Didattica online e tutela della privacy. Intervista ad Elena Maggio

Nei giorni scorsi il Garante per la protezione dei dati personali ha fornito alcune “istruzioni d’uso” per una migliore gestione della didattica online.

Diritto Mercato Tecnologia ha approfondito la questione con Elena Maggio, avvocato, vice-responsabile del Dipartimento privacy e GDPR dello Studio Legale Gambino e fellow della Italian Academy of the Internet Code (IAIC).

Avvocato, quali sono i principali rischi per la privacy che la didattica a distanza porta con sé?

L’utilizzo di piattaforme di didattica a distanza espone docenti, discenti e loro famiglie a numerosi rischi di diversa natura.

Sicuramente rileva in prima istanza il rischio di partecipazione alle lezioni di soggetti non autorizzati i quali non solo fruirebbero di contenuti senza averne il titolo, ma possono anche acquisire i dati dei partecipanti, nonché diffondere contenuti inappropriati. Questo è, ad esempio, quanto accaduto durante una lezione di un liceo di Boston che si svolgeva tramite l’applicativo Zoom, interrotta dalla condivisione di immagini pornografiche.

Un ulteriore rischio attiene alla condivisione di file operato tramite le piattaforme. Non è solo teorica l’eventualità che uno studente, confidando di scaricare materiale didattico messo a disposizione dal docente, proceda al download di virus, malware e altro, nonché, viceversa, che un docente confidando di scaricare il compito di un proprio studente da correggere scarichi file infetti. Di base, la maggiore condivisione di file espone gli utilizzatori a compiere disattenzioni o errori che possono danneggiare tanti, tantissimi. Questo potrebbe verificarsi soprattutto per gli studenti della scuola primaria e secondaria di primo livello, che magari non hanno un computer dedicato e usano lo stesso pc che i genitori impiegano per lavorare, con una evidente potenzialità di propagazione delle vulnerabilità in un momento in cui anche semplici interventi di assistenza non sono agevoli.

A titolo esemplificativo richiamo quanto accaduto sempre su Zoom – non me ne si voglia, ma su questa piattaforma sembra si sia soffermata l’attenzione degli hacker – che, come segnalato dal CERT-PA dell’AgID, è stata in diverse occasioni impiegata per veicolare malware. Secondo quanto riportato dai ricercatori di CheckPoint, nel corso delle settimane scorse si è verificato un aumento esponenziale di utenti che utilizzano la piattaforma e tra le varie registrazioni effettuate risultano numerosi i domini utilizzati per scopi dannosi.

Dagli esempi fatti risulta evidente come il rischio attenga alla possibilità di intrusione di soggetti non autorizzati i quali possono così non solo “disturbare” il normale svolgimento della didattica, ma cogliere l’occasione per carpire tutti i dati personali anche non strettamente correlati all’attività scolastica (si pensi che sul caso richiamato di Boston ha aperto un’indagine l’FBI).

A questo punto è essenziale la scelta effettuata dalle scuole e dalle università sui sistemi didattici da impiegare, perché, come ricordato dal Garante nel provvedimento del 26 marzo 2020 “Didattica a distanza: prime indicazioni”, spetta a loro – quali titolari del trattamento –  “la scelta e la regolamentazione, anche sulla base delle indicazioni fornite dalle autorità competenti, degli strumenti più utili per la realizzazione della didattica a distanza”, tenuto, ovviamente, conto delle esigenze didattiche.

Questo vuol dire che una valutazione, possibilmente documentabile, deve essere svolta da parte della scuola/università, sebbene non sia necessario svolgere la valutazione di impatto sul trattamento dei dati, c.d. DPIA, ciò non di meno non deve essere presa in esame la sicurezza della piattaforma da un punto di vista di sicurezza informatica assoluta e con specifico riferimento alla protezione dei dati.

In questo senso, mi sembra utile ricordare che il MIUR nella pagina web del sito dedicata alla didattica online nell’attuale situazione epidemiologica suggerisce alcune piattaforme didattiche cui è possibile fare ricorso. Ecco, tale suggerimento non sgrava l’ente di formazione dal fare una valutazione complessiva di idoneità dell’applicativo didattico, ma certo deve ritenersi che dovrebbe essere maggiormente motivata la scelta di discostarsi da quanto indicato dal Ministero piuttosto che il partire da tale suggerimento.

Da DPO di scuole e università posso affermare che mai come in questo momento è essenziale che gli istituti di formazione ricorrano alle competenze del DPO per fare scelte consapevoli e puntuali, che assicurino la tutela dei dati di studenti e famiglie.

Ci sono norme particolari da seguire in caso di utenti minorenni?

Certo, bisogna considerare che la gran parte degli interessati dalla teledidattica sono minorenni e, di questi, la maggioranza assoluta ha meno di 14 anni.

Non è, a mio avviso, pensabile che si deleghi la custodia della privacy di questi studenti sulle piattaforme didattiche alle famiglie che dovrebbero avere il tempo, tra una riunione in smartworking e l’altra, di aiutare i ragazzi durante le lezioni.

Soprattutto le scuole primarie (a maggior ragione quelle dell’infanzia) e le scuole secondarie di primo grado hanno, dunque, l’obbligo di scegliere con particolare cura e attenzione la piattaforma da utilizzare.

Ovviamente queste cautele non devono essere adottate solo dalle scuole, ma anche da tutte quelle applicazioni che offrono servizi di supporto alla didattica o per l’accompagnamento durante i compiti, siano esse a pagamento o gratuite.

A margine dei profili di sicurezza delle piattaforme, vi sono poi regole di buon senso che dovrebbero suggerire, ad esempio, ai docenti di adottare specifiche cautele nel trattare sui propri computer, magari non sicuri o privi di antivirus, i dati degli alunni nonché compiti o appunti contenenti dati particolari (i vecchi dati sensibili), come temi, ma, pensando alla scuola primaria, anche disegni e racconti.

Come agire per garantire un utilizzo corretto e trasparente dei dati?

La correttezza e la trasparenza sul trattamento dei dati passano, necessariamente, dall’affidabilità della piattaforma scelta, che deve garantire che non saranno svolti utilizzi secondari dei dati trattati, ad esempio per finalità di profilazione.

Questo aspetto è stato espressamente attenzionato dal Garante che ha ricordato come i dati debbano essere trattati per quanto strettamente necessario per la fornitura del servizio didattico, senza che vengano effettuate operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore.

Ancora una volta è importante richiamare quanto definito nel provvedimento del 26 marzo scorso: “il trattamento ulteriore dei dati degli utenti, da parte dei gestori delle piattaforme, nella diversa veste di titolari del trattamento, dovrà naturalmente osservare, tra gli altri, gli obblighi di informazione e trasparenza secondo quanto previsto dall’art. 13 del Regolamento.

È peraltro inammissibile il condizionamento, da parte dei gestori delle piattaforme, della fruizione dei servizi di didattica a distanza alla sottoscrizione di un contratto o alla prestazione– da parte dello studente o dei genitori – del consenso al trattamento dei dati connesso alla fornitura di ulteriori servizi on line, non necessari all’attività didattica. Il consenso non sarebbe, infatti, validamente prestato perché, appunto, indebitamente condizionato al perseguimento di finalità ultronee rispetto a quelle proprie della didattica a distanza (art. 7; cons. 43 del Regolamento)”.

Il monito lanciato dal Garante alle piattaforme, a pagamento o solo asseritamente gratuite, è inequivocabile, non pensino di poter trattare i dati di studenti e famiglie per finalità ulteriori, né di prevedere dei meccanismi di “consenso obbligato” di cui viene ricordata l’inutilità (in quanto in tale ipotesi il consenso non sarebbe validamente espresso).

Certo, a mio avviso, anche la trasparenza e la correttezza sull’impostazione del trattamento dei dati da parte della piattaforma è un parametro che scuole e università devono considerare nella loro scelta e, anche su questo aspetto, i DPO possono dire la loro.

La tutela della privacy di tutti gli attori coinvolti nel percorso formativo è una sfida e dal suo superamento deriva, a mio avviso, l’impiego che anche nel futuro si farà della didattica a distanza.