È di recente pubblicazione la nota prot. n. 11600, del 3 settembre 2020, del Ministero dell’Istruzione con cui sono state diffuse le indicazioni generali relative ai principali aspetti della disciplina in materia di protezione dei dati personali nella Didattica Digitale Integrata (DDI).
Tale documento, successivamente all’adozione del D.P.C.M. 8 marzo 2020 col quale veniva introdotta la didattica a distanza, si inserisce in un quadro normativo che è stato caratterizzato, da molteplici interventi sia da parte del MIUR che dall’Autorità Garante per la protezione dei dati personali.
Le indicazioni generali recentemente pubblicate dal MIUR nascono con l’obbiettivo di accompagnare le istituzioni scolastiche nel corretto utilizzo della didattica digitale integrata (DDI).
Per tale ragione, le Linee guida sulla DDI, adottate con il D.M. n. 89 del 7 agosto 2020, sono state accompagnate dalla nota prot. n. 11600 del 3 settembre 2020, predisposta da un gruppo di lavoro congiunto Ministero dell’istruzione-Ufficio del Garante per la protezione dei dati personali, al fine di fornire, alle istituzioni scolastiche, linee di indirizzo comuni e principi generali per l’implementazione della DDI con particolare riguardo agli aspetti inerenti alla sicurezza in rete e alla tutela dei dati personali.
In materia di DDI l’attore principale resta sempre la singola istituzione scolastica, in qualità di titolare del trattamento, soprattutto con riferimento alla scelta ed alla regolamentazione degli strumenti più adeguati al trattamento dei dati personali del personale scolastico, studenti e loro familiari. Tale scelta è effettuata dal Dirigente scolastico, con il supporto del Responsabile della protezione dei dati personali (RPD), sentito il Collegio dei Docenti.
Indice degli argomenti
Linee guida MIUR sulla Didattica digitale integrata: il ruolo del dirigente scolastico
L’attivazione delle nuove modalità di espletamento della didattica digitale necessita di un delicato iter di approvazione e di selezione delle più adatte forme con cui procedere all’adozione della stessa, incontrando, nella figura del Dirigente scolastico, il referente e responsabile.
Basti ricordare che, ai sensi del D.Lgs. 29/1993, al dirigente scolastico spetta la gestione amministrativa, finanziaria e tecnica, nonché l’organizzazione delle risorse umane, strumentali e di controllo, nell’ottica del conseguimento dei risultati e dell’efficacia/efficienza dell’azione amministrativa. Nello specifico, per mezzo dell’autonomia didattica, il dirigente ha il compito di prefiggere, per l’intero istituto, obiettivi generali e particolari del sistema nazionale d’istruzione nel rispetto della libertà d’insegnamento, della libertà di scelta educativa da parte dell’utenza – famiglie e del diritto di apprendere da parte degli studenti.
In tal senso, sussiste uno specifico obbligo di legge, per le scuole, di adottare procedure e strumenti di verifica e valutazione della produttività scolastica e del raggiungimento degli obiettivi previsti dal Piano dell’Offerta Formativa (P.O.F.).
Dunque, allo stato attuale – in una quotidianità in cui la ripresa delle lezioni non può ancora definirsi “regolare” – sarà compito del dirigente scolastico incentrare la propria attività sulla ricerca di un efficiente apparato regolamentare da adottare, tenendo fermo il rispetto dei principi di protezione dati.
Per questo motivo nelle linee guida del Ministero si legge che “il Dirigente scolastico incaricherà il RPD, ai sensi di quanto previsto dall’art. 39, par. 1, lett. a) del Regolamento, di fornire consulenza rispetto alle principali decisioni da assumere, ad esempio, in merito alla definizione del rapporto con il fornitore della piattaforma prescelta e alle istruzioni da impartire allo stesso, all’adeguatezza delle misure di sicurezza rispetto ai rischi connessi a tale tipologia di trattamenti e alle misure necessarie affinché i dati siano utilizzati solo in relazione alla finalità della DDI e alle modalità per assicurare la trasparenza del trattamento mediante l’informativa a tutte le categorie di interessati. Ciò, in particolare, suggerendo il ricorso a piattaforme che eroghino servizi rivolti esclusivamente alla didattica, ovvero, nei casi in cui siano preferite quelle più complesse e generaliste, raccomandando di attivare i soli servizi strettamente necessari alla DDI, verificando che dati di personale scolastico, studenti e loro familiari non vengano trattati per finalità diverse e ulteriori che siano riconducibili al fornitore”.
Tra i compiti dell’istituzione scolastica vi sarà quello di coinvolgere, nella fase di verifica del corretto trattamento dei dati personali nella DDI, tutti gli attori (personale scolastico, famiglie, studenti) di questo processo, anche attraverso specifiche iniziative di sensibilizzazione atte a garantire la massima consapevolezza nell’utilizzo di strumenti tecnologici e nella tutela dei dati personali.
L’obbiettivo finale è quello di evitare un utilizzo improprio e/o la diffusione illecita dei dati personali trattati per mezzo delle piattaforme (data breach art.4, par 12 GDPR), nonché il verificarsi di accessi non autorizzati e di azioni di disturbo durante lo svolgimento della didattica digitale integrata.
Didattica digitale integrata: il ruolo del docente
Il docente risulta essere una delle figure chiave della DDI, essendo quest’ultimo il vero regista della didattica online nella gestione dell’attività formativa proposta agli studenti.
Le istituzioni scolastiche, con l’ausilio del DPO designato e dell’animatore digitale, dovranno adempire agli obblighi formativi di cui all’art. 29 GDPR e assicurarsi che i docenti, quali persone autorizzate al trattamento dei dati personali, ricevano un’adeguata formazione. Ed ancora, l’istituzione scolastica dovrà fornire al personale autorizzato (personale docente e non docente) al trattamento dei dati attraverso la piattaforma adeguate istruzioni sul corretto utilizzo di tale strumento (art. 4, par. 10, 29, 32, par. 4 del Regolamento; art. 2 quaterdecies del Decreto legislativo 30giugno 2003, n.196, così come modificato dal D.lgs. 101/2018)
Ulteriore elemento messo in luce nelle Linee guida del Ministero, è la corretta applicazione dei principi generali del trattamento dei dati nel rispetto delle disposizioni nazionali che trovano applicazione ai rapporti di lavoro (art. 5 e 88 del Regolamento). Difatti, si è ribadito come le piattaforme e gli strumenti tecnologici per l’erogazione della DDI debbano trattare i soli dati personali necessari alla finalità didattica, configurando i sistemi in modo da prevenire che informazioni relative alla vita privata vengano, anche accidentalmente, raccolte e da rispettare la libertà di insegnamento dei docenti.
Sarà compito del Dirigente, con il supporto del DPO, verificare la sussistenza dei presupposti di liceità stabiliti dell’art. 4 della l. 20 maggio 1970, n. 300 cui fa rinvio l’art.114 del Codice, valutando, in via preliminare se, tenuto conto delle concrete caratteristiche del trattamento, trovi applicazione il comma 1 o il comma 2 dello stesso articolo. In altri termini occorrerà valutare attentamente, sempre nel rispetto della disciplina giuslavoristica nonché di quella avente ad oggetto la protezione dati, se le piattaforme e gli strumenti tecnologici impiegati per la DDI possono comportare il trattamento di informazioni associate, in via diretta o indiretta, ai dipendenti, con possibilità di controllarne a distanza l’attività.
Per prevenire eventuali utilizzi ultronei rispetto alle finalità proprie che caratterizzano la didattica digitale integrata, e nel continuo rispetto del principio di accountability, l’istituzione scolastica dovrà adottare le misure tecniche e organizzative affinché il trattamento sia compliance alla richiamata normativa di settore, producendo a tal fine le necessarie indicazioni al fornitore del servizio (cfr. artt. 24 e 25 del Regolamento).
Sul punto si è espressa anche l’Authority privacy, nel Provvedimento del 26 marzo, concernente la “Didattica a distanza”, precisando che “nel trattare i dati personali dei docenti funzionali allo svolgimento della didattica a distanza, le scuole e le università dovranno rispettare presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo (artt. 5 e 88, par. 2, del Regolamento, art. 114 del Codice in materia di protezione dei dati personali e art. 4 della legge 20 maggio 1970, n. 300) limitandosi a utilizzare quelli strettamente necessari, comunque senza effettuare indagini sulla sfera privata (art. 113 del citato Codice) o interferire con la libertà di insegnamento“.
Conclusioni
Il costante compito di controllo che il Dirigente scolastico è chiamato a esercitare sull’operato dei docenti, dunque, deve avvenire in un contesto di bilanciamento dei reciproci interessi, al fine di non incorrere in responsabilità di carattere civile e penale.
Ecco perché non possono essere trascurati, in un contesto come quello attuale, aspetti di cruciale importanza quali la tutela della salute dei docenti, dei discenti e il rispetto della privacy che, nell’era della digitalizzazione, acquistano un rilievo tutt’altro che secondario.
Esemplificativamente, il dirigente – nell’assolvimento del proprio compito di avviare modalità di didattica digitale integrata – dovrà scrupolosamente accertarsi che sia rispettata la normativa di protezione dati posta a base della tutela degli interessati (art. 4, par.1 GDPR), avendo riguardo dell’adozione di tecnologie che comportano un inevitabile aumento dei casi di violazione dei dati personali.
Se da una parte – infatti – il Ministero ha fornito sin dall’inizio, con vari provvedimenti, le coordinate entro cui l’attivazione di modalità di DDI possa essere esplicata, dall’altra il dirigente scolastico ed i docenti detengono un preciso obbligo di adattamento alle quotidiane sfide, che li vede spesso agire in un contesto privo dei necessari mezzi.
Viste le incertezze circa l’attuale ripresa delle lezioni con le classiche modalità di insegnamento, sarebbe stato forse opportuno, da parte del MIUR, sollecitare lo “sfruttamento” del periodo di sospensione estiva, quale banco di prova per gli istituti scolastici per familiarizzare con le nuove modalità di insegnamento, investendo nella digitalizzazione e nella formazione del corpo docente in merito all’insegnamento a distanza
I nuovi scenari che i contesti scolastici stanno vivendo devono essere visti come opportunità di crescita per il nostro paese, così da poter trasmettere alle prossime generazioni, in un contesto di continua digitalizzazione, una nuova cultura sociale della protezione dei dati personali.
