LA SCUOLA TRA DIDATTICA A DISTANZA E TUTELA DELLA PRIVACY.
Conflitti e bilanciamenti, necessità e opportunità: rapporti critici ma contemperabili.
Quinzone Garofalo Silvio
Abstract: l’Italia, ancor prima degli altri Paesi a livello mondiale, ha dovuto affrontare l’improvvisa epidemia da Covid-19. Tra gli altri settori sociali, pertanto, anche il sistema scolastico nazionale, come tutti gli altri settori, è stato oggetto di misure urgenti in materia di contenimento e gestione dell’emergenza al fine di provvedere al proseguimento del percorso di apprendimento degli studenti oltre che di una serie di altre attività non più esercitabili in presenza, per il sopraggiungere della sospensione delle attività didattiche, con l’attivazione della modalità di didattica a distanza (DPCM 8 marzo 2020). In tale contesto del tutto nuovo ed inedito, in molti si sono premurati di prestare particolare attenzione, tra l’altro, alla sicurezza e alla protezione dei dati personali ed alla tutela della privacy di tutti gli attori coinvolti nelle predette attività online. A tal riguardo, nel presente lavoro, si approfondisce il rapporto tra didattica a distanza (Dad) e privacy nell’ottica di un possibile e costruttivo contemperamento (anche in rapporto all’attuale trend dei big data), ma si evidenzia anche l’azione di supporto alle istituzioni scolastiche che hanno avuto il Ministero dell’Istruzione e il Garante per la protezione dei dati personali con l’adozione di congiunte, ovvero separate, indicazioni e linee guida sulla didattica digitale integrata. Ciò proprio al fine di fornire linee di indirizzo comuni e principi generali per l’implementazione della didattica digitale integrata, individuando i profili di responsabilità di particolari attori e le misure organizzative da adottare, con particolare riguardo alle specifiche esigenze degli studenti con disabilità e proprio ai profili di sicurezza e protezione dei dati personali, sulla base di quanto previsto dal Regolamento (UE) 2016/679.
Abstract: Italy, even before other countries worldwide, had to face the sudden epidemic of Covid-19. Among the other social sectors, therefore, also the national school system, like all other sectors, has been the subject of urgent measures regarding the containment and management of the emergency in order to provide for the continuation of the students’ learning path as well as a series of other activities that can no longer be exercised in person, due to the suspension of teaching activities, with the activation of the distance teaching method (DPCM 8 March 2020). In this completely new and unprecedented context, many have taken care to pay particular attention, among other things, to the security and protection of personal data and the protection of the privacy of all the actors involved in the aforementioned online activities. In this regard, in this work, he deepens the relationship between distance learning (Dad) and privacy with a view to a possible and constructive reconciliation (also in relation to the current trend of big data), but also the action of support to educational institutions that have had the Ministry of Education and the Guarantor for the protection of personal data with the adoption of joint, or separate, indications and guidelines on integrated digital teaching. This is precisely in order to provide common guidelines and general principles for the implementation of integrated digital teaching, identifying the profiles of responsibility of particular actors and the organizational measures to be adopted, with particular regard to the specific needs of students with disabilities and precisely to security profiles and protection of personal data, based on the provisions of Regulation (EU) 2016/679.
Sommario: 1. La didattica a distanza: l’inaspettato e necessario potenziamento di tale strumento organizzativo-metodologico – 2. Istituzioni scolastiche alle prese con la Dad e la nuova modalità di gestione dei dati personali: le iniziative di supporto del Ministero dell’Istruzione – 3. La protezione dei dati nella didattica a distanza secondo il Garante della privacy: profili critici e prime indicazioni – 4. La didattica a distanza nell’era dei big data: i rischi e le adeguate misure tecniche ed organizzative di sicurezza e controllo – 5. Considerazioni conclusive: un contemperamento possibile.
1. La didattica a distanza: l’inaspettato e necessario potenziamento di tale strumento organizzativo-metodologico.
La rivoluzione innovativo-digitale che ha improvvisamente e forzatamente investito il mondo scolastico, a causa dell’emergenza sanitaria determinata dal sorgere e permanere della pandemia da COVID-19, ha trasformato l’approccio alle metodologie didattiche e all’interazione fra insegnamento ed apprendimento, coinvolgendo non solo i protagonisti diretti e principali, discenti1 e docenti, ma anche le famiglie degli studenti, le istituzioni centrali e locali e i dirigenti scolastici. Quest’ultimi, in particolare, sono stati sollecitati sotto l’aspetto della necessità di dover approntare una nuova gestione organizzativa delle risorse umane, finanziarie e strumentali2, con tutti i rischi e gli aspetti critici di un repentino cambiamento, in uno scenario completamente nuovo.
Uno degli aspetti sensibili che è emerso nel contesto della didattica a distanza è certamente la grande attenzione alla gestione, sicurezza e protezione dei dati personali ed alla tutela della privacy di tutti gli attori coinvolti nelle predette nuove modalità di svolgimento delle attività didattiche, attraverso l’utilizzo di tecnologie informatiche e piattaforme di e-learning di condivisione sul web, tra l’altro, sempre più diffuse e performanti, maggiormente in uso in ambienti/settori della formazione a distanza di livello professionale o accademico ovvero legate a social network.
La modalità delle lezioni online, che per la stragrande maggioranza delle scuole è stato un impegno straordinario e in consueto ma fronteggiato in tempi record, è stata una scelta inevitabile su tutto il territorio nazionale nell’insorgere dell’emergenza sanitaria ed indubbiamente ha permesso (e permette) di garantire almeno una certa continuità nelle attività didattiche, consentendo di raggiungere nelle proprie case gli alunni sin dal primo periodo in cui è stata sospesa la tradizionale attività didattica in presenza, progettuale, che prevede la compartecipazione di tutti gli allievi e degli insegnati in una classe fisica(in particolare, a decorrere dal 5 marzo 2020 come previsto dal D.P.C.M. 4 marzo 2020)3, ma allo stesso tempo è stata causa di difficoltà e disagi, non solo tecnico-pratici dovuti a strumentazione inadatta, per molti studenti e docenti sia perché non avvezzi all’uso della nuova strumentazione sia perché – nella stragrande maggioranza dei soggetti coinvolti – è mancata una adeguata e necessaria preparazione, così da dover porre al centro del dibattito scientifico, pedagogico e metodologico alcuni aspetti critici connessi all’uso della didattica a distanza/integrata.
Tra questi ultimi, vi è il delicato rapporto tra questa metodologia didattica e il trattamento dei dati personali4, la normativa in materia di privacy, la gestione di categorie particolari di dati, inerenti una moltitudine di minori, e soggetti ad un’aumentata esposizione e potenziali possibili abusi. Infatti, se già prima della pandemia da Covid-19 molti passavano tante ore della giornata “sui social” quasi come se fosse la modalità ordinaria di rapportarsi ai coetanei ovvero socializzare con il mondo circostante, questa situazione si è amplificata, tra l’altro, proprio con la chiusura delle scuole e la conseguente maggiore permanenza a casa dei ragazzi e tempo a disposizione. Ma il principale viatico del rapporto tra minori e social network è l’odierna semplicità ed immediatezza di raggiungibilità dei secondi da parte dei primi, attraverso dispositivi informatici – fissi e mobili – che sono nella loro disponibilità sin dall’adolescenza (Computer, notebook, smartphone, palmari, tablet).
Pur volendo tralasciare, per economia del lavoro, le varie definizioni e terminologie legate al trattamento dei dati personali e la tutela della privacy – per le quali si rimanda alla normativa vigente (in particolar modo: articolo 4 e ss. del Regolamento (UE) 2016/6795) – non ci si può esimere dall’inquadrare almeno l’elemento principale del perimetro di riferimento, cioè la raccolta, gestione, possesso, circolazione e protezione dei dati personali. Questi, in correlazione all’evoluzione delle nuove tecnologie, in relazione alle quali gli stessi hanno assunto un ruolo nuovo e sempre più significativo, nelle comunicazioni elettroniche (via web, telefono, social network ecc.) e per mezzo dei quali non si hanno solo “informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.”, ma consentono, altresì, la geolocalizzazione dei soggetti/utenti, fornendo informazioni sui luoghi frequentati, di interesse sugli spostamenti nonché l’incontrollabile diffusione di immagini e video di studenti e docenti sui social.
La questione appena delineata si impernia nel contemperamento dei vari interessi pubblici e privati in gioco: in primis il diritto all’istruzione costituzionalmente garantito (art. 34 Cost.) e il diritto alla protezione dei dati personali, diritto fondamentale dell’individuo ai sensi, tra gli altri, della Carta dei diritti fondamentali dell’Unione europea (art. 8) e oggi tutelato, principalmente, dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati – GDPR), dal Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il Decreto legislativo 10 agosto 2018, n. 101, oltre che da vari altri atti normativi italiani e internazionali.
2. Istituzioni scolastiche alle prese con la Dad e la nuova modalità di gestione dei dati personali: le iniziative di supporto del Ministero dell’Istruzione.
L’uso della didattica a distanza6 per il tramite delle più comuni e specifiche piattaforme educative (es. Edmodo, Google suite, WE school e microsoft office 365 education) ovvero altri prodotti e strumenti digitali per la scuola, ha comportato precipuamente una gestione diversa dei dati – anche sensibili – già in possesso delle istituzioni scolastiche (rilasciati al momento dell’iscrizione alle stesse, con procedura online, tra l’altro, obbligatorie dall’a. s. 2012/13), ma con tutte le implicazioni in rapporto proprio alla nuova e recente disciplina obbligatoria ed uniforme della tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, adottata a livello europeo con il citato Regolamento 2016/6797, in particolare sotto il profilo della responsabilità e del connesso sistema sanzionatorio che coinvolge l’ambito penale, amministrativo e civile.
In uno scenario completamente inedito ed in via di definizione, anche dal punto di vista operativo, nella consapevolezza che tutto ciò che si andava approntando non avrebbe per niente potuto (né può mai) sostituire ciò che avviene quotidianamente in una classe tradizionale, con tutte le interrelazioni in presenza, si è trattato di dare vita – obtorto collo– ad un “ambiente di insegnamento/apprendimento” per così dire virtuale interattivo.
Ebbene, in pratica, nel primo step è stato necessario registrare dati in proprio possesso sulle predette piattaforme, poi predisporre classi virtuali (cd. Virtual classroom) e, a tal proposito, creare, gestire e custodire account e credenziali associati a studenti e docenti, per il tramite di procedure di identificazione e di autenticazione informatica degli stessi, ciò al fine di proiettare online la tradizionale lezione, i compiti e le verifiche, così come i colloqui unitamente a tutte le altre attività para-didattiche. In relazione alle prime attività, si è dovuto anche provvedere al tracciamento delle stesse, il più delle volte attraverso registrazioni (dunque produzione di video, dai quali si possono anche ritagliare immagini ed audio), ai fini della validità di quanto svolto, con la conseguente problematicità della gestione e conservazione di tutta una serie di dati ed informazioni salvati in diverse forme con l’ausilio di adeguati strumenti.
Nella predetta fase, tante, certamente, sono state le perplessità circa il problema della memorizzazione, della custodia e della sicurezza di tutti i predetti dati immessi per utilizzare le piattaforme di scopo, che per lo più sono di proprietà di multinazionali che hanno sede fuori dal nostro Paese. Un problema che resta sicuramente aperto e lo sarà anche dopo che si rientrerà nella normalità della didattica in presenza, proprio in rapporto alla tutela della mole di dati “immessi/trasmessi in rete”.
Va però detto, che è sicuramente vero che gli operatori scolastici sono stati catapultati improvvisamente in prima linea nell’affrontare questo improvviso scenario pandemico, ma è vero anche che le istituzioni amministrative centrali e periferiche hanno fatto la loro parte.
Il Ministero dell’Istruzione, nelle figure dei Capi Dipartimenti centrali e del Ministro, è da subito intervenuto in maniera attenta ed attiva. Non a caso, infatti, già nel citato DPCM dell’8 marzo 2020, recante “Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19”, è stata inserita un’oculata previsione di attivazione della Dad, con un riferimento particolare alla tematica dell’inclusione scolastica: “i dirigenti scolastici attivano, per tutta la durata della sospensione delle attività didattiche nelle scuole, modalità di didattica a distanza avuto anche riguardo alle specifiche esigenze degli studenti con disabilità” (art. 2 lett. m). A tal proposito, come visto, i successivi provvedimenti adottati dall’Esecutivo, finalizzati ad assicurare una gestione dell’emergenza adeguata all’evolversi della situazione, hanno disposto la sospensione delle attività didattiche, prevedendo l’attuazione di modalità di insegnamento/apprendimento a distanza, ribadendo la particolare attenzione alle specifiche esigenze degli studenti con disabilità8.
In riferimento alla disposizione appena richiamata, il Ministero dell’Istruzione, dunque, al fine di supportare le Istituzioni scolastiche coinvolte nel ricorso a metodologie didattiche a distanza e di offrire soluzioni tecnologiche che consentissero di mettere in contatto docenti e studenti, ha predisposto due call (note prot. n. 169 e 170 del 28.02.2020) per tutte le realtà che volessero sostenere le iniziative di didattica a distanza che erano in fase di attivazione a seguito della chiusura delle scuole, inizialmente solo in alcune zone d’Italia, per l’emergenza coronavirus. In particolare modo, lo stesso Dicastero con uno specifico avviso (nota prot. n. 394 del 16.03.2020) sempre a causa dell’emergenza epidemiologica da COVID-19, ha invitato tutti gli operatori di mercato produttori di servizi, strumenti tecnologici, applicativi o dispositivi, funzionali sia alle esigenze didattiche degli studenti con disabilità sia a quelle dei docenti, al fine di rendere gli stessi disponibili, a manifestare la propria di disponibilità a sostenere le iniziative di supporto per l’inclusione a distanza di alunni con disabilità.
Si legge nelle predette note che i soggetti interessati, nella fase di adesione attraverso la piattaforma “Protocolli in rete”, avrebbe dovuto dichiarare, tra l’altro, “il possesso dei requisiti di sicurezza, affidabilità, scalabilità e conformità alle norme sulla protezione dei dati personali, esplicitando il divieto di utilizzo a fini commerciali e/o promozionali di dati, documenti e materiali di cui gli operatori di mercato entrano in possesso per l’espletamento del servizio (per le piattaforme di fruizione di contenuti didattici e assistenza alla community scolastica)”.
Come si evince proprio dal tenore testuale delle predette avvertenze, si evince che sin dalle prime azioni poste in essere è stata prestata attenzione all’aspetto della tutela dei dati personali dei soggetti coinvolti, in particolare dei più sensibili ed esposti, ma anche facendo esplicito riferimento alla documentazione, dati ed informazioni messi nella disponibilità non solo dei gestori/titolari delle piattaforme ma anche degli utilizzatori/utenti delle stesse.
Inoltre, il Ministero ha invitato, altresì, tutti i produttori di hardware (a titolo esemplificativo, PC, tablet, internet key) e di software a rendere disponibili a titolo gratuito i propri prodotti per le finalità sopra rappresentate, manifestando la propria disponibilità attraverso la dedicata piattaforma “Protocolli in rete”. Sempre per la medesima finalità di cui sopra, sono state attivate pagine web dedicate all’emergenza Covid-19 (www.istruzione.it/coronavirus/news.html)9, assistenza alla community scolastica in riferimento alle piattaforme e gli strumenti software di fruizione di materiali multimediali, piattaforme di collaborazione online, varie community e diffuse faq di chiarimento10.
A tale attività di supporto sono seguite delle note contenenti indicazioni operative, tra le quali, la nota prot. 388 del 17.03.202011in cui, tra l’altro, si approfondisce anche l’aspetto della “questione privacy”, appena accennata (nei termini sopra riportati) nelle note precedenti.
In tale nota, infatti, si prende posizione rispetto a problematiche, sia pratiche che giuridiche, alle quali cenno, con riserva di approfondirle di seguito:
-
Individuazione della base giuridica del trattamento dei dati personali nello svolgimento di un tra i compiti istituzionali delle istituzioni scolastiche, quale la didattica, sia pure in modalità “virtuale” e non nell’ambiente fisico della classe e, pertanto, sono state ritenute superflue le richieste di consenso per la finalità didattica;
-
Obblighi di informativa di cui agli artt. 13 e 14 del Regolamento UE 2016/679- GDPR;
-
Stipula di contratti o atti di individuazione del responsabile del trattamento ai sensi dell’articolo 28 del GDPR, il quale tratta i dati personali necessari per l’attivazione della modalità didattica a distanza per conto delle istituzioni scolastiche, presentando delle “garanzie sufficienti” per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del medesimo regolamento e garantisca la tutela dei diritti dei soggetti interessati.
-
Sottoporre i trattamenti dei dati personali coinvolti a Valutazione di impatto privacy ai sensi dell’articolo 35 del GDPR (Data Privacy Impact Assessment o «DPIA»).
Or dunque, importantissimi aspetti che, infatti, vengono ripresi e sviluppati dal Ministero dell’Istruzione con una successiva nota (prot. 11600 del 3 settembre 2020), con la quale ha diffuso, in materia di didattica digitale integrata e tutela della privacy, le proprie “indicazioni generali” relative ai principali aspetti della disciplina in materia di protezione dei dati personali in relazione alla didattica digitale integrata (Ddi).
Tali indicazioni generali fanno seguito al Decreto del Ministro dell’Istruzione n. 89 del 7 agosto 2020, recante “Adozione delle Linee guida sulla Didattica digitale integrata, di cui al
Decreto del Ministro dell’Istruzione 26 giugno 2020, n. 39”, adottato a supporto delle istituzioni scolastiche e nel quale sugli aspetti relativi al trattamento dei dati personali, il Ministero dell’istruzione, rimanda appunto alla predisposizione – in collaborazione con l’Autorità Garante per la protezione dei dati personali – di un apposito documento di dettaglio contenente indicazioni specifiche.
Ebbene, le linee generali in parola sono state predisposte da un Gruppo di lavoro congiunto tra Ministero dell’istruzione e l’Ufficio del Garante per la protezione dei dati personali (Decreto del Capo di Gabinetto prot. n. 1885 del 05.06.2020), al fine di fornire linee di indirizzo comuni e i principi generali per l’implementazione della Ddi, con particolare riguardo ai profili di sicurezza e protezione dei dati personali, sulla base di quanto previsto dal Regolamento (UE) 2016/679.
Ciò che rileva dalla lettura delle predette linee di indirizzo comuni e principi generali per l’implementazione della Ddi, con particolare riguardo agli aspetti inerenti alla sicurezza in rete e alla tutela dei dati personali, è in primis il ruolo del singolo dirigente scolastico a cui spetta (quale titolare del trattamento), con il supporto del Responsabile della protezione dei dati personali (RPD), sentito il Collegio dei Docenti, la scelta, le modalità e la regolamentazione degli strumenti e dei relativi servizi più adeguati al trattamento dei dati personali del personale scolastico, degli studenti e loro familiari per la realizzazione della Ddi, assicurandone la trasparenza mediante l’informativa a tutte le predette categorie di interessati nonché misure atte ad evitare che vengano trattati per finalità diverse ed ulteriori non autorizzate e che siano riconducibili al fornitore, l’utilizzo improprio e la diffusione illecita oltre il verificarsi di accessi non autorizzati, dispersione di dati e azioni di disturbo durante lo svolgimento della didattica.
Viene ribadito che il trattamento dei dati personali da parte delle scuole è necessario in quanto collegato all’esecuzione di un compito di interesse pubblico svolto, nell’emergenza epidemiologica, secondo modalità operativa supportate dalla normativa e rientranti, comunque, nell’ambito degli ordinamenti scolastici vigenti, per cui il consenso specifico dei genitori, non è richiesto per tale attività istituzionale, sia pur svolta in ambiente virtuale.
Gli altri principali aspetti affrontati dalla disciplina in esame, a parte il richiamo alla informativa “in forma sintetica e con un linguaggio facilmente comprensibile anche dai minori” ex artt. 13 e 14 del Regolamento UE 2016/679, attengono alla limitazione della conservazione dei dati personali ai sensi dell’art. 5, lettera e) del regolamento, sottolineando che “il titolare del trattamento è chiamato ad assicurare che i dati non siano conservati più a lungo del necessario, ad esempio, disponendo che i dati siano cancellati al termine del progetto didattico”. Ci si sofferma, altresì, sul ruolo dei fornitori ai quali il titolare del trattamento dei dati personali (scuola), che gestiscono dei servizi per la Ddi e che comportino il trattamento di dati di personale scolastico, studenti e/o dei loro familiari per conto della scuola stessa, per i quali è prevista la nomina quali responsabili del trattamento con contratto o altro atto giuridico (art. 28 del Regolamento), con conseguente indicazione di tale circostanza nel registro dei trattamenti (art. 30 del Regolamento).
Si raccomanda, altresì, l’adozione di misure tecniche e organizzative legate alla sicurezza12 sulla base del rischio, alla luce di quanto previsto dal citato Regolamento, anche avvalendosi della consulenza offerta dal proprio RPD nonché per mezzo degli stessi fornitori designati, per l’appunto, responsabili del trattamento. Nell’ambito di tali misure è consigliata anche una generale azione di sensibilizzazione verso i “soggetti intestatari di utenze, come gli studenti e i genitori, sul corretto utilizzo del proprio account, fornendo specifiche istruzioni da declinare con un linguaggio chiaro e comprensibile in ragione delle fasce di età degli utenti”.
Si conclude con un’indicazione circa la configurazione delle piattaforme e degli strumenti tecnologici per l’erogazione della Ddi che consentano il trattamento dei soli dati personali necessari alla finalità didattica, in modo da prevenire che informazioni relative e/o associate, in via diretta o indiretta, alla vita privata dei dipendenti, dei discenti, vengano, anche solo accidentalmente, raccolte, il tutto in funzione di garantire il rispetto della libertà di insegnamento dei docenti (art. 33 Cost.)13. A tal proposito viene anche specificato l’utilizzo della webcam, per mezzo della quale il docente verifica se l’alunno segue la lezione, che deve anch’esso “avvenire nel rispetto dei diritti delle persone coinvolte e della tutela dei dati personali e dei diritti delle persone coinvolte”.
Vi è una ultima specificazione circa la già richiamata valutazione di impatto (DPIA)che deve essere effettuata solo se e quando ricorrono i presupposti dell’articolo 35 del Regolamento. Tale valutazione di impatto generalmente non è richiesta visto che una scuola poiché, in genere, non effettua trattamenti di dati personali su larga scala, considerato che l’utilizzo di un servizio online di videoconferenza o di una piattaforma non consente il monitoraggio sistematico degli utenti o, comunque, non si ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici). Viceversa, la DPIA va effettuata, nel caso in cui l’istituzione scolastica sceglie di far ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare ma che comportano un rischio elevato per i diritti e le libertà delle persone fisiche.
3. La protezione dei dati nella didattica a distanza secondo il Garante della privacy: profili critici e prime indicazioni.
Nel particolare momento emergenziale, come anticipato, la tematica in esame ha suscitato non poche perplessità tra gli operatori del mondo della scuola e i relativi utenti (alunni e loro famiglie) e per ciò solo, ha generato l’interessante dibattito circa le modalità operative da porre in essere al fine di garantire l’adozione delle misure più adeguate e caute possibili.
Non a caso, sulla questione è intervenuto anche il Garante della protezione dei dati personali, proprio a seguito, si legge nelle premesse del provvedimento del 26 marzo 2020 (doc. web n. 9300784), delle “segnalazioni e i quesiti pervenuti al Garante da parte di responsabili della protezione dei dati di istituti scolastici, associazioni, docenti e famiglie in ordine alle modalità di trattamento dei dati personali effettuato nel predetto contesto emergenziale e agli adempimenti necessari a rispettare il Regolamento e il Codice”.
Il Garante, or dunque, a seguito di numerose e sentite richieste di pareri, ha ritenuto l’opportunità di intervenire, ai sensi dell’art. 57, par. 1, lett. b) e d), del Regolamento (UE) 2016/67914, che attribuisce al Garante il compito di promuovere la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, con particolare attenzione alle attività destinate specificamente ai minori, nonché agli obblighi imposti ai titolari e i responsabile del trattamento, fornendo al sistema scolastico (ma anche alle università, alle istituzioni di Alta Formazione Artistica Musicale e Coreutica), ai docenti, alle famiglie e agli studenti, talune prime utili indicazioni, contribuendo a delineare il predetto contemperamento delle opposte esigenze, proprio nella prima fase emergenziale in cui sono state avviate – d’urgenza e per necessità sopra rappresentare – le iniziative di didattica a distanza.
Infatti, l’intento del Garante è stato quello di contribuire ad una migliore gestione della didattica online e, contemporaneamente, rafforzare la corretta e quanto più possibile oculata gestione dei dati personali di tutti i soggetti coinvolti, garantendo la tutela del trattamento, in particolare in riferimento a quelli dei minori, nell’intento di abbattere i rischi di abusi e violazioni dovuti ad un uso improprio e poco consapevole della strumentazione digitale utilizzata – per alcuni addirittura del tutto nuova – al servizio della non facile modalità di esercizio del diritto allo studio.
Nel merito delle indicazioni redatte nella predetta nota del Garante della privacy, sene riproduce la seguente sintesi:
-
Nessun bisogno di un nuovo consenso per finalità istituzionali:
Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei, che vengono solo erogate con un mezzo ed una modalità diversa dalla tradizionale, cioè con strumentazione digitale-tecnologica per cui non occorre una base giuridica nuova del trattamento dei suddetti dati.
-
Scelta e regolamentazione degli strumenti di didattica a distanza:
Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza, scuole (ma anche università) dovranno orientarsi verso strumenti che abbiano, fin dalla progettazione e per impostazioni predefinite, misure a protezione dei dati. Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle predette istituzioni, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.
-
Ruolo dei fornitori dei servizi on line e delle piattaforme utilizzate:
Se la piattaforma prescelta comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto del data controller (scuole), il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico (ad esempio, nel caso di gestione del registro elettronico da parte del fornitore, dal quale lo stesso tragga i dati per conto della scuola). Nel caso, invece, in cui si ritenga necessario ricorrere a piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, si dovranno attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad esempio, geolocalizzazione e social login).
-
Limitazione delle finalità del trattamento dei dati:
Le istituzioni scolastiche dovranno assicurarsi che i dati trattati dal fornito per loro conto siano utilizzati solo per la didattica a distanza, limitandosi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica online e non per eventuali ulteriori finalità.
Va garantita una specifica protezione dei dati personali dei minori, i meno consapevoli dei rischi, delle conseguenze del non consapevole utilizzo dei servizi e dei loro diritti, ai quali non vanno offerti ulteriori servizi online non legati alla didattica a distanza e men che mai i loro dati dovranno essere inseriti in canali di marketing o di profilazione.
-
Correttezza e trasparenza nell’uso dati, in particolare dei soggetti deboli:
Va garantita la trasparenza e la correttezza del trattamento, attraverso una chiara informativa gli interessati (alunni, genitori e docenti), con un linguaggio comprensibile anche ai minori, riguardo, in particolare, alle caratteristiche essenziali del trattamento che viene effettuato e che, relativamente ai docenti, nel rispetto della disciplina sui controlli a distanza, dovrà fermarsi allo strettamente necessario e, comunque, senza effettuare indagini sulla sfera privata.
Riguardo all’azione del Garante della privacy sulla tematica in argomento, si ritiene opportuno segnalare, altresì, che in data 8 luglio 2020 il Presidente del Garante per la protezione dei dati personali, Antonello Soro, in occasione dell’audizione presso la Commissione parlamentare per l’infanzia e l’adolescenza della Camera dei deputati nell’ambito dell’indagine conoscitiva sulle forme di violenza fra i minori e ai danni di bambini e adolescenti, ha affermato:
“Particolare attenzione dovrà essere prestata – in caso di approvazione del ddl – alla realizzazione sia dell’app offerta dal servizio emergenza infanzia 114 per l’assistenza delle vittime, sia alle piattaforme di formazione e monitoraggio del fenomeno, messe a disposizione delle scuole dal Ministero dell’istruzione. Dal momento che entrambi questi sistemi coinvolgerebbero un flusso di dati delicatissimi, inerenti minori anche vittime di reato, è necessario delinearne l’architettura in modo da garantire la massima riservatezza delle informazioni trattate, per evitarne esfiltrazioni o accessi indebiti, suscettibili di determinare fenomeni di vittimizzazione secondaria da non sottovalutare”.
Precedentemente (il 4 maggio 2020) il Presidente del Garante per la protezione dei dati personali aveva già scritto una lettera15 al Ministro dell’istruzione, On.le Lucia Azzolina, con riferimento alla disciplina dell’utilizzo del registro elettronico, quale prezioso strumento di comunicazione tra i docenti e le famiglie, tanto più nel momento attuale, caratterizzato dalla sostituzione dell’attività didattica “in presenza” con quella “a distanza”, ponendo all’attenzione della stessa la necessita di provvedere al perfezionamento della disciplina di settore, al fine di una più stretta interazione tra insegnanti, studenti e loro genitori, per la quale il registro on-line si presenta è sicuramente funzionale. con specifico riferimento ai minori, il Garante della privacy, ha evidenziato che il “novero assai rilevante – in termini quantitativi e qualitativi – di dati personali, esige l’adozione di tutte le cautele idonee a evitare o, quantomeno, minimizzare, i rischi di esfiltrazione, trattamento illecito, anche solo alterazione dei dati stessi. Si rileva, altresì, che il registro elettronico, non è privo di problemi, essendo fornito da soggetti già designati responsabili del trattamento – “potrebbe rappresentare lo strumento elettivo mediante cui realizzare (almeno) una parte significativa dell’attività didattica, riducendo proporzionalmente il ricorso a altre e diverse piattaforme, che oltretutto non sempre si limitano all’erogazione di servizi funzionali all’attività formativa”.
Proprio nel senso auspicato dal Garante della privacy, di recente (27 aprile 2020) il Ministero dell’istruzione ha già adottato l’applicativo “Registro Elettronico per la Scuola in Ospedale ed Istruzione Domiciliare – RESO”16 al fine di favorire l’accesso ai documenti didattici degli studenti ospedalizzati e domiciliati. Tutti i documenti e le informazioni sull’attività didattica svolte nelle strutture ospedaliere e presso il proprio domicilio devono sono resi disponibili anche alle scuole di appartenenza e/o affidatarie e agli altri utenti autorizzati, quali i genitori. Pertanto, considerato che l’applicativo “RESO” è ad oggi in esercizio a carattere sperimentale e non obbligatorio, per tutte le scuole polo regionali, per poi essere disponibile e utilizzato – come da previsione ministeriale – in via ordinaria (inizialmente sempre a carattere non obbligatorio) a tutte le scuole in tempo utile per l’avvio del prossimo anno scolastico (2021/2022), ci sono buone possibilità che alla fine della specifica sperimentazione, facendo tesoro dell’attività svolta nel periodo di emergenza sanitaria da COVID-19 e degli esiti della stessa, lo stesso sistema informatizzato sia esteso, a partire da una fase sperimentale, a tutta l’attività didattica a distanza.
Da ultimo e a dimostrazione del fatto che il Garante della privacy, nell’ambito della tematica della sicurezza dello spazio cibernetico, la protezione dei dati e il rapporto con le infrastrutture di cui è composto l’ecosistema digitale, mantiene alta l’attenzione proprio sui minori (soggetti deboli per antonomasia) e l’utilizzo di piattaforme e social network(Facebook, Instagram, WhatsApp, YouTube, Twitch e Twitter), si richiamano gli interventi aventi ad oggetto uno dei più diffusi e recenti di questi, Tik Tok17, e al correlato rischio per la privacy degli utenti minorenni, promuovendo accertamenti in ordine alle garanzie di sicurezza offerte, anche e soprattutto con riferimento ai dati dei più piccoli. Oltre ai primi interventi18, è proprio di questi giorni una nuova rigida presa di posizione del Garante per la protezione dei dati personali nei confronti di Tik Tok, di cui ha disposto un provvedimento di blocco19 immediato dell’uso dei dati degli utenti per i quali non sia stata accertata con sicurezza l’età anagrafica, alla luce della tragica vicenda di una bambina di 10 anni deceduta a seguito di pratiche emulative messe in atto in relazione alla sua partecipazione alla predetta piattaforma.
4. La didattica a distanza nell’era dei big data: i rischi e le adeguate misure tecniche ed organizzative di sicurezza e controllo.
La didattica a distanza, come rilevato, si poggia su una serie di strumentazioni tecnologico-digitali, caratteristica propria del settore della formazione e-learning, che – tra l’altro – domina un numero sempre maggiore di attività umane, generando e rendendo disponibili enormi quantità di dati, provenienti da fonti più diversificate, che sono soggetti a varie operazioni: visualizzazioni, filtraggio, registrazione, condivisione, trattamenti, trasferimenti, analisi, ecc. diventando parte attiva della conoscenza veicolata sul Web.
L’aumento dei dati digitali a propria disposizione, dunque, è direttamente proporzionale all’aumento degli utenti e delle loro attività, che anche nel caso della didattica a distanza sono tutti utilizzati, in maniera integrata, per la formazione e lo sviluppo delle competenze. Queste modalità sono rese possibile dai big data20, uno dei trend tecnologici al centro delle evoluzioni più profonde e pervasive del mondo digitale, destinato ad incidere profondamente sulla nostra vita21 e, per ciò solo, foriero di un fervido ed attuale dibattito concerne non solo la gestione, l’analisi ed il riutilizzo di grandi quantità di dati ma, in particolar modo, la condivisione volontaria dei dati personali (nomi, cognomi, genere, età ed altro), il loro uso, potenzialità, limiti e rischi.
Il termine big data è usato, infatti, in riferimento al trattamento di una mole di dati così vasta e tanto complessa che sarebbe semplicemente impossibile da gestire manualmente, o anche solo tramite i tradizionali processi di elaborazione dati. Alla base dei big data c’è proprio la necessità di gestire gruppi e sotto-gruppi di dati derivanti dalle informazioni che è possibile ottenere in conseguenza dell’analisi e dalle correlazioni stabilite tra loro, per identificare, fissare, far emergere risultati da utilizzare in maniera produttiva e a vantaggio di chi sa come impiegarli. Una modalità che punta sull’accuratezza dei dettagli e alla minimizzazione degli errori, alla precisione delle tecniche di analisi statistiche, consentendo di tener conto di numerose variabili e pervenire ad una visione d’insieme o particolare, altrimenti non ottenibile.
Or dunque, quando si dice “big data” si dice “database”, sinonimo, soprattutto di vasta disponibilità, nel breve e nel lungo periodo, di informazioni e dati – anche sensibili – correlata ad una serie di preoccupazioni e interrogativi circa l’uso che di questi è possibile fare. Il fenomeno in questione è certamente connesso a quello del moltiplicarsi delle identità digitali (da ultimo l’obbligo di dotarsi della SPID – Sistema Pubblico di Identità Digitale – per interagire con la PA e i relativi servizi) ovvero delle identità virtuali proposte dai siti web ai propri utenti, con un’ulteriore complicazione dei trattamenti dei dati in parola.
Ecco perché l’incremento esponenziale della didattica a distanza, tra le tecnologie dell’informazione, della formazione e della comunicazione, deve fare i conti anche con questo aspetto tanto delicato quanto critico22. Per l’esercizio della modalità di apprendimento in argomento, come di altre fattispecie ad essa complementare, presupposto ma al contempo risultato della profilazione sulle menzionate piattaforme da parte delle scuole, sono indubbiamente big data, per la cui concentrazione, gestione e custodia, si richiede attenzione e garantire presidi, nei limiti del possibile, almeno in riferimento alla loro originaria diffusione nonché adeguate cautele come il consenso informato, libero, specifico e documentabile.
Orbene, se tali dati restano nell’alveo operativo delle istituzioni scolastiche, utilizzando proprie risorse sia strutturali che umane, poco male, in ragione del sussistente rapporto in essere tra le stesse con i lavoratori, gli studenti e le famiglie e della concreta disponibilità, la quale deve, comunque, sempre rapportarsi all’applicabilità dei principi di finalità, proporzionalità e non eccedenza del trattamento, ai sensi degli artt. 3 e 11 del già citato GDPR UE n.679/2016.
Il problema si pone quando la didattica viene erogata online, dovendo veicolare la stessa da e verso docenti ed alunni, ci si deve affidare agli strumenti più familiari e di comune utilizzo come Google Classroom e Microsoft Office 365, rientranti nell’ambito dei servizi resi da Google e da Microsoft che disporranno, dunque, dei relativi set di dati (dataset),un flusso di dati personali e sensibili, relativi anche a minori, generati, raccolti e gestiti dalle scuole che vanno messi al sicuro da rischi di illecita diffusione23 e trattamento non strettamente necessari in rapporto alle finalità per cui sono stati rilasciati e che richiedono decisioni nel rispetto dei diritti dei titolari.
Sulla questione appena delineata, si cita la sentenza del 16 luglio 2020 della Corte di Giustizia (CGUE), Grande sezione (sentenza “Schrems II” – causa C-311/18), con la quale si è pronunciata in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza della protezione dei dati personali offerta da “Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo “Safe Harbor“24.
In somma sintesi, secondo la Corte, la normativa interna degli USA in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di dati trasferiti dall’UE non soddisfa i principi alla base del citato GDPR25, tra cui quello di proporzionalità, in quanto esiste la possibilità da parte delle autorità pubbliche e di controllo degli USA di accedere e trattare i dati personali trasferiti senza limitarsi a quanto sia strettamente necessario per le ragioni di sorveglianza. In altri termini, si è intervenuti sulla previsione secondo la quale gli Stati Uniti si riservano per legge il diritto di accedere ai dati dei cittadini di qualunque Paese, se sono gestiti da una azienda statunitense, anche se i dati risiedono fisicamente su server situati al di fuori degli Stati Uniti.
Ma la sentenza della Corte Europea di Giustizia dichiara che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di clausole tipo di protezione dei dati, devono godere di “un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione” dal richiamato Regolamento, letto alla luce della Carta dei diritti fondamentali dell’Unione Europea, cosa che non avviene con aziende statunitensi come Google e Microsoft, dal momento che “le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo […] non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario”.
Alla luce dell’arresto giurisprudenziale appena tratteggiato, in riferimento alla didattica a distanza, in assenza di meccanismi efficaci che consentano, in pratica, di garantire che sia rispettato un alto livello di protezione richiesto dal diritto dell’Unione, si potrebbe configurare l’ipotesi che tutti i dati degli studenti e dei docenti, come di qualsiasi altro cittadino italiano ed europeo, immessi nelle piattaforme gestite da Google e da Microsoft ovvero da similari, possano essere usati liberamente da autorità di un Paese esterno all’Unione Europea, senza garantirne un livello adeguato di protezione, secondo il citato Regolamento, la legislazione nazionale od in forza di clausole contrattuali tipo di protezione dei dati ed altri tipologie di impegni internazionali.
A tal riguardo, va rilevato che già il Ministero dell’istruzione nelle sopra richiamate indicazioni generali relative alla didattica digitale integrata e la tutela della privacy, ha ricordato alle istituzioni scolastiche che “In caso di utilizzo di tecnologie in cloud risulta necessaria la verifica del rispetto della normativa in materia di protezione dati personali da parte del fornitore del servizio designato come responsabile del trattamento. Inoltre, nel caso sia previsto che le informazioni vengono trasferite fuori dall’Unione Europea (UE), occorre verificare che sussistano tutti i presupposti giuridici richiesti dalla disciplina per assicurare un adeguato livello di protezione”. Inoltre, qualora le scuole ritengano opportuno instaurare un rapporto con un fornitore la cui attività non sia rivolta esclusivamente alla Dad, con riguardo al trattamento di dati personali, bisogna procedere attraverso un contratto o altro atto giuridico di individuazione del responsabile del trattamento ai sensi dell’art. 28 del Regolamento, disciplinando le necessarie garanzie legate all’utilizzo di tecnologie in cloud, alla progettazione e alla configurazione dei siti, delle App e delle piattaforme utilizzate per la didattica. Pertanto, viene richiamato la disciplina di cui all’art. 28 del GDPR (Responsabile del trattamento) in base al quale, dunque, le scuole, così come chiunque decida di affidare una o più attività di trattamento a soggetti terzi esterni (individuati quali RPD) sono tenuti a prestare la massima attenzione e, anzitutto, valutare le garanzie che questi offrono per soddisfare i requisiti del GDPR.
Da quanto sopra, se ne può concludere che l’affidamento incauto a fornitori non in grado di prestare adeguate garanzie, nel rispetto della normativa di riferimento, può comportare responsabilità diretta dell’istituzione scolastica (nella predetta figura di titolare del trattamento) per culpa in eligendo, unitamente al responsabile e anche in solido con il fornitore, anch’esso responsabilizzato del trattamento dei dati in modo tale da non approfittare dell’occasione del servizio di supporto alla didattica proponendo ovvero aggiungendo altri servizi che spesso erogano e coinvolgere i soggetti per finalità di marketing, ritenendo gli stessi come possibili clienti/utenti, rendendo gli stessi dati più ambiti sul mercato, a fortiori trattandosi di minori. È rimessa alla scuola la scelta e la regolamentazione degli strumenti più adeguati al trattamento dei dati personali degli operatori scolastici, studenti e loro familiari per la realizzazione della Ddi, scelta che nella prassi, come già specificato, è effettuata del Dirigente scolastico, con il supporto del Responsabile della protezione dei dati personali (RPD), sentito il Collegio dei Docenti.
Sempre a tal proposito, anche il Garante della privacy nel citato Provvedimento del 26 marzo 2020 ha, sin da subito, ribadito le precauzioni da adottare rispetto a tale rilevante e sentito fenomeno, prevedendo che rispetto alla fruizione di “piattaforme più complesse e “generaliste”, che non eroghino servizi rivolti esclusivamente alla didattica, si dovranno attivare, di default, i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi, sia durante l’utilizzo degli stessi da parte di docenti e studenti …. Le istituzioni scolastiche e universitarie dovranno assicurarsi (anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi designato responsabile del trattamento), che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza. Saranno, in tal senso, utili specifiche istruzioni, tra l’altro, sulla conservazione dei dati, sulla cancellazione – al temine del progetto didattico – di quelli non più necessari, nonché sulle procedure di gestione di eventuali violazioni di dati personali. Si raccomanda, in particolare, rispetto ai minorenni, che gli stessi “meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” (cons. 38 del Regolamento). Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo di tali dati a fini di marketing o di profilazione e, in senso lato, la relativa raccolta nell’ambito della fornitura di servizi ai minori stessi (cons. 38 cit.)”.
A completamento di questa manifestata preoccupazione, si prevede anche che “L’Autorità vigilerà sull’operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie”.
5. Considerazioni conclusive: un contemperamento possibile.
È fuori di dubbio che l’azione (rectius: reazione) delle istituzioni scolastiche (tra le altre) è stata tanto straordinaria quanto apprezzabile. Sono, infatti, lodevoli gli sforzi delle stesse, dei docenti, degli studenti e dei loro genitori spinti, a seguito dell’emergenza pandemica, ad un repentino cambiamento di vita lavorativa, di abitudine e consuetudini tanto rilevante quanto inedito. I primi sono stati chiamati– quali soggetti direttamente interessati – ad un improvviso e totale ripiegamento dell’attività didattico-formativa sulla modalità a distanza, in molti casi del tutto nuovo, ed i secondi a dover supportare in tal senso l’attività formativa dei figli26.
Di fatto, l’organizzazione e le modalità di erogazione della didattica digitale integrata (Ddi) sono state affidate all’Autonomia delle singole istituzioni scolastiche, in quanto organizzazione e modalità di erogazione della didattica rientrano appieno tra le prerogative di queste, alle quali comunque sono state garantite utili ed anche tempestive indicazioni dal Ministero dell’istruzione, con il coinvolgimento del Garante della privacy, necessarie per uniformare l’erogazione della didattica digitale integrata in tutte le scuole del territorio nazionale ma legate anche ad esigenze di validità dell’anno scolastico.
Si è partiti dal riconoscere alle istituzioni scolastiche la legittimazione delle scuole a trattare tutti i dati personali necessari al perseguimento delle finalità collegate allo svolgimento della Ddi, ma è stato sottolineato più volte anche che le stesse si assumessero il compito di approntare misure organizzative e di sicurezza adeguate a garantire il rispetto dei principi previsti dalla normativa di settore, di cui al Regolamento (UE) 2016/679 e, in particolare, con il supporto del RPD, dovevano verificare che, in applicazione dei principi generali del trattamento dei dati e nel rispetto delle disposizioni nazionali che trovano applicazione ai rapporti di lavoro (art. 5 e 88 del Regolamento), le piattaforme e gli strumenti tecnologici per l’erogazione della Ddi consentissero il trattamento dei soli dati personali necessari alla finalità didattica, configurando i sistemi in modo da prevenire che informazioni relative alla vita privata della molteplicità dei soggetti coinvolti venissero, anche solo accidentalmente, raccolte e utilizzate per fini diversi, tutto ciò anche nel rispetto della libertà di insegnamento dei docenti e del numero delle attività di trattamento connesse. Senza dubbio sono oneri questi molto gravosi, a fortiori se contestualizzati in un periodo di improvvisa epidemia.
Ebbene, al fine di non interrompere completamente il percorso di apprendimento, la tecnologia ha giocato un ruolo importantissimo, consentendo di abbattere, virtualmente, le distanze fisiche e superare il sopraggiunto distanziamento sociale, ricreando virtualmente spazi immateriali – poco prima fisici e concreti – nei quali riprodurre classi, collegi, colloqui, opportunità di incontro e tutte le altre attività materiali caratterizzanti il settore scolastico non più esercitabili in presenza, in modo tale da proseguire il percorso di apprendimento/formazione. Per cui, si può affermare che tutte le potenzialità della strumentazione digitale sulle quali si è fatto affidamento in maniera rafforzata, se non esclusiva, sono state risorse preziose per l’esercizio di uno dei diritti fondamentali come quello allo studio con modalità e forme assolutamente nuove ed innovative (visto che non per pochi ha significato la prima esperienza).
Ovviamente ciò non deve obliterare l’altra faccia della medaglia, cioè i rischi derivanti dal potenziato utilizzo di tale tecnologia e, in particolare, un uso scorretto e poco consapevole degli strumenti telematici, a maggior ragione se sono convolti soggetti deboli come i minori e i soggetti affetti da disabilità, ai quali – non a caso – è stata dedicato particolare riguardo sin dai primi provvedimenti del Governo (cfr. DPCM dell’8 marzo 2020).
Or dunque, bisognava fare – come è stato fatto – di necessità virtù, così come in prosieguo bisogna capitalizzare l’esperienza dell’accelerazione della didattica a distanza in tempo di pandemia e nel contempo sensibilizzarne l’utilizzo della stessa con la dovuta consapevolezza, anche sulla base delle indicazioni fornite a livello centrale e dall’Autorità maggiormente competente in materia di gestione e tutela dei dati personali di tutti i soggetti interessati a vario titolo e con ruoli diversi, minimizzandone i rischi da illeciti e abusivi utilizzi e violazioni.
Quanto è avvenuto, fa sì che dal contemperamento, possibile e costruttivo, di tutti gli interessi coinvolti, ne può derivare – superata anche la fase emergenziale – una valida alternativa di fruizione dell’apprendimento per il tramite degli strumenti e dei contenuti digitali (si pensi solo alla scuola in ospedale, nelle case circondariali), potendo rientrare nella pratica educativa ordinaria27, pur nella consapevolezza, come detto, che nulla può sostituire, sotto il profilo esperienziale e sociale, la vita scolastica condotta e vissuta all’interno dei tradizionali ambienti.
Tant’è vero che bisogna tener ben presente che la tematica del trattamento dei dati personali e la relativa tutela è certamente centrale, divenuta un “esercizio” difficile ma necessario in tempo di Coronavirus senza volerle minimamente sospendere, derogare ovvero limitare le garanzie giuridiche dei titolari; è un elemento essenziale tra i diritti e le libertà fondamentali della persona e del cittadino, in particolare europeo, ma va rilevato anche che come tutti i diritti fondamentali non rappresenta una prerogativa assoluta ma deve contemperarsi con gli altri diritti fondamentali (es. tutela della salute, all’istruzione, sanità pubblica, ordine pubblico e sicurezza nazionale ecc.), in base al principio di proporzionalità. Ciò è anche fissato al considerando n. 4 del Regolamento UE 2016/679 dove è sancito, altresì, che “Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo”, per cui non ci sono esigenze né di limitare, derogare e men che meno di sospendere la protezione dei dati personali anche in un periodo di emergenza sanitaria come quello che stiamo vivendo, basta solo rivedere l’equilibrio del bilanciamento tra quest’ultima e gli altri diritti che si pongono al confronto, spostando l’asse verso altri diritti fondamentali come ad esempio il diritto alla salute, diritto allo studio. Quanto appena rappresentato è un effetto che nella disciplina della protezione dei dati avviene in maniera automatica o attraverso le clausole di flessibilità che la normativa prevede e l’opera della competente Autorità per la protezione della privacy, che ha assolto anche a questo compito.
Detto ciò, sul fronte dei big data, certamente è, e rimane, un serio problema aperto, quello della generazione, gestione, custodia, memorizzazione di dati e livello di sicurezza afferenti al trattamento dei dati personali utilizzati per lo svolgimento della Dad. A tal proposito, è notorio che molte piattaforme ed i relativi server utilizzati per la maggiore per la predetta attività, sono di proprietà di multinazionali con sedi legali all’estero (il più delle volte anche fuori dai paesi europei), tema sul quale ci si interrogherà anche dopo che si potrà tornare alla didattica tradizionale.
Ma anche sotto questo profilo, se ci si pone con spirito costruttivo e contemperativo, si possono avviare studi al fine di massimizzare i benefici e minimizzare i rischi legati alla successiva e conseguente gestione dei dati personali con approccio basato sulle logiche dei big data. Si potrebbe ricorrere a tecniche di “anonimizzazione” dei dati, tenendo presente che chi intende avvalersi dei big data per finalità sempre inerenti la didattica deve far uso di procedure che garantiscono l’anonimato nel trattamento dei dati nonché ad effettuare periodicamente, grazie alle nuove tecnologie e alle nuove tecniche di analisi ed elaborazione, interconnessione dei dati, un assessment approfondito circa il rischio di re-identificazione, al fine di valutare l’affidabilità e la “resistenza” delle metodologie impiegate per la salvaguardia della riservatezza degli interessati.
Inoltre, si dovranno apprestare ancora maggiorie particolari cure alle informative, che dovranno essere sempre più chiare e dettagliate, e valutare attentamente i requisiti (anche di sicurezza) che i singoli sviluppatori devono soddisfare, anche alla luce del contributo che, anche sotto questo aspetto, possono e devono derivare dai Garanti per la privacy Ue e gli organismi di standardizzazione (ISO, CEN, ecc.), per individuare protocolli e sistemi comuni da fornire agli utilizzatori, al fine di assicurare la garanzia di un´applicazione efficace dei principi di protezione dati e di sicurezza.
In più, in un’ottica di cooperazione di sistemi diversi ed autonomi, i big data possono servire, altresì, a comprendere meglio i processi educativi, per renderli più trasparenti, migliori e, perché no, competitivi rispetto ad altri sistemi educativi di altri Paesi, in epoca di comparative education and international development. Come tutte le nuove pratiche che si innestano in processi complessi ed articolati, se viste come mezzo per apporti innovativi e non fini a loro stesse o addirittura “parassitarie”, si possono buttare le basi per nuove prospettive di operabilità. Nel caso di specie, per fare ciò, da una parte non bisogna assumere posizioni di chiusura per partito preso e dall’altra uscire da fredde misurabilità, codifiche, algoritmi, indicizzazioni ecc. in della cd. Datafication ed esclusioni, scostandosi da logiche prettamente di business, per puntare ad un miglioramento delle pratiche educative e sociali (ad esempio, fornire strumenti ai Governi per approntare policy in materia di istruzione sempre più innovative e migliorative), favorendo il cambiamento culturale, necessario ad affrontare le sfide del futuro.
Da ultimo, si ritiene che, nell’ambito dello svolgimento della didattica a distanza, affrontare argomenti come l’uso consapevole dei social network, piattaforme ed altri strumenti digitali e parlare dei rischi relativi ad un uso/abuso illecito degli stessi con gli studenti, sia una grande opportunità di riflessione valoriale sui principali temi di attualità relativi ad alcuni fenomeni come i cybercrime, il cyberbullismo e il revenge porn e una occasione di approfondire i rispettivi metodi di contrasto, al fine di promuovere la maturazione di una cittadinanza attiva, coscienza civica e sociale, espandere l’educazione all’uso oculato della rete internet e dei social network l’educazione ai diritti e ai doveri legati all’utilizzo delle tecnologie informatiche28. Per cui la scuola, oltre a doversi adeguare al nuovo contesto nel rispetto della normativa a tutela del trattamento dei dai personali, potrà cogliere quanto sopravvenuto come opportunità di ragionare con gli stessi studenti sull’utilizzo dei propri dati di accesso (username, password, account ed altre credenziali) alle varie piattaforme, social network, app ecc. che utilizzano quotidianamente, costituite dai propri dati personali e rappresentanti la loro identità digitale che rimane nel tempo. Va insegnato loro che quest’ultima, per ciò solo, va difesa da abusi e violazioni, in un contesto giuridico-amministrativo che punta proprio a tale configurazione virtuale come modalità ordinaria di approcciarsi alla pubblica amministrazione e non solo, per cui controllare la sfera virtuale di un soggetto significa entrare nella sua sfera di diritti e libertà soggettive.
Non va dimenticato, come già rilevato più volte, che quanto fatto dalle istituzioni scolastiche in termini di didattica a distanza è stato messo a punto in estrema velocità, il più delle volte puntando sulla disponibilità dei singoli ed in mancanza di valida strumentazione, e che certamente in futuro si dovrà puntare sull’organizzazione più che sull’inventiva e disponibilità personale, anche alla luce della, tutto sommato, positiva esperienza passata, al fine di pianificare al meglio l’avvio degli anni scolastici a venire29. Per cui, non vi è dubbio che si dovrà affrontare in maniera più strutturata, tra gli altri, anche l’aspetto qui trattato, assicurando che gli strumenti per lo svolgimento della didattica a distanza siano adottati con il maggior rigore possibile dal punto di vista della sicurezza e della conformità alla protezione dei dati personali.
Il miglior auspicio è l’adozione di ulteriori misure atte a definire un modello di governance della privacy applicata alla didattica a distanza (ad esempio: rivedere e passare in rassegna tutte le scelte compiute in stato di emergenza, una formazione completa e capillare del personale, dotarsi di nuova strumentazione tecnologica ecc.), magari nell’ambito di una più ampia procedura di completamento della disciplina degli strumenti elettronici, a partire dal registro elettronico che potenzialmente è la piattaforma eletta anche per la didattica a distanza.
_____
1 Gli alunni interessati sono più di 6,7 milioni, circa l’80% del totale di 8,3 milioni di studenti. Dati ricavati dal monitoraggio condotto dal Ministero dell’Istruzione ed illustrati dalla Ministra, On.le Lucia Azzolina in Senato: “l’89% delle scuole ha predisposto attività e materiali specifici per gli alunni con disabilità; l’84% delle scuole ha predisposto attività e materiali specifici per gli alunni con Dsa; il 68% delle scuole ha predisposto attività e materiali specifici per gli alunni con BES non certificati; il 48% delle scuole ha svolto riunioni degli organi collegiali a distanza”. Per approfondimenti: https://www.miur.gov.it/web/guest/-/coronavirus-informativa-della-ministra-azzolina-al-senato.
2 Nel “Decreto Ristori” (decreto-legge 28 ottobre 2020, n. 137, recante “Ulteriori misure urgenti in materia di tutela della salute, sostegno ai lavoratori e alle imprese, giustizia e sicurezza, connesse all’emergenza epidemiologica da Covid-19”, convertito, con modificazioni, dalla L. 18 dicembre 2020, n. 176) sono stati stanziati ulteriori 85 milioni di euro per la didattica digitale integrata, per l’acquisto di dispositivi portatili e strumenti per le connessioni. Questi fondi sono stati messi rapidamente a disposizione nelle casse delle scuole e dedicati alle studentesse e agli studenti meno abbienti. Questo stanziamento, che segue ad altri, secondo le verifiche effettuate dal Ministero dell’Istruzione anche sulla base degli esiti dei precedenti finanziamenti, ha consentito di acquistare, a stretto giro, oltre 200.000 nuovi dispositivi informatici ed oltre 100.000 connessioni.
Inoltre, grazie alle predette risorse, la Ministra dell’istruzione ha rilevato che è stato possibile concedere alle scuole secondarie di secondo grado ulteriori risorse specifiche, pari a oltre 3,6 milioni di euro, per garantire la connessione e, quindi, la didattica digitale integrata, a studentesse e studenti che ne fossero ancora privi. Fonte: Home > Stampa e Comunicazione > Comunicati >Martedì, 27 ottobre 2020, del Ministero dell’istruzione. Per ogni approfondimento: https://www.miur.gov.it/web/guest/-/didattica-digitale-distribuiti-gli-85-milioni-del-decreto-ristori-firmato-il-decreto-con-il-riparto-per-singola-scuola.
3Le prime misure attuate a seguito dell’emergenza sanitaria da COVID-19 erano recate dal D.L. n. 6/2020convertito dalla L. 13/2020 che aveva previsto la possibilità di sospensione, con DPCM, del funzionamento dei servizi educativi dell’infanzia, delle istituzioni scolastiche del sistema nazionale di istruzione e degli istituti di formazione superiore, compresa quella universitaria, salvo le attività formative svolte a distanza; sospese anche i viaggi d’istruzione organizzati dalle istituzioni scolastiche del sistema nazionale d’istruzione, sia sul territorio nazionale sia all’estero(art. 1, co. 2, lett. f). Sospesi, A seguire, sono intervenuti vari DPCM che hanno progressivamente dettagliato ed esteso, in termini temporali e territoriali, tali previsioni. In particolare, con il DPCM 4 marzo 2020 sull’intero territorio nazionale, a decorrere dal 5 marzo 2020 (e fino al 15 marzo 2020) sono stati sospesi, fra l’altro, i servizi educativi per l’infanzia e le attività didattiche in presenza nelle scuole di ogni ordine e grado, nonché la frequenza delle attività scolastiche e di formazione superiore, comprese le università e le Istituzioni di alta formazione artistica, musicale e coreutica (AFAM), di corsi professionali, master e università per anziani, ferma in ogni caso la possibilità di svolgimento di attività formative a distanza. Esclusi dalla sospensione i corsi post universitari connessi con l’esercizio di professioni sanitarie, inclusi quelli per i medici in formazione specialistica, i corsi di formazione specifica in medicina generale, le attività dei tirocinanti delle professioni sanitarie. Lo stesso DPCM ha, inoltre, previsto – con disposizioni poi presenti, con minime variazioni, in tutti i successivi DPCM recanti previsioni riferite al periodo sia dell’a.s. che dell’a. a. 2019/2020 – che, per tutta la durata della sospensione, i dirigenti scolastici (università ed AFAM) dovevano attivare modalità di didattica a distanza avuto anche riguardo alle specifiche esigenze degli studenti con disabilità. Le predette sospensioni sono state dapprima confermate (dall’8 marzo 2020 al 15 marzo 2020) dal DPCM 8 marzo 2020 (art. 2, co. 1, lett. h), e art. 5, co. 1) e successivamente prorogate (dal 10 marzo 2020 fino al 3 aprile 2020) dal DPCM 9 marzo 2020. Così anche successivamente, il D.L. 25 marzo 2020, n. 19 ( L. 35/2020) ha previsto che, su specifiche parti o, occorrendo, su tutto il territorio nazionale, si poteva disporre, sempre con DPCM, per periodi predeterminati, ciascuno di durata non superiore a 30 giorni, reiterabili e modificabili anche più volte, originariamente fino al 31 luglio 2020 (termine dello stato di emergenza dichiarato con delibera del CdM n. 27del 31.01.2020, sotto la presidenza del Presidente Giuseppe Conte), e con possibilità di modularne l’applicazione, in aumento ovvero in diminuzione, secondo l’andamento epidemiologico del virus, la sospensione dei servizi educativi per l’infanzia e delle attività didattiche delle scuole di ogni ordine e grado.
4A. PISAPIA, “La tutela per il trattamento e la protezione dei dati personali”, Giappichelli, 2018.
5P. CUCUMILE, “Sulla tutela dei dati personali delle persone fisiche. Il contenuto del nuovo G.D.P.R.”, ilmiolibro self publishing, 2018.
6 Nella prima nota del Ministero dell’Istruzione – Dipartimento per il sistema di istruzione e di formazione (prot. n. 388 del 17.3.2020) si è precisato anche cosa si intende per attività didattica a distanza: “Il collegamento diretto o indiretto, immediato o differito, attraverso videoconferenze, videolezioni, chat di gruppo; la trasmissione ragionata di materiali didattici, attraverso il caricamento degli stessi su piattaforme digitali e l’impiego dei registri di classe in tutte le loro funzioni di comunicazione e di supporto alla didattica, con successiva rielaborazione e discussione operata direttamente o indirettamente con il docente, l’interazione su sistemi e app interattive educative propriamente digitali: tutto ciò è didattica a distanza”.
7 Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018.
8Nell’anno scolastico 2019-2020 sono quasi 300 mila gli alunni con disabilità, 3,5% degli iscritti.
9 Altre sono: https://www.istruzione.it/ProtocolliInRete/; https://www.istruzione.it/coronavirus/didattica-a-distanza.html; https://www.istruzione.it/coronavirus/didattica-a-distanza_inclusione-via-web.html; https://www.miur.gov.it/web/guest/-/coronavirus-pubblicate-due-call-per-sostenere-la-didattica-a-distanza e un indirizzo di posta elettronica supportoscuole@istruzione.it. Lo stesso Ministero, ha previsto la possibilità di utilizzare alcune importanti piattaforme, tra le quali, ad esempio: INDIRE (http://www.indire.it/la-rete-di-avanguardie-educative-a-supporto-dellemergenza-sanitaria/); Office 365 Education A1 (https://www.microsoft.com/it-it/education/products/office); RAI per la didattica, nella sua poliedrica organizzazione (https://www.istruzione.it/coronavirus/didattica-a-distanza_rai.html); Treccani scuola (http://www.treccaniscuola.it/); Fondazione Reggio Children – Centro Loris Malaguzzi, al fine di suggerire un percorso di contenuti online con l’obiettivo di generare domande, sollecitare la scoperta e invitare alla sperimentazione.
10 Al seguente link: http://www.governo.it/it/articolo/decreto-iorestoacasa-domande-frequenti-sulle-misure-adottate-dal-governo/14278.
11 Al seguente link il testo integrale: https://www.miur.gov.it/web/guest/-/coronavirus-emanata-la-nota-con-le-indicazioni-operative-per-la-didattica-a-distanza.
12 Per ogni approfondimento: https://www.istruzione.it/rientriamoascuola/allegati/Didattica-Digitale-Integrata-e-tutela-della-privacy-Indicazioni-gene rali.pdf.
13A riguardo il Garante, nel Provvedimento del 26 marzo 2020, recante “Didattica a distanza: prime indicazioni”, ha, precisato che “nel trattare i dati personali dei docenti funzionali allo svolgimento della didattica a distanza, le scuole e le università dovranno rispettare presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo (artt. 5 e 88, par. 2, del Regolamento, art. 114 del Codice in materia di protezione dei dati personali e art. 4 della legge 20 maggio 1970, n. 300) limitandosi a utilizzare quelli strettamente necessari, comunque senza effettuare indagini sulla sfera privata (art. 113 del citato Codice) o interferire con la libertà di insegnamento.”
14 Si riporta l’articolo 57 (Compiti), par. 1, lett. b) e d), del Regolamento generale sulla protezione dei dati Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016:
“1. Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:
Omissis
b) promuove la consapevolezza e favorisce la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori;
Omissis
d) promuove la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento”.
15 Per il testo integrale della nota: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9334326.
16 Registro Elettronico per a Scuola in Ospedale e Istruzione Domiciliare (RESO), messo a disposizione delle istituzioni scolastiche dal Ministero dell’Istruzione, è un sistema informatizzato che consente la lettura “in tempo reale” delle attività svolte per il servizio di Scuola in Ospedale e Istruzione Domiciliare ovvero un registro elettronico che traccia gli interventi didattici rivolti agli studenti ricoverati in ospedale (SIO) e/o per i quali sia stato attivato il servizio di istruzione domiciliare (ID). Per ogni opportuno approfondimento al seguente link: https://scuolainospedale.miur.gov.it/sio/news/registro-elettronico-per-la-scuola-in-ospedale-e-listruzione-domiciliare-reso/.
17 Il social network che consente di creare e condividere audio, video e immagini, usato da milioni di utenti, in gran parte giovanissimi.
18 Di questa criticità se ne parla già nella relazione annuale del Presidente del Garante della privacy alla Camera dei Deputati, sull’attività svolta nel 2019 e l’intervento del Garante per la privacy del 24.01.2020 con il quale è stato chiesto al Comitato europeo per la protezione dei dati personali (EDPB), che riunisce tutte le Autorità privacy dell’Unione, di attivare una specifica task force: “Tik Tok: il Garante privacy chiede una task force europea. Necessaria un’azione coordinata contro i rischi per i dati degli utenti, soprattutto minori”. Successivamente, il 22 dicembre del 2020, il Garante ha contestato a Tik Tok una serie di violazioni: scarsa attenzione alla tutela dei minori; facilità con la quale è aggirabile il divieto, previsto dalla stessa piattaforma, di iscriversi per i minori sotto i 13 anni; poca trasparenza e chiarezza nelle informazioni rese agli utenti; uso di impostazioni predefinite non rispettose della privacy.
Per ogni approfondimento:https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9249688; https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9428327; https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9508923;
19 Provvedimento del 22 gennaio 2021 – Registro dei provvedimenti n. 20/2021 [doc. web n. 9524194], al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9524194.
20 Per ogni approfondimento si rimanda all’indagine conoscitiva su big data pubblicata in data 10 febbraio 2020dall’Autorità Garante della Concorrenza e del Mercato (AGCM) condotta congiuntamente con l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) e il Garante per la protezione dei dati personali (Garante privacy), volta ad approfondire gli effetti prodotti dal fenomeno dei c.d. big data e analizzarne le conseguenze in relazione al contesto economico-normativo-politico-sociale. Al seguente link il testo integrale: https://www.agcm.it/dotcmsdoc/allegati-news/IC_Big%20data_imp.pdf
21 Basta pensare al nostro quotidiano, a tutte le interazioni sui vari social network, un click su un sito web per lavoro, per svago, per fare acquisti, prenotare un viaggio, i nostri smartphone interconnessi quasi h24. Tutto ciò genera una mole di dati incredibilmente ed umanamente incalcolabili ed ingestibili, analizzabili in tempo reale se non mediante procedure altamente automatizzate ma anche attraverso la diffusione di algoritmi e metodologie di analisi innovative, in grado di estrapolare autonomamente le informazioni nascoste nei dati. Enormi volumi di dati eterogenei per fonte e formato, accomunati da tre caratteristiche fondamentali: volume, velocità e varietà.
22 Parte della dottrina ha evidenziato come la scuola debba innanzitutto dare gli strumenti necessari per comprendere e interpretare la realtà, in un mondo in continuo cambiamento, e per ciò solo deve essere capace di profonde ed anche tempestive innovazioni. Ciò deve avvenire anche sotto il più pregnante profilo della didattica e dell’organizzazione scolastica nell’era della globalizzazione, di internet, del social network e della proiezione di buona parte delle attività e relazioni sociali via web. In tal senso: D. MILITO & A. TATARANNI, “Didattica innovativa nell’era digitale”, Anicia (Roma), 2019; V. MIDORO, “La scuola ai tempi del digitale. Istruzioni per costruire una scuola nuova”, Franco Angeli, 2016; V. CAMPIONE, “La didattica nell’era digitale”, Il Mulino, 2015. Ma non mancano opinioni contrarie ad una radicale riforma della didattica fondata sulle straordinarie opportunità offerte dalle tecnologie digitali. Il contrasto si profila tra chi teme che tutto si possa risolvere una disorganica disseminazione di strumenti tecnologici in luogo dei tradizionali ambienti di trasmissione del sapere e chi si augura uno svecchiamento degli ambienti di apprendimento in un’ottica di snellimento e flessibilità organizzativa ed anche contenutistica. Ciò che pare unire tutti è la previsione di una didattica digitale quale strumento per formare persone in grado di apprendere in modo critico, ponendo lo studente al centro del processo di apprendimento, completando l’insegnamento con l’indicazione dell’uso critico degli straordinari strumenti di conoscenza che la rete rende disponibili. In tal senso: L. TOSELLI, “La didattica a distanza. Funziona, se sai come farla”, Sonda, 2020.
23 Rischi che talora prendono forma con riguardo all’adozione di decisioni, che si basano proprio su trattamenti effettuati con le predette tecniche big data, di natura discriminatoria rispetto a singoli o classi di interessa ti riferite anche a dati di grande complessità e variabilità interna, prodotti a ritmi impareggiabili. Rischi connessi alla «profilazione» degli utenti, la tendenza al formarsi sul mercato di situazioni di oligopolio, l’accesso fraudolento e/o abusivo a dati sensibili, l’utilizzo di piattaforme di intelligenza artificiale per orientare comportamenti politici e sociali.
24 Per ogni approfondimento: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9442415; http://www.dirittoegiustizia.it/allegati/17/0000088648/Corte_di_Giustizia_UE_Grande_Sezione_sentenza_16_luglio_2020_causa_C_311_18.html.
25Ai sensi del Regolamento generale sulla protezione dei dati, il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione. Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o ad impegni internazionali, un Paese terzo assicura effettivamente un livello di protezione adeguato. In mancanza di una decisione di adeguatezza siffatta, un trasferimento del genere può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, prevede garanzie adeguate, le quali possono risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi. Il General Data Protection Regulation (GDPR) stabilisce precisamente, inoltre, a quali condizioni può avvenire un trasferimento in parola in mancanza di una decisione di adeguatezza o di garanzie adeguate.
26B. BRUSCHI & A. PERISSINOTTO, “Didattica a distanza. Com’è, come potrebbe essere”, Laterza, 2020.
27 Sono di questi giorni le notizie relative alle proposte di varie Regioni (in principio la Puglia con l’ordinanza n. 413 del 6 novembre 2020, poi la Campania con l’Atto di raccomandazione e richiamo del 28.01.2021 e a seguire la Calabria con l’ordinanza n. 4 firmata il 30 gennaio) di adottare la didattica a distanza opzionale, una Dad on demand, prendendo in prestito un termine utilizzato in altri campi della comunicazione.
28 La legge 20 agosto 2019, n. 92 recante “Introduzione dell’insegnamento scolastico dell’educazione civica”, nell’ambito dell’insegnamento trasversale dell’educazione civica, prevede l’educazione alla cittadinanza digitale (art. 5). In attuazione della previsione di cui all’articolo 3 della predetta legge n. 92/2019con decreto del Ministro dell’istruzione (prot. n. 35 del 22.06.2020) sono state definite le linee guida per l’insegnamento dell’educazione civica, puntando su tre assi portanti: “Studio della Costituzione, sviluppo sostenibile, cittadinanza digitale”. Approfondimento al seguente link: https://www.miur.gov.it/web/guest/-/inviate-alle-scuole-le-linee-guida-per-l-insegnamento-dell-educazione-civica-azzolina-studio-della-costituzione-sviluppo-sostenibile-cittadinanza-digi
29 Proprio alla luce dei limiti, delle mancanze e delle contraddizioni che la scuola si è trovata ad affrontare per l’avvio della didattica a distanza in fase emergenziale, a fronte dello sforzo generoso di molte famiglie e docenti, parte della dottrina reputa ciò una dimostrazione che non può esistere didattica se non quella in presenza. Si veda: P. DE ANGELIS, “La scuola a scuola: Contro la didattica a distanza”, Castelvecchi, 2020; R. MANTEGAZZA, “Non è scuola ma… La didattica a distanza oltre l’emergenza”, Kanaga, 2020.