.
di Andrea D’Amato, Dottore in Giurisprudenza, Avvocato
Sommario: 1. Premessa: emergenza sanitaria e didattica a distanza. 2. Il digital divide come “problema costituzionale”. 3. Una didattica digitale a prova di privacy? 4. Conclusioni.
- Premessa: emergenza sanitaria e didattica a distanza.
Può sembrare “fuori tempo massimo”, per così dire, proporre una riflessione su alcuni aspetti giuridici connessi all’emergenza sanitaria da Covid-19. Tuttavia, a cinque anni di distanza dalla diffusione della pandemia, i tempi sono semmai maturi per una discussione scientifica condotta senza facili polarizzazioni, quasi a voler offrire un “bilancio” ragionato – sul piano costituzionale – di un’esperienza che ha provocato non poche torsioni rispetto alle dinamiche dello Stato costituzionale di diritto[1].
Certamente, un aspetto di particolare interesse riguarda i profili giuridici della didattica a distanza: tale oggetto di riflessione, difatti, può rappresentare al tempo stesso una “lente” – per indagare un esempio specifico di “bilanciamento” tra interessi costituzionalmente rilevanti condotto dal legislatore emergenziale – e un “grandangolo” – col quale poter allargare lo sguardo per cogliere una più ampia dinamica attinente, solo per dirne una, al tema generale della tutela costituzionale dei soggetti deboli e alla tenuta del principio di eguaglianza in senso sostanziale.
Com’è noto, sin dalle prime battute, il legislatore ha individuato nell’applicazione della didattica a distanza la modalità privilegiata di bilanciamento tra le esigenze della tutela della salute, nella sua duplice accezione di diritto fondamentale dell’individuo e di interesse della collettività (art. 32 Cost.), e la garanzia del diritto all’istruzione (art. 34 Cost.).
Già l’articolo 4, primo comma, lettera d) del Decreto del Presidente del Consiglio dei Ministri (DPCM) del 1° marzo 2020 prevedeva che i dirigenti scolastici degli istituti nei quali le attività erano state sospese avessero la facoltà di attivare la didattica a distanza (DAD), tenendo conto anche delle specifiche esigenze degli studenti con disabilità. Questa disposizione è stata sostanzialmente confermata dall’articolo 2, primo comma, lettera m) del successivo DPCM dell’8 marzo, che ha contestualmente sospeso le attività scolastiche in presenza su tutto il territorio nazionale.
È stato, però, in particolare il successivo decreto-legge n. 22 del 2020 a rendere obbligatoria la didattica a distanza[2].
Rendere effettive queste misure legislative, tuttavia, ha incontrato non poche difficoltà operative.
In dottrina, è stato osservato, in proposito, che l’applicazione della didattica a distanza ha reso evidente l’emersione di tre profili principali di diseguaglianza, propri – più in generale – della “nuova” società digitale. “Il primo concerne una diseguaglianza di tipo sociale tra studenti: quando il minore varca la soglia della scuola cancella temporaneamente gli eventuali gap esistenti in termini di condizioni di vita, atteso che il ‘luogo’ nel quale ciascuno studente soddisfa il proprio diritto all’istruzione è uguale per tutti; con la DAD tale appianamento delle diseguaglianze viene meno e le diverse condizioni abitative esistenti tra studenti (sovraffollamento, ambiente rumoroso, assenza di adulti che stimolino il minore a seguire la lezione) incidono inevitabilmente sull’effettività del servizio scolastico. La seconda forma di diseguaglianza (…) è, invece, di tipo più squisitamente economico, e riguarda il maggiore o minore (se non, addirittura, inesistente) accesso alle tecnologie necessarie per poter fruire della DAD (…). In ultimo (…) un fattore di diseguaglianza che non riguarda direttamente i singoli studenti, bensì i loro istituti scolastici: la scelta di affidare per un lungo periodo di tempo l’erogazione di un servizio così essenziale come quello all’istruzione ad un modello che implica l’utilizzo di piattaforme digitali e altre facilities tecnologiche si scontra con un contesto di grande diversità infrastrutturale tra istituti scolastici, in parte legato al modello della c.d. autonomia scolastica ed alle perduranti differenze esistenti sul territorio italiano tra nord e sud e tra centro e periferia”[3].
2. Il digital divide come “problema costituzionale”.
Uno dei principali profili di diseguaglianza connessi all’applicazione della didattica digitale ha riguardato il cosiddetto digital divide, ovverosia “il divario tecnologico fra le diverse generazioni e i diversi contesti economici e sociali”, che – allo stato – “non consente alla rete di estendersi con la dovuta uniformità e generalità”[4].
Le diseguaglianze di fatto, infatti, impediscono la piena fruizione di Internet[5] rappresentando a tutti gli effetti la proiezione nel mondo della rivoluzione digitale di quegli “ostacoli di ordine economico e sociale” che la Repubblica si impegna a rimuovere ex art. 3, 2° comma, Cost., e contribuendo – così – ad acuire i fenomeni di povertà educativa (e che solo il PNRR, pur con le sue inevitabili ambiguità, ha provato ad affrontare[6]).
Orbene, “la non uniforme diffusione della rete in tutto il territorio nazionale, le disagevoli condizioni economiche degli individui, la mancanza di un numero adeguato di dispositivi digitali nei nuclei familiari meno fortunati, la non sempre omogenea conoscenza degli strumenti informatici (…) rappresentano alcuni fra i tanti fattori in cui si sostanzia il divario tecnologico, integrando ipotesi di diseguaglianza intollerabili che pregiudicano l’effettivo godimento dei diritti fondamentali, ivi compreso – in un periodo di didattica a distanza – il diritto all’istruzione”[7].
È emerso, quindi, un problema di physical access alle tecnologie, che si accompagna a quello relativo agli “esiti” (outcomes), ovverosia alle situazioni di diseguaglianza non solo nell’accesso ma anche nell’impiego delle tecnologie (si pensi, per esempio, alle varie situazioni di “divario digitale di genere”, di “divario geografico”, di “divario partecipativo” e di “divario socio-culturale”[8], come evidenziato dai parametri utilizzati dalla Commissione Europea nella predisposizione dell’indice di digitalizzazione dell’economia e della società).
Si può dire, in buona sostanza, che il tema delle diseguaglianze è stato “macroscopicamente disvelato dal divario tra gli studenti per quanto riguarda il loro accesso alla rete ed ai dispositivi informatici”: durante la pandemia da Coronavirus del 2020, “in Italia è stato registrato che tra gli scolari dai 6 ai 17 anni, molti non hanno accesso ad un’attrezzatura informatica adeguata. Le cifre sono preoccupanti: il 12,3% è senza PC o tablet a casa. «Il divario territoriale anche in questo caso è rilevante, 7,5% al Nord contro 19% nel Mezzogiorno, e assume dimensioni crescenti in base alle caratteristiche delle famiglie di appartenenza» (Rapporto SVIMEZ 2020, ndr). Il calcolo di queste percentuali, non riportando quanti studenti si avvalgono semplicemente di uno smartphone, lascia inevaso il dubbio relativo, mentre risulta che il 57,0% condivida un device con un membro della famiglia. Solo il 6,1% risulta avere un personal computer a propria disposizione. Nel caso di genitori con al massimo la scuola dell’obbligo, la percentuale di ragazzi che non ha disponibilità di un sussidio informatico nel Sud raggiunge il 34%”[9].
A ciò si aggiunge “la mancanza di accesso a Internet a banda larga in vaste aree del paese. Il Ministero dell’Istruzione ha recentemente annunciato che il Piano scuola, approvato dal Comitato Nazionale per la banda larga, ha raddoppiato i fondi disponibili per garantire il collegamento all’81,4% delle scuole primarie e secondarie. Oltre 400 milioni di euro sono già stati investiti a questo scopo e saranno utilizzati da un lato per collegare più di 32.000 strutture scolastiche e dall’altro per fornire alle famiglie finanziamenti legati al reddito per l’accesso a Internet a banda larga”[10].
Anche alla luce di questi dati, si può affermare con sicurezza, allora, che, nell’alveo del moderno dibattito costituzionale, la questione del divario digitale emerge con prepotente urgenza, quale nodo cruciale nel dispiegarsi dei diritti fondamentali.
Il digital divide non rappresenta un mero ostacolo tecnologico, bensì una cesura profonda che mina il perseguimento dell’obiettivo dell’uguaglianza sostanziale di cui all’art. 3, secondo comma, Cost. In un’epoca dominata dalla digitalizzazione, ciò si traduce in una disparità nell’esercizio dei diritti di cittadinanza, a partire – come ha evidenziato il caso dell’applicazione della didattica a distanza nel periodo emergenziale – dal diritto all’istruzione.
La Costituzione, com’è noto, impone alla Repubblica (art. 3, secondo comma) il dovere di rimuovere gli ostacoli che, limitando di fatto la libertà e l’eguaglianza dei cittadini, impediscono il pieno sviluppo della persona umana. Pertanto, il contrasto al digital divide assurge a compito imprescindibile per le istituzioni repubblicane, le quali devono adoperarsi con ogni mezzo per garantire un accesso equo e diffuso alle tecnologie digitali, affinché, anche attraverso di esse, ogni individuo possa dispiegare appieno il proprio potenziale e partecipare in modo attivo e consapevole alla vita sociale e politica del Paese.
3. Una didattica digitale a prova di privacy?
Accanto al problema del divario tecnologico, l’applicazione della didattica a distanza ha aperto anche la questione relativa al trattamento e alla protezione dei dati personali di docenti e studenti nell’utilizzo delle piattaforme informatiche impiegate dalle strutture scolastiche ai fini dell’implementazione delle attività e, quindi, dell’esercizio dei diritti costituzionali dei soggetti coinvolti (libertà di insegnamento del docente, diritto all’istruzione dello studente).
Al fine di fornire alle istituzioni scolastiche linee di indirizzo comuni e principi generali per l’implementazione della DDI (cfr. supra, nota 2), con particolare riguardo agli aspetti inerenti alla sicurezza in rete e alla tutela dei dati personali, il Gruppo di lavoro congiunto Ministero dell’Istruzione-Ufficio del Garante per la protezione dei dati personali ha accompagnato le Linee guida sulla DDI, adottate con D.M. n. 89 del 7 agosto 2020, con specifiche indicazioni, di carattere generale, sui profili di sicurezza e protezione dei dati personali sulla base di quanto previsto dal Reg. UE 2016/679[11].
Con il menzionato documento si sono ripresi e approfonditi alcuni aspetti relativamente ai quali si era già espresso il Garante Privacy con Provvedimento n. 64 del 26 marzo 2020.
Innanzitutto, sono stati individuati i ruoli e le responsabilità dei vari attori coinvolti.
Al di là degli interessati (alunni, studenti, insegnanti e genitori) i cui dati possono essere oggetto di trattamento, particolare attenzione va infatti rivolta ai soggetti che intervengono in modo attivo nel trattamento di tali dati personali.
In specie vengono in gioco: il Titolare del trattamento[12], identificato nell’Istituto scolastico nella persona del dirigente scolastico; il Responsabile della protezione dei dati personali (RPD o DPO)[13] individuato in un soggetto interno o esterno al fine di coadiuvare il Titolare nel corretto trattamento dei dati personali[14]; il Personale autorizzato al trattamento, che si identifica negli insegnanti e nel personale scolastico che effettuano operazioni sui dati personali sotto l’autorità e in conformità alle indicazioni del titolare; il Responsabile del trattamento[15], identificato nei fornitori di piattaforme e servizi per la DDI.
Il provvedimento ribadisce[16] che il consenso dell’interessato (o meglio dei genitori del minore[17]) non è necessario in quanto il trattamento dei dati personali avviene per lo svolgimento dell’attività istituzionale di didattica ed è pertanto necessario all’esecuzione di un compito di interesse pubblico di cui è investita la scuola attraverso una modalità operativa prevista dalla normativa nazionale.
Ancorché il consenso non sia necessario, in ogni caso – in conformità ai principi di trasparenza e correttezza – la scuola deve fornire a tutte le categorie di interessati (insegnanti, studenti e genitori) un’informativa[18], redatta in forma sintetica e con un linguaggio facilmente comprensibile anche dai minori, che specifichi, in particolare, i tipi di dati e le modalità di trattamento degli stessi, i tempi di conservazione e le altre operazioni di trattamento, precisando che i dati raccolti saranno trattati esclusivamente per l’erogazione di tale modalità di didattica, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale.
Nel rispetto del principio di limitazione della conservazione dei dati[19], gli istituti scolastici devono assicurare che gli stessi non siano conservati più a lungo del necessario, definendo il limite temporale in relazione alla finalità del trattamento per l’attività di DDI e, magari, prevedendo la loro cancellazione al termine del progetto didattico.
Aspetto centrale è poi costituito dalla scelta del fornitore del servizio per la DDI e dalla regolazione del relativo rapporto. La scuola può optare, difatti, per diverse soluzioni a seconda delle specifiche esigenze.
Un’opzione può essere quella di ricorrere a strumenti e piattaforme per la DDI gestite in via autonoma, senza il ricorso a soggetti esterni, evitando così la nomina di un responsabile del trattamento.
Diversamente, qualora l’istituto scolastico, per la fornitura di tali servizi, ritenga opportuno ricorrere a un soggetto esterno[20] deve procedere alla nomina di tale soggetto come responsabile esterno e regolare il relativo rapporto con apposito contratto o atto giuridico[21].
Attraverso tale atto vanno precisati l’ambito, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, nonché disciplinata la possibilità del responsabile esterno di avvalersi di sub-responsabili.
La scuola deve prestare molta attenzione nella scelta del fornitore del servizio e della piattaforma da impiegare ricorrendo a soggetti che presentino garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate agli specifici trattamenti posti in essere per conto dell’istituzione stessa. In particolare, le istituzioni scolastiche devono assicurarsi che i dati trattati per loro conto siano utilizzati solo per la DDI, senza l’introduzione di ulteriori finalità estranee all’attività scolastica.
È pertanto necessario prevedere, nell’atto che disciplina il rapporto con il responsabile del trattamento, specifiche istruzioni sulla conservazione dei dati, sulla cancellazione o sulla restituzione dei dati al temine dell’accordo tra scuola e fornitore, nonché sulle procedure di gestione di eventuali violazioni di dati personali, secondo quanto disposto dal Reg. UE 2016/679.
Tanto nella fase di scelta del fornitore che di regolazione e gestione del rapporto con lo stesso un ruolo importante è ricoperto dal responsabile della protezione dei dati (RPD) che, grazie alle sue competenze professionali, può indirizzare meglio il dirigente scolastico nella soluzione più idonea e sicura.
La consulenza offerta dal RPD è fondamentale anche per l’adozione di misure tecniche e organizzative adeguate sulla base del rischio, così da assicurare che i dati vengano protetti da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o da danni accidentali[22].
È infine esclusa la necessità di effettuare la valutazione d’impatto[23] per il trattamento svolto da una singola scuola nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consenta il monitoraggio sistematico degli utenti o comunque non ricorra a nuove soluzioni tecnologiche particolarmente invasive. Al contrario la valutazione d’impatto deve essere predisposta qualora la scuola ricorra a piattaforme di gestione della didattica che offrano funzioni più avanzate e complesse e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche.
4. Conclusioni.
La crescente rilevanza assunta, a partire dal periodo dell’emergenza sanitaria, dagli strumenti volti a consentire lo svolgimento dell’attività didattica a distanza impone di riservare maggiore attenzione alle questioni inerenti alla rimozione del divario tecnologico e alla garanzia della sicurezza e della protezione dei dati personali.
Ciò dovrebbe comportare, per esempio, che, tra i criteri da seguire nella scelta degli strumenti tecnologici per lo svolgimento dell’attività formativa da remoto, devono assumere rilievo anche quelli inerenti alle garanzie offerte in termini di protezione dei dati.
La bussola per il legislatore e per l’amministrazione scolastica non può non essere rappresentata, ancora una volta, dall’art. 3, secondo comma, Cost.: è in nome del principio di eguaglianza in senso sostanziale, quindi, che la Repubblica è chiamata ad assicurare piena effettività all’esercizio dei diritti fondamentali – ivi compreso, evidentemente, il diritto alla protezione dei dati personali – e a rimuovere gli ostacoli che impediscono il pieno sviluppo della persona anche nella società digitale.
Lo strumento della didattica digitale, in quest’ottica, se inteso come espressione dell’autonomia didattica, non può essere interpretato e usato come un monolite ma come materiale composito, in grado di rispondere alle nuove esigenze della comunità scolastica[24], onde includere maggiormente alunni prima emarginati dalle tradizionali modalità di lezione o dalle distanze geografiche (e non, invece, come fonte di ulteriore esclusione).
La didattica digitale, quindi, non può assorbire la didattica tradizionale, ma, piuttosto, può rappresentare uno strumento a disposizione per integrare la medesima, per situazioni particolari, in un’ottica di “personalizzazione” orientata in particolare alle esigenze dei soggetti deboli.
[1] Un quadro, in proposito, è offerto da A. Lamberti, Emergenza sanitaria, Costituzione, soggetti deboli: vecchi e nuovi diritti alla prova della pandemia, in Federalismi.it, 6/2022, pp. 160 ss.
[2] Si ricorda, che, successivamente, il Decreto Ministeriale n. 39 del 26 giugno 2020 ha introdotto la Didattica Digitale Integrata (DDI), che costituisce una semplice ridefinizione della didattica a distanza solo in presenza di situazioni di contenimento del contagio che richiedano la momentanea sospensione delle attività didattiche nei plessi scolastici. A seguire, il Decreto Ministeriale n. 89 del 7 agosto 2020, recante le Linee Guida sulla DDI, ha evidenziato come opzione privilegiata la frequenza scolastica in presenza per gli alunni con disabilità, considerando la possibilità di eventuali turnazioni tra presenza e distanza, d’intesa con le famiglie, il docente di sostegno e le varie figure di supporto.
[3] M. Calabrò – S. Tuccillo, Diritto all’istruzione e social diversity in Italia nel periodo pandemico, in Ambiente Diritto, 1/2022, pp. 5-6.
[4] Così F. Gallo, Democrazia 2.0. La Costituzione, i cittadini e le nuove forme di partecipazione, in Gnosis – Rivista italiana di Intelligence, 2014, p. 64. Sull’incidenza del digital divide sul godimento dei diritti sociali fondamentali ai tempi del Coronavirus, cfr. P. Zuddas, Covid-19 e digital divide: tecnologie digitali e diritti sociali alla prova dell’emergenza sanitaria, in Osservatorio AIC, 3/2020, pp. 285-307.
[5] Sulla possibile configurazione di un diritto di accesso ad Internet, cfr. almeno A. Lamberti, Libertà di informazione e democrazia ai tempi della società digitale: problemi e prospettive, in Consulta Online, 2/2022, pp. 875 ss. e spec. pp. 877 ss.
[6] Cfr., sul punto, A. Berrito – G. Gargiulo, Infanzia e povertà educativa nel Pnrr: le distanze tra le politiche pubbliche e la ricerca scientifica nell’implementazione di interventi sociali, in Autonomie locali e servizi sociali, 2/2022, pp. 237 ss.
[7] A. Lamberti, Emergenza sanitaria, Costituzione, soggetti deboli: vecchi e nuovi diritti alla prova della pandemia, cit., p. 199.
[8] In argomento, v. S. Vantin, Digital divide. Discriminazioni e vulnerabilità nell’epoca della rete globale, in T. Casadei – S. Pietropaoli (a cura di), Diritto e tecnologie informatiche, Cedam, Padova, 2021, pp. 233 ss.; per un quadro generale, v. già L. Sartori, Il divario digitale. Internet e le nuove disuguaglianze sociali, Il Mulino, Bologna, 2006 e S. Bentivegna, Disuguaglianze digitali: le nuove forme di esclusione nella società dell’informazione, Laterza, Roma-Bari, 2009.
[9] R. Calvano, L’istruzione, il Covid-19 e le diseguaglianze, in Costituzionalismo.it, 3/2020, pp. 81-82.
[10] Ivi, p. 82.
[11] Documento Didattica Digitale Integrata e tutela della privacy: indicazioni generali, allegato alla nota del MIUR del 3 settembre 2020, prot. 11600.
[12] Ai sensi dell’art. 4, par. 1, n. 7 del Reg. UE 2016/679 il Titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
[13] La figura del Responsabile della protezione dei dati personali, regolata agli artt. 37 e ss. del Reg. UE 2016/679, è designata dal Titolare in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, al fine di un corretto e sicuro trattamento dei dati personali effettuato dal Titolare.
[14] Nella specie il Responsabile della protezione dei dati personali deve collaborare con il Dirigente scolastico nei seguenti compiti: consulenza in ordine alla necessità di eseguire la valutazione di impatto; supporto nella scelta delle tecnologie più appropriate per la DDI; consulenza nell’adozione delle misure di sicurezza più adeguate; supporto nella predisposizione del contratto o altro atto giuridico con il fornitore dei servizi per la DDI; supporto nella designazione del personale autorizzato al trattamento dei dati personali; supporto nelle campagne di sensibilizza-zione rivolte al personale autorizzato e agli interessati sugli aspetti inerenti alla tutela dei dati personali e sull’uso consapevole delle tecnologie utilizzate per la DDI.
[15] Ai sensi dell’art. 4, par. 1, n. 8 del Reg. UE 2016/679 il Responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
[16] In tal senso si era già espresso il Garante Privacy con Provvedimento n. 64 del 26 marzo 2020, Didattica a distanza: prime indicazioni.
[17] Sui poteri degli esercenti la responsabilità genitoriale in tema di privacy dei minori cfr. C. Camardi, Minori e privacy nel contesto delle relazioni familiari, in R. Senigaglia (a cura di), Autodeterminazione e minore età. Itinerari di diritto minorile, Pacini Giuridica, Pisa, 2019, pp. 117 ss.
[18] Devono essere rese all’interessato tutte le informazioni essenziali in ordine al trattamento dei suoi dati personali secondo quanto previsto dagli artt. 13 e 14 del Reg. UE 2016/679.
[19] L’art. 5, lett. e) del Reg. UE 2016/679 prevede che i dati personali siano “conservati in forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
[20] In tal caso l’istituto scolastico può decidere di rivolgersi a piattaforme o strumenti di DDI offerti da operatori che già forniscono alla scuola altri servizi (come il registro elettronico), oppure utilizzare piattaforme disponibili a titolo gratuito o avvalersi di piattaforme più complesse che includono una più vasta gamma di servizi, anche non rivolti esclusivamente alla didattica. In quest’ultimo caso (come già sottolineato dal Garante Privacy nel Provvedimento n. 64 del 26 marzo 2020) è necessario verificare, con il supporto del RPD, che siano attivati solo i servizi strettamente correlati con la DDI, configurando i servizi in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando il ricorso alla geolocalizzazione o a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).
[21] Con riguardo al rapporto con il responsabile esterno si rinvia a quanto previsto dall’art. 28 del Reg. UE 2016/679.
[22] Al fine di meglio orientare gli istituti scolastici il MIUR e l’Ufficio del Garante, con il documento “Didattica Digitale Integrata e tutela della privacy: indicazioni generali”, hanno indicato, in via esemplificativa, alcune misure: adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti; utilizzo di robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione; definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati; definizione di password policy adeguate (es. regole di composizione, scadenza periodica, ecc.); conservazione delle password degli utenti, mediante l’utilizzo di funzioni di hashing allo stato dell’arte (es. PBKDF2, bcrypt, ecc.) e di salt di lunghezza adeguata; utilizzo di canali di trasmissione sicuri tenendo conto dello stato dell’arte; adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery); utilizzo di sistemi di protezione perimetrale, adeguatamente configurati in funzione del contesto operativo; utilizzo di sistemi antivirus e anti malware costantemente aggiornati; aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità; registrazione degli accessi e delle operazioni compiute in appositi file di log, ai fini della verifica della correttezza e legittimità del trattamento dei dati; definizione di istruzioni da fornire ai soggetti autorizzati al trattamento; formazione e sensibilizzazione degli utenti.
[23] Sul punto si rinvia all’art. 35 del Reg. UE 2016/679, alle Linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248) e alle indicazioni fornite sul punto dal Garante Privacy sul proprio sito (http//:www.garanteprivacy.it).
[24][24] Nella prospettiva coltivata già da V. Crisafulli, La scuola nella Costituzione, in Rivista trimestrale di diritto pubblico, 1956, pp. 95 ss., che sottolineava anche “il rispetto della personalità umana dell’alunno (…) come limite insuperabile ai poteri di supremazia delle istituzioni scolastiche” (p. 97). L’idea crisafulliana di “comunità scolastica” è stata recentemente ripresa da E. Gianfrancesco, La comunità scolastica nella forma di Stato, in Rivista AIC, 1/2024, pp. 561 ss.
Profili costituzionali della didattica a distanza.
Digital divide e protezione dei dati personali: brevi considerazioni.
di Andrea D’Amato, Dottore in Giurisprudenza, Avvocato
Sommario: 1. Premessa: emergenza sanitaria e didattica a distanza. 2. Il digital divide come “problema costituzionale”. 3. Una didattica digitale a prova di privacy? 4. Conclusioni.
- Premessa: emergenza sanitaria e didattica a distanza.
Può sembrare “fuori tempo massimo”, per così dire, proporre una riflessione su alcuni aspetti giuridici connessi all’emergenza sanitaria da Covid-19. Tuttavia, a cinque anni di distanza dalla diffusione della pandemia, i tempi sono semmai maturi per una discussione scientifica condotta senza facili polarizzazioni, quasi a voler offrire un “bilancio” ragionato – sul piano costituzionale – di un’esperienza che ha provocato non poche torsioni rispetto alle dinamiche dello Stato costituzionale di diritto[1].
Certamente, un aspetto di particolare interesse riguarda i profili giuridici della didattica a distanza: tale oggetto di riflessione, difatti, può rappresentare al tempo stesso una “lente” – per indagare un esempio specifico di “bilanciamento” tra interessi costituzionalmente rilevanti condotto dal legislatore emergenziale – e un “grandangolo” – col quale poter allargare lo sguardo per cogliere una più ampia dinamica attinente, solo per dirne una, al tema generale della tutela costituzionale dei soggetti deboli e alla tenuta del principio di eguaglianza in senso sostanziale.
Com’è noto, sin dalle prime battute, il legislatore ha individuato nell’applicazione della didattica a distanza la modalità privilegiata di bilanciamento tra le esigenze della tutela della salute, nella sua duplice accezione di diritto fondamentale dell’individuo e di interesse della collettività (art. 32 Cost.), e la garanzia del diritto all’istruzione (art. 34 Cost.).
Già l’articolo 4, primo comma, lettera d) del Decreto del Presidente del Consiglio dei Ministri (DPCM) del 1° marzo 2020 prevedeva che i dirigenti scolastici degli istituti nei quali le attività erano state sospese avessero la facoltà di attivare la didattica a distanza (DAD), tenendo conto anche delle specifiche esigenze degli studenti con disabilità. Questa disposizione è stata sostanzialmente confermata dall’articolo 2, primo comma, lettera m) del successivo DPCM dell’8 marzo, che ha contestualmente sospeso le attività scolastiche in presenza su tutto il territorio nazionale.
È stato, però, in particolare il successivo decreto-legge n. 22 del 2020 a rendere obbligatoria la didattica a distanza[2].
Rendere effettive queste misure legislative, tuttavia, ha incontrato non poche difficoltà operative.
In dottrina, è stato osservato, in proposito, che l’applicazione della didattica a distanza ha reso evidente l’emersione di tre profili principali di diseguaglianza, propri – più in generale – della “nuova” società digitale. “Il primo concerne una diseguaglianza di tipo sociale tra studenti: quando il minore varca la soglia della scuola cancella temporaneamente gli eventuali gap esistenti in termini di condizioni di vita, atteso che il ‘luogo’ nel quale ciascuno studente soddisfa il proprio diritto all’istruzione è uguale per tutti; con la DAD tale appianamento delle diseguaglianze viene meno e le diverse condizioni abitative esistenti tra studenti (sovraffollamento, ambiente rumoroso, assenza di adulti che stimolino il minore a seguire la lezione) incidono inevitabilmente sull’effettività del servizio scolastico. La seconda forma di diseguaglianza (…) è, invece, di tipo più squisitamente economico, e riguarda il maggiore o minore (se non, addirittura, inesistente) accesso alle tecnologie necessarie per poter fruire della DAD (…). In ultimo (…) un fattore di diseguaglianza che non riguarda direttamente i singoli studenti, bensì i loro istituti scolastici: la scelta di affidare per un lungo periodo di tempo l’erogazione di un servizio così essenziale come quello all’istruzione ad un modello che implica l’utilizzo di piattaforme digitali e altre facilities tecnologiche si scontra con un contesto di grande diversità infrastrutturale tra istituti scolastici, in parte legato al modello della c.d. autonomia scolastica ed alle perduranti differenze esistenti sul territorio italiano tra nord e sud e tra centro e periferia”[3].
2. Il digital divide come “problema costituzionale”.
Uno dei principali profili di diseguaglianza connessi all’applicazione della didattica digitale ha riguardato il cosiddetto digital divide, ovverosia “il divario tecnologico fra le diverse generazioni e i diversi contesti economici e sociali”, che – allo stato – “non consente alla rete di estendersi con la dovuta uniformità e generalità”[4].
Le diseguaglianze di fatto, infatti, impediscono la piena fruizione di Internet[5] rappresentando a tutti gli effetti la proiezione nel mondo della rivoluzione digitale di quegli “ostacoli di ordine economico e sociale” che la Repubblica si impegna a rimuovere ex art. 3, 2° comma, Cost., e contribuendo – così – ad acuire i fenomeni di povertà educativa (e che solo il PNRR, pur con le sue inevitabili ambiguità, ha provato ad affrontare[6]).
Orbene, “la non uniforme diffusione della rete in tutto il territorio nazionale, le disagevoli condizioni economiche degli individui, la mancanza di un numero adeguato di dispositivi digitali nei nuclei familiari meno fortunati, la non sempre omogenea conoscenza degli strumenti informatici (…) rappresentano alcuni fra i tanti fattori in cui si sostanzia il divario tecnologico, integrando ipotesi di diseguaglianza intollerabili che pregiudicano l’effettivo godimento dei diritti fondamentali, ivi compreso – in un periodo di didattica a distanza – il diritto all’istruzione”[7].
È emerso, quindi, un problema di physical access alle tecnologie, che si accompagna a quello relativo agli “esiti” (outcomes), ovverosia alle situazioni di diseguaglianza non solo nell’accesso ma anche nell’impiego delle tecnologie (si pensi, per esempio, alle varie situazioni di “divario digitale di genere”, di “divario geografico”, di “divario partecipativo” e di “divario socio-culturale”[8], come evidenziato dai parametri utilizzati dalla Commissione Europea nella predisposizione dell’indice di digitalizzazione dell’economia e della società).
Si può dire, in buona sostanza, che il tema delle diseguaglianze è stato “macroscopicamente disvelato dal divario tra gli studenti per quanto riguarda il loro accesso alla rete ed ai dispositivi informatici”: durante la pandemia da Coronavirus del 2020, “in Italia è stato registrato che tra gli scolari dai 6 ai 17 anni, molti non hanno accesso ad un’attrezzatura informatica adeguata. Le cifre sono preoccupanti: il 12,3% è senza PC o tablet a casa. «Il divario territoriale anche in questo caso è rilevante, 7,5% al Nord contro 19% nel Mezzogiorno, e assume dimensioni crescenti in base alle caratteristiche delle famiglie di appartenenza» (Rapporto SVIMEZ 2020, ndr). Il calcolo di queste percentuali, non riportando quanti studenti si avvalgono semplicemente di uno smartphone, lascia inevaso il dubbio relativo, mentre risulta che il 57,0% condivida un device con un membro della famiglia. Solo il 6,1% risulta avere un personal computer a propria disposizione. Nel caso di genitori con al massimo la scuola dell’obbligo, la percentuale di ragazzi che non ha disponibilità di un sussidio informatico nel Sud raggiunge il 34%”[9].
A ciò si aggiunge “la mancanza di accesso a Internet a banda larga in vaste aree del paese. Il Ministero dell’Istruzione ha recentemente annunciato che il Piano scuola, approvato dal Comitato Nazionale per la banda larga, ha raddoppiato i fondi disponibili per garantire il collegamento all’81,4% delle scuole primarie e secondarie. Oltre 400 milioni di euro sono già stati investiti a questo scopo e saranno utilizzati da un lato per collegare più di 32.000 strutture scolastiche e dall’altro per fornire alle famiglie finanziamenti legati al reddito per l’accesso a Internet a banda larga”[10].
Anche alla luce di questi dati, si può affermare con sicurezza, allora, che, nell’alveo del moderno dibattito costituzionale, la questione del divario digitale emerge con prepotente urgenza, quale nodo cruciale nel dispiegarsi dei diritti fondamentali.
Il digital divide non rappresenta un mero ostacolo tecnologico, bensì una cesura profonda che mina il perseguimento dell’obiettivo dell’uguaglianza sostanziale di cui all’art. 3, secondo comma, Cost. In un’epoca dominata dalla digitalizzazione, ciò si traduce in una disparità nell’esercizio dei diritti di cittadinanza, a partire – come ha evidenziato il caso dell’applicazione della didattica a distanza nel periodo emergenziale – dal diritto all’istruzione.
La Costituzione, com’è noto, impone alla Repubblica (art. 3, secondo comma) il dovere di rimuovere gli ostacoli che, limitando di fatto la libertà e l’eguaglianza dei cittadini, impediscono il pieno sviluppo della persona umana. Pertanto, il contrasto al digital divide assurge a compito imprescindibile per le istituzioni repubblicane, le quali devono adoperarsi con ogni mezzo per garantire un accesso equo e diffuso alle tecnologie digitali, affinché, anche attraverso di esse, ogni individuo possa dispiegare appieno il proprio potenziale e partecipare in modo attivo e consapevole alla vita sociale e politica del Paese.
3. Una didattica digitale a prova di privacy?
Accanto al problema del divario tecnologico, l’applicazione della didattica a distanza ha aperto anche la questione relativa al trattamento e alla protezione dei dati personali di docenti e studenti nell’utilizzo delle piattaforme informatiche impiegate dalle strutture scolastiche ai fini dell’implementazione delle attività e, quindi, dell’esercizio dei diritti costituzionali dei soggetti coinvolti (libertà di insegnamento del docente, diritto all’istruzione dello studente).
Al fine di fornire alle istituzioni scolastiche linee di indirizzo comuni e principi generali per l’implementazione della DDI (cfr. supra, nota 2), con particolare riguardo agli aspetti inerenti alla sicurezza in rete e alla tutela dei dati personali, il Gruppo di lavoro congiunto Ministero dell’Istruzione-Ufficio del Garante per la protezione dei dati personali ha accompagnato le Linee guida sulla DDI, adottate con D.M. n. 89 del 7 agosto 2020, con specifiche indicazioni, di carattere generale, sui profili di sicurezza e protezione dei dati personali sulla base di quanto previsto dal Reg. UE 2016/679[11].
Con il menzionato documento si sono ripresi e approfonditi alcuni aspetti relativamente ai quali si era già espresso il Garante Privacy con Provvedimento n. 64 del 26 marzo 2020.
Innanzitutto, sono stati individuati i ruoli e le responsabilità dei vari attori coinvolti.
Al di là degli interessati (alunni, studenti, insegnanti e genitori) i cui dati possono essere oggetto di trattamento, particolare attenzione va infatti rivolta ai soggetti che intervengono in modo attivo nel trattamento di tali dati personali.
In specie vengono in gioco: il Titolare del trattamento[12], identificato nell’Istituto scolastico nella persona del dirigente scolastico; il Responsabile della protezione dei dati personali (RPD o DPO)[13] individuato in un soggetto interno o esterno al fine di coadiuvare il Titolare nel corretto trattamento dei dati personali[14]; il Personale autorizzato al trattamento, che si identifica negli insegnanti e nel personale scolastico che effettuano operazioni sui dati personali sotto l’autorità e in conformità alle indicazioni del titolare; il Responsabile del trattamento[15], identificato nei fornitori di piattaforme e servizi per la DDI.
Il provvedimento ribadisce[16] che il consenso dell’interessato (o meglio dei genitori del minore[17]) non è necessario in quanto il trattamento dei dati personali avviene per lo svolgimento dell’attività istituzionale di didattica ed è pertanto necessario all’esecuzione di un compito di interesse pubblico di cui è investita la scuola attraverso una modalità operativa prevista dalla normativa nazionale.
Ancorché il consenso non sia necessario, in ogni caso – in conformità ai principi di trasparenza e correttezza – la scuola deve fornire a tutte le categorie di interessati (insegnanti, studenti e genitori) un’informativa[18], redatta in forma sintetica e con un linguaggio facilmente comprensibile anche dai minori, che specifichi, in particolare, i tipi di dati e le modalità di trattamento degli stessi, i tempi di conservazione e le altre operazioni di trattamento, precisando che i dati raccolti saranno trattati esclusivamente per l’erogazione di tale modalità di didattica, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale.
Nel rispetto del principio di limitazione della conservazione dei dati[19], gli istituti scolastici devono assicurare che gli stessi non siano conservati più a lungo del necessario, definendo il limite temporale in relazione alla finalità del trattamento per l’attività di DDI e, magari, prevedendo la loro cancellazione al termine del progetto didattico.
Aspetto centrale è poi costituito dalla scelta del fornitore del servizio per la DDI e dalla regolazione del relativo rapporto. La scuola può optare, difatti, per diverse soluzioni a seconda delle specifiche esigenze.
Un’opzione può essere quella di ricorrere a strumenti e piattaforme per la DDI gestite in via autonoma, senza il ricorso a soggetti esterni, evitando così la nomina di un responsabile del trattamento.
Diversamente, qualora l’istituto scolastico, per la fornitura di tali servizi, ritenga opportuno ricorrere a un soggetto esterno[20] deve procedere alla nomina di tale soggetto come responsabile esterno e regolare il relativo rapporto con apposito contratto o atto giuridico[21].
Attraverso tale atto vanno precisati l’ambito, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, nonché disciplinata la possibilità del responsabile esterno di avvalersi di sub-responsabili.
La scuola deve prestare molta attenzione nella scelta del fornitore del servizio e della piattaforma da impiegare ricorrendo a soggetti che presentino garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate agli specifici trattamenti posti in essere per conto dell’istituzione stessa. In particolare, le istituzioni scolastiche devono assicurarsi che i dati trattati per loro conto siano utilizzati solo per la DDI, senza l’introduzione di ulteriori finalità estranee all’attività scolastica.
È pertanto necessario prevedere, nell’atto che disciplina il rapporto con il responsabile del trattamento, specifiche istruzioni sulla conservazione dei dati, sulla cancellazione o sulla restituzione dei dati al temine dell’accordo tra scuola e fornitore, nonché sulle procedure di gestione di eventuali violazioni di dati personali, secondo quanto disposto dal Reg. UE 2016/679.
Tanto nella fase di scelta del fornitore che di regolazione e gestione del rapporto con lo stesso un ruolo importante è ricoperto dal responsabile della protezione dei dati (RPD) che, grazie alle sue competenze professionali, può indirizzare meglio il dirigente scolastico nella soluzione più idonea e sicura.
La consulenza offerta dal RPD è fondamentale anche per l’adozione di misure tecniche e organizzative adeguate sulla base del rischio, così da assicurare che i dati vengano protetti da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o da danni accidentali[22].
È infine esclusa la necessità di effettuare la valutazione d’impatto[23] per il trattamento svolto da una singola scuola nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consenta il monitoraggio sistematico degli utenti o comunque non ricorra a nuove soluzioni tecnologiche particolarmente invasive. Al contrario la valutazione d’impatto deve essere predisposta qualora la scuola ricorra a piattaforme di gestione della didattica che offrano funzioni più avanzate e complesse e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche.
4. Conclusioni.
La crescente rilevanza assunta, a partire dal periodo dell’emergenza sanitaria, dagli strumenti volti a consentire lo svolgimento dell’attività didattica a distanza impone di riservare maggiore attenzione alle questioni inerenti alla rimozione del divario tecnologico e alla garanzia della sicurezza e della protezione dei dati personali.
Ciò dovrebbe comportare, per esempio, che, tra i criteri da seguire nella scelta degli strumenti tecnologici per lo svolgimento dell’attività formativa da remoto, devono assumere rilievo anche quelli inerenti alle garanzie offerte in termini di protezione dei dati.
La bussola per il legislatore e per l’amministrazione scolastica non può non essere rappresentata, ancora una volta, dall’art. 3, secondo comma, Cost.: è in nome del principio di eguaglianza in senso sostanziale, quindi, che la Repubblica è chiamata ad assicurare piena effettività all’esercizio dei diritti fondamentali – ivi compreso, evidentemente, il diritto alla protezione dei dati personali – e a rimuovere gli ostacoli che impediscono il pieno sviluppo della persona anche nella società digitale.
Lo strumento della didattica digitale, in quest’ottica, se inteso come espressione dell’autonomia didattica, non può essere interpretato e usato come un monolite ma come materiale composito, in grado di rispondere alle nuove esigenze della comunità scolastica[24], onde includere maggiormente alunni prima emarginati dalle tradizionali modalità di lezione o dalle distanze geografiche (e non, invece, come fonte di ulteriore esclusione).
La didattica digitale, quindi, non può assorbire la didattica tradizionale, ma, piuttosto, può rappresentare uno strumento a disposizione per integrare la medesima, per situazioni particolari, in un’ottica di “personalizzazione” orientata in particolare alle esigenze dei soggetti deboli.
[1] Un quadro, in proposito, è offerto da A. Lamberti, Emergenza sanitaria, Costituzione, soggetti deboli: vecchi e nuovi diritti alla prova della pandemia, in Federalismi.it, 6/2022, pp. 160 ss.
[2] Si ricorda, che, successivamente, il Decreto Ministeriale n. 39 del 26 giugno 2020 ha introdotto la Didattica Digitale Integrata (DDI), che costituisce una semplice ridefinizione della didattica a distanza solo in presenza di situazioni di contenimento del contagio che richiedano la momentanea sospensione delle attività didattiche nei plessi scolastici. A seguire, il Decreto Ministeriale n. 89 del 7 agosto 2020, recante le Linee Guida sulla DDI, ha evidenziato come opzione privilegiata la frequenza scolastica in presenza per gli alunni con disabilità, considerando la possibilità di eventuali turnazioni tra presenza e distanza, d’intesa con le famiglie, il docente di sostegno e le varie figure di supporto.
[3] M. Calabrò – S. Tuccillo, Diritto all’istruzione e social diversity in Italia nel periodo pandemico, in Ambiente Diritto, 1/2022, pp. 5-6.
[4] Così F. Gallo, Democrazia 2.0. La Costituzione, i cittadini e le nuove forme di partecipazione, in Gnosis – Rivista italiana di Intelligence, 2014, p. 64. Sull’incidenza del digital divide sul godimento dei diritti sociali fondamentali ai tempi del Coronavirus, cfr. P. Zuddas, Covid-19 e digital divide: tecnologie digitali e diritti sociali alla prova dell’emergenza sanitaria, in Osservatorio AIC, 3/2020, pp. 285-307.
[5] Sulla possibile configurazione di un diritto di accesso ad Internet, cfr. almeno A. Lamberti, Libertà di informazione e democrazia ai tempi della società digitale: problemi e prospettive, in Consulta Online, 2/2022, pp. 875 ss. e spec. pp. 877 ss.
[6] Cfr., sul punto, A. Berrito – G. Gargiulo, Infanzia e povertà educativa nel Pnrr: le distanze tra le politiche pubbliche e la ricerca scientifica nell’implementazione di interventi sociali, in Autonomie locali e servizi sociali, 2/2022, pp. 237 ss.
[7] A. Lamberti, Emergenza sanitaria, Costituzione, soggetti deboli: vecchi e nuovi diritti alla prova della pandemia, cit., p. 199.
[8] In argomento, v. S. Vantin, Digital divide. Discriminazioni e vulnerabilità nell’epoca della rete globale, in T. Casadei – S. Pietropaoli (a cura di), Diritto e tecnologie informatiche, Cedam, Padova, 2021, pp. 233 ss.; per un quadro generale, v. già L. Sartori, Il divario digitale. Internet e le nuove disuguaglianze sociali, Il Mulino, Bologna, 2006 e S. Bentivegna, Disuguaglianze digitali: le nuove forme di esclusione nella società dell’informazione, Laterza, Roma-Bari, 2009.
[9] R. Calvano, L’istruzione, il Covid-19 e le diseguaglianze, in Costituzionalismo.it, 3/2020, pp. 81-82.
[10] Ivi, p. 82.
[11] Documento Didattica Digitale Integrata e tutela della privacy: indicazioni generali, allegato alla nota del MIUR del 3 settembre 2020, prot. 11600.
[12] Ai sensi dell’art. 4, par. 1, n. 7 del Reg. UE 2016/679 il Titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
[13] La figura del Responsabile della protezione dei dati personali, regolata agli artt. 37 e ss. del Reg. UE 2016/679, è designata dal Titolare in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, al fine di un corretto e sicuro trattamento dei dati personali effettuato dal Titolare.
[14] Nella specie il Responsabile della protezione dei dati personali deve collaborare con il Dirigente scolastico nei seguenti compiti: consulenza in ordine alla necessità di eseguire la valutazione di impatto; supporto nella scelta delle tecnologie più appropriate per la DDI; consulenza nell’adozione delle misure di sicurezza più adeguate; supporto nella predisposizione del contratto o altro atto giuridico con il fornitore dei servizi per la DDI; supporto nella designazione del personale autorizzato al trattamento dei dati personali; supporto nelle campagne di sensibilizza-zione rivolte al personale autorizzato e agli interessati sugli aspetti inerenti alla tutela dei dati personali e sull’uso consapevole delle tecnologie utilizzate per la DDI.
[15] Ai sensi dell’art. 4, par. 1, n. 8 del Reg. UE 2016/679 il Responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
[16] In tal senso si era già espresso il Garante Privacy con Provvedimento n. 64 del 26 marzo 2020, Didattica a distanza: prime indicazioni.
[17] Sui poteri degli esercenti la responsabilità genitoriale in tema di privacy dei minori cfr. C. Camardi, Minori e privacy nel contesto delle relazioni familiari, in R. Senigaglia (a cura di), Autodeterminazione e minore età. Itinerari di diritto minorile, Pacini Giuridica, Pisa, 2019, pp. 117 ss.
[18] Devono essere rese all’interessato tutte le informazioni essenziali in ordine al trattamento dei suoi dati personali secondo quanto previsto dagli artt. 13 e 14 del Reg. UE 2016/679.
[19] L’art. 5, lett. e) del Reg. UE 2016/679 prevede che i dati personali siano “conservati in forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
[20] In tal caso l’istituto scolastico può decidere di rivolgersi a piattaforme o strumenti di DDI offerti da operatori che già forniscono alla scuola altri servizi (come il registro elettronico), oppure utilizzare piattaforme disponibili a titolo gratuito o avvalersi di piattaforme più complesse che includono una più vasta gamma di servizi, anche non rivolti esclusivamente alla didattica. In quest’ultimo caso (come già sottolineato dal Garante Privacy nel Provvedimento n. 64 del 26 marzo 2020) è necessario verificare, con il supporto del RPD, che siano attivati solo i servizi strettamente correlati con la DDI, configurando i servizi in modo da minimizzare i dati personali da trattare, sia in fase di attivazione dei servizi sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando il ricorso alla geolocalizzazione o a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità).
[21] Con riguardo al rapporto con il responsabile esterno si rinvia a quanto previsto dall’art. 28 del Reg. UE 2016/679.
[22] Al fine di meglio orientare gli istituti scolastici il MIUR e l’Ufficio del Garante, con il documento “Didattica Digitale Integrata e tutela della privacy: indicazioni generali”, hanno indicato, in via esemplificativa, alcune misure: adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti; utilizzo di robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione; definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati; definizione di password policy adeguate (es. regole di composizione, scadenza periodica, ecc.); conservazione delle password degli utenti, mediante l’utilizzo di funzioni di hashing allo stato dell’arte (es. PBKDF2, bcrypt, ecc.) e di salt di lunghezza adeguata; utilizzo di canali di trasmissione sicuri tenendo conto dello stato dell’arte; adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery); utilizzo di sistemi di protezione perimetrale, adeguatamente configurati in funzione del contesto operativo; utilizzo di sistemi antivirus e anti malware costantemente aggiornati; aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità; registrazione degli accessi e delle operazioni compiute in appositi file di log, ai fini della verifica della correttezza e legittimità del trattamento dei dati; definizione di istruzioni da fornire ai soggetti autorizzati al trattamento; formazione e sensibilizzazione degli utenti.
[23] Sul punto si rinvia all’art. 35 del Reg. UE 2016/679, alle Linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248) e alle indicazioni fornite sul punto dal Garante Privacy sul proprio sito (http//:www.garanteprivacy.it).
[24] Nella prospettiva coltivata già da V. Crisafulli, La scuola nella Costituzione, in Rivista trimestrale di diritto pubblico, 1956, pp. 95 ss., che sottolineava anche “il rispetto della personalità umana dell’alunno (…) come limite insuperabile ai poteri di supremazia delle istituzioni scolastiche” (p. 97). L’idea crisafulliana di “comunità scolastica” è stata recentemente ripresa da E. Gianfrancesco, La comunità scolastica nella forma di Stato, in Rivista AIC, 1/2024, pp. 561 ss.