alla piattaforma e, ai fini della privacy, rispondere nella maniera ritenuta più opportuna alle richieste del gestore della piattaforma. È evidente che se il genitore non è d’accordo nell’iscrivere il figlio alla piattaforma didattica la scuola non può obbligarlo; tali piattaforme, di fatto, possono essere usate solo se tutti i genitori sono disponibile a fornire il consenso al trattamento dei dati al gestore della piattaforma (non alla scuola). Caso 4) Suite for Education (G Suite). G Suite offre due tipologie di servizi: Servizi principali di G Suite e Servizi Google aggiuntivi con due diverse politiche della privacy da applicare. Attraverso la console di amministrazione di G Suite >> Applicazioni è possibile ottenere l’elenco delle applicazioni distinto per tipologia. Ad oggi i Servizi principali di G Suite sono: Attività, Calendario, Classroom, Directory, Drive e Documenti, , Sync, , Google Vault, Groups for Business, Hangouts Chat, Service, Keep, Sites. Mentre ad oggi i Servizi aggiuntivi sono: YouTube, Google+, Segnalibri Google, App Maker, Attività web e app, , Centro partner di Libri, , Doubleclick Campaign Manager, , Google AdSense, Google AdWords, Google Alert, , Console, , Google Foto, Google Gruppi, Google Libri, , Google My Business, Google My Maps, Google Payments, Google Play, e molti altri ancora. Distinguendo allora le due tipologie. Servizi principali di G Suite Per i Servizi principali Google assume il ruolo di responsabile del trattamento dati ai sensi dell’art. 28 del Regolamento. Affinché il processo sia formalizzato la scuola deve incaricare Google quale responsabile del trattamento dei dati attraverso la console di amministrazione G Suite >> Profilo aziendale >> Profilo >> termini di servizio per la sicurezza e la privacy. Domande e risposte.  Chi è il Titolare del trattamento? La scuola rappresentata dal Dirigente Scolastico.  La scuola deve nominare con atto formale il gestore della piattaforma quale Responsabile del trattamento nei modi dell’art. 28 RGPD? Sì attraverso la console di amministrazione.  È necessario informare le famiglie nei modi dell’art.13 RGPD? Sì.  È necessario in consenso delle famiglie? No. Nel Documento Google https://support.google.com/a/answer/6356509?hl=it infatti leggiamo: “Le scuole possono scegliere di ottenere il consenso anche per i Servizi principali: come buona

prassi, la scuola può anche decidere di chiedere ai genitori o tutori l'autorizzazione all'uso dei Servizi principali abilitati dalla scuola. In caso contrario, è la scuola che fornisce il consenso per i Servizi principali per conto dei genitori registrandosi a tali servizi di G Suite for Education e utilizzandoli.” La scuola, infatti, non è tenuta a richiedere il consenso per il trattamento dei dati personali ai fini istituzionali (RGDP art. 6 lettera e) anche per evitare che il diniego di un singolo genitore, di fatto, impedisca l’uso dei servizi principali di G Suite nelle azioni didattiche rivolte alle intere classi anche se deliberate dagli organi collegiali.  Chi è autorizzato al trattamento dei dati? I docenti formalmente autorizzati e specificatamente istruiti dal Dirigente Scolastico. Servizi aggiuntivi Per i servizi aggiuntivi Google NON assume il ruolo di responsabile del trattamento dati dovendo in questo caso lo studente (o chi ne fa le veci) rapportarsi direttamente con Google ai fini della privacy negli stessi modi e termini di un account privato. Google, infatti, nel documento https://support.google.com/a/answer/6356509?hl=it scrive:  “G Suite for Education offre due categorie di servizi Google: i Servizi principali (come Gmail, Drive, Calendar e Classroom), forniti nell'ambito del contratto G Suite for Education con la scuola, e i Servizi aggiuntivi (come YouTube, Maps e Blogger), che sono progettati per gli utenti "consumer" e possono essere utilizzati con gli account G Suite for Education se autorizzati per fini didattici dall'amministratore di dominio della scuola”  “Per i Servizi aggiuntivi è richiesta l'autorizzazione per i minori: G Suite for Education richiede contrattualmente (sezione 2.5) che le scuole ottengano l'autorizzazione dei genitori o dei tutori dei minori di 18 anni per l'utilizzo di qualsiasi Servizio aggiuntivo autorizzato dalla scuola.” E nel documento https://gsuite.google.com/terms/education_privacy.html Google precisa:  “Le informazioni personali degli utenti raccolte nei Servizi principali vengono utilizzate al solo scopo di fornire all'utente i Servizi principali.”  “Utilizziamo inoltre queste informazioni per offrire agli utenti contenuti personalizzati quali, ad esempio, risultati di ricerca più pertinenti. Possiamo unire le informazioni personali derivanti da un servizio a quelle (comprese le informazioni personali) di altri servizi Google. Google può pubblicare annunci rivolti agli utenti di G Suite for Education nei Servizi aggiuntivi.” Per questo chi scrive ritiene che la scuola dovrebbe disabilitare i servizi aggiuntivi (attraverso la console di amministrazione) o, in alternativa, considerare i servizi aggiuntivi alla stregua del caso 3) già visto.