Già durante la fase critica del lockdown, il Garante per la Protezione dei dati personali sentì il bisogno di far sentire la sua voce sulla allora emergente della Didattica a Distanza (DaD) e il suo rapporto con la tutela dei soggetti coinvolti, tenendo conto che nella maggioranza dei casi si parla di minori e addirittura bambini. Premesso quindi che non doveva essere richiesto alcun tipo di consenso per la didattica a distanza, veniva dato spazio all’autonomia degli istituti nella scelta delle modalità di svolgimento delle lezioni nel rispetto dei canoni indicati dal GDPR, in particolare quelli della Privacy by Design e by Default.

Il protrarsi di una situazione emergenziale ha portato a focalizzarsi sulla sicurezza delle piattaforme scelte, anche a seguito di almeno un episodio di irruzione da parte di un estraneo durante una lezione online, con conseguenze anche di traumi per i bambini. Anche da qui, oltretutto non essendo in grado di prevedere una fine alle lezioni online, gli interrogativi su come tutelare al meglio non solo i dati personali coinvolti nell’intero processo, ma anche e principalmente la sicurezza degli studenti che corrono il rischio, in primis di vedere sottratte le loro immagini. Di minore rilevanza, viceversa, le lamentele emerse in qualche chat e gruppo social da parte di genitori che rivendicavano il diritto ad impedire ad altri di poter osservare l’interno delle loro abitazioni.

Dal punto di vista tecnico è stato posto in evidenza, tra le varie problematiche emerse ed i possibili approcci, come la materia possa essere considerata sotto le due diverse prospettive del processo di scelta del fornitore e della fase di monitoraggio dei dati da parte del Titolare del trattamento, vale a dire la scuola. Sotto il primo punto di vista, premesso che è difficile sostenere che il fornitore della piattaforma possa considerarsi responsabile esterno del trattamento (difficile ipotizzare che arrivi a firmare l’accettazione di una lettera di incarico in tal senso), spetta all’Istituto scolastico, in qualità di titolare del trattamento nella persona del Dirigente Scolastico, decidere autonomamente le modalità di trattamento dei dati nel rispetto della normativa vigente in materia. Ovviamente non possono essere previste registrazioni delle lezioni, in quanto forma di trattamento non prevista e, per la quale, sarebbe necessaria la raccolta di espresso consenso.

In ogni caso occhio anche al fornitore che, nella quasi totalità dei casi, mette a disposizione soltanto una piattaforma e, pur potendo controllare i dati, deve garantire il loro utilizzo limitato al tempo e agli unici ed esclusivi scopi di consentire lo svolgimento delle lezioni. Inoltre l’uso della piattaforma non deve essere in alcun modo condizionato: studenti e genitori, nel caso di figli minori, devono poter usare i servizi di didattica online senza che il gestore della piattaforma imponga loro l’obbligo di firmare consensi al trattamento dei dati per altri servizi online non collegati all’attività didattica. Del resto il contratto è esclusivamente tra il fornitore e la scuola che, ripetiamo, non ha necessità di altri consensi.

Il compito del fornitore sarà quello di garantire la sicurezza delle connessioni, ma qui si pone il non semplice problema della bontà delle linee usate dalle famiglie: sorgono ovvi e fondati dubbi sulla loro effettiva sicurezza. Inoltre è decisamente impossibile avere la certezza che i computer o gli altri strumenti utilizzati da parte dell’utenza non siano affetti da virus o utilizzati per una navigazione non sempre corretta. E’ un aspetto che sembra non essere ancora emerso appieno, ma con cui si dovrà fare conto fino al termine dell’emergenza e, in ogni caso, è argomento che richiede la partecipazione e il coinvolgimento delle famiglie.