Articoli

La didattica online ai tempi del Covid-19: dal Garante le istruzioni per l’uso

Didattica online e privacy: quali tutele?

Il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo a piattaforme e-learning per supportare forme di didattica a distanza, così da garantirne la continuità.

Tuttavia, i primi utilizzi hanno sollevato molteplici criticità, già menzionate nel precedente articolo.

Per rispondere alle principali questioni sollevate in materia di privacy, il Garante ha pubblicato un atto di indirizzo per scuole ed atenei.

In sintesi, le prime Linee di indirizzo fornite dal Garante precisano che:

  • Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento in questo caso è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.
  • Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza, occorrerà preferire quegli strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati.
  • Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.
  • Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.
  • Inoltre, i gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica.

 

Le indicazioni del Garante si rivelano uno strumento utile per orientare le modalità didattiche di scuole e università. Tuttavia, non eliminano tutte le criticità connesse, ad esempio, alla registrazione delle lezioni, al controllo a distanza dei docenti e alla diffusione di contenuti non autorizzati in rete. Le istituzioni scolastiche ed universitarie, pertanto, non sono esonerate dal valutare tutti i possibili rischi dovendo, di converso, predisporre tutte le misure tecniche ed organizzative più idonee.

Per tali ragioni, risulta necessario applicare tutti i principi previsti dal GDPR, partendo anzitutto da quelli indicati all’articolo 5, come il principio di finalità, accountability e minimizzazione.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

La Didattica a distanza nell’era del Covid-19: la privacy non va in “quarantena”

Didattica a distanza e GDPR: quali regole?

L’emergenza sanitaria che l’Italia sta attraversando ha reso necessari, nell’arco di pochi giorni, provvedimenti che hanno richiesto l’attivazione, da parte di tutte le Università (ma anche di tutti gli Istituti scolastici, come precisato dal Miur con apposita nota) di apposite modalità di didattica a distanza.

Di conseguenza, attraverso l’impiego di molteplici piattaforme di e –learning a disposizione, i docenti procederanno all’erogazione dei propri corsi in forma asincrona o in streaming in tempo reale.

In tali casi, tuttavia, l’esigenza di somministrare percorsi formativi generalmente erogati offline non deve tradursi in una compromissione della protezione dati non solo degli studenti, ma anche dei docenti. Come osservato dal Comitato europeo per la protezione dati personali in una Dichiarazione resa lo scorso 19 marzo, il GDPR è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19.

In tale contesto, le modalità di erogazione delle lezioni in tempo reale, attraverso aule virtuali, costituiscono l’ipotesi più critica quanto alle molteplici tutele che devono essere costantemente garantite sia per gli studenti, che per i docenti impegnati nelle attività didattiche. L’emergenza sanitaria, infatti, pone questioni di ampio respiro connesse al GDPR, come ad esempio l’obbligo di effettuare valutazioni di impatto, o anche l’obbligo di fornire garanzie di sicurezza adeguate, che si collegano alle questioni più generali in materia di smart working.

  • Per quanto concerne la tutela degli studenti, bisogna rammentare che il GDPR prevede precisi oneri informativi agli articoli 13 e 14 sulle condizioni di liceità e le modalità di trattamento corretto, come ad esempio l’indicazione – in tali casi – del responsabile del trattamento ai sensi dell’art. 28 GDPR, che tratta i dati personali per le finalità connesse alla didattica.

Inoltre, occorre prestare attenzione alle modalità di utilizzo della piattaforma, come ad esempio alla gestione degli accessi, ma soprattutto all’utilizzo delle webcam e dell’audio, per evitare trasmissioni non consentite e riproduzioni illecite.

  • Per quanto concerne la posizione dei docenti, il discorso risulta più ampio. In tali casi, infatti, il rispetto del GDPR si interseca con ulteriori fonti normative, come ad esempio:
    • La disciplina sul controllo a distanza dei lavoratori;
    • La disciplina a tutela del diritto d’autore (nella duplice dimensione del diritto morale e patrimoniale d’autore).

Dal confronto con le diverse discipline citate, si pongono molteplici dubbi in merito alla possibilità di registrazione delle lezioni erogate in tempo reale, alle tutele che devono essere apprestate anche nei confronti del docente (si pensi, ad esempio, ai casi di condivisione dello schermo del pc personale del docente).

Inoltre, si pongono questioni in merito alle misure di sicurezza, che dovrebbero essere predisposte.

 

In conclusione, l’emergenza sanitaria ha spinto il settore pubblico e privato ad una fase di “smart working” forzato, in cui permangono ancora molteplici criticità, connessi all’impiego di un dispositivo personale per l’erogazione delle lezioni, ivi inclusi le connessioni personali (Wifi, Adsl, etc.). In questi casi, si pongono questioni:

  • sulle misure relative allasicurezza dei sistemi utilizzati da remoto;
  • sull’adozione o sull’adeguatezza di sistemi antivirus o antimalaware.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

La privacy ai tempi del coronavirus: nessun intralcio alle misure anti-contagio

La data protection ai tempi del coronavirus: come si applica il GDPR?

 

Nella giornata del 16 marzo 2020, il Comitato europeo per la protezione dati (EDPB) ha diramato un Comunicato stampa per fornire orientamenti in merito alla corretta applicazione del GDPR nel grave scenario epidemico in atto.

Il Comitato europeo ha evidenziato come le misure di contrasto al contagio da Covid-19 possano coinvolgere il trattamento di varie tipologie di dati, sia di natura personale che non personale.

A sua volta, nell’ambito del trattamento dei dati personali, occorre ulteriormente distinguere:

  • Il GDPR troverà applicazione per il trattamento dei dati personali, relativi alle persone fisiche;
  • Per il trattamento dati nell’ambito delle Comunicazioni elettroniche, invece, troverà applicazione la direttiva e-Privacy 2002/58/Ce.

 

Per tali ragioni, la normativa in materia di protezione dei dati personali non costituisce, a giudizio del Comitato, alcun motivo di ostacolo alla predisposizione di misure anti-contagio, da parte delle Istituzioni pubbliche e dalle aziende, sia pubbliche che private.

Il Comitato individua il fondamento di liceità delle attuali attività di trattamento negli articoli 6 e 9 del GDPR: di conseguenza, i titolari del trattamento possono raccogliere i dati personali necessari e pertinenti per il contenimento del contagio ai sensi dell’art. 6 e 9 del GDPR, sussistendo motivi di interesse pubblico nel settore della sanità pubblica, ovvero che legittimino il trattamento per proteggere interessi vitali degli interessati.

Qualora, invece, si operi il tracciamento degli interessati attraverso la geolocalizzazione dei dispositivi mobili, per limitare la diffusione del virus, il Comitato rammenta che in base alla direttiva e-Privacy un tale tipo di trattamento richiederebbe il previo consenso dell’interessato, a meno che i dati non siano stati opportunamente anonimizzati.

Qualora non sia possibile procedere al trattamento esclusivo di dati anonimizzati, il Comitato non esclude che gli Stati possano adottare, ai sensi dell’articolo 15 della Direttiva, misure legislative per il perseguimento di finalità di sicurezza nazionale e di pubblica sicurezza, contemperando i principi di necessità, adeguatezza e proporzionalità del trattamento.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti misure adottate a livello europeo confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Privacy e condominio: commette reato di diffamazione l’amministratore che rivela l’altrui morosità

 

Privacy e condominio: quali obblighi?

La protezione dei dati personali trova applicazione anche per il condominio. In tali casi, grava sull’amministratore di condominio (se nominato) rispettare i principi contemplati nel GDPR.

In questi casi, l’amministratore deve agire bilanciando due contrapposte esigenze, ovvero:

  • La tutela della riservatezza dei singoli condomini;
  • La trasparenza nella gestione del condominio.

Le criticità connesse a tale bilanciamento, in realtà, risultano anteriori all’entrata in vigore del GDPR: sin dal 2013, infatti, il Garante privacy aveva realizzato un Vademecum, contenente informazioni operative:

  • sulla qualifica soggettiva del condominio, dell’amministratore e dei condomini;
  • sulle modalità di svolgimento dell’assemblea condominiale (ad esempio, in caso di videoregistrazione delle sedute assembleari).

Nell’ambito delle proprie attività gestorie, i problemi più frequenti che coinvolgono l’amministratore di condominio riguardano gli stati di morosità dei condomini. In tali casi, l’amministratore potrà rispondere del reato di diffamazione, previsto dall’articolo 595 del codice penale, qualora le modalità di comunicazione dello stato di morosità non sia considerato idoneo.

La giurisprudenza ha infatti affermato che risponde del reato di diffamazione l’amministratore di condominio che:

  • per evitare il rischio imminente dell’interruzione della fornitura idrica condominiale, affigga sull’ascensore dello stabile l’elenco dei condomini morosi. In questo caso, la condotta è stata ritenuta sproporzionata e, comunque, ingiustificata atteso l’inevitabile pregiudizio recato alla persona offesa, che ben poteva essere notiziata in altro modo, anche perché l’amministratore era a conoscenza dello stato di insolvenza dei condomini da diverso tempo;
  • rende noto a terzi lo stato di morosità di determinati condomini. Il caso riguardava l’invio, da parte del legale dell’amministratore del condominio, di una serie di lettere di sollecito indirizzate a diversi destinatari nelle quali si dava comunicazione che il condomino era inadempiente al pagamento delle spese condominiali: in tali casi, seppur la notizia fosse vera, il mezzo e la forma verbale adoperata è stata qualificata diffamatoria.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti pronunce giurisprudenziali confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da
Optimization WordPress Plugins & Solutions by W3 EDGE