Didattica a distanza e GDPR: quali regole?

L’emergenza sanitaria che l’Italia sta attraversando ha reso necessari, nell’arco di pochi giorni, provvedimenti che hanno richiesto l’attivazione, da parte di tutte le Università (ma anche di tutti gli Istituti scolastici, come precisato dal Miur con apposita nota) di apposite modalità di didattica a distanza.

Di conseguenza, attraverso l’impiego di molteplici piattaforme di e –learning a disposizione, i docenti procederanno all’erogazione dei propri corsi in forma asincrona o in streaming in tempo reale.

In tali casi, tuttavia, l’esigenza di somministrare percorsi formativi generalmente erogati offline non deve tradursi in una compromissione della protezione dati non solo degli studenti, ma anche dei docenti. Come osservato dal Comitato europeo per la protezione dati personali in una Dichiarazione resa lo scorso 19 marzo, il GDPR è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19.

In tale contesto, le modalità di erogazione delle lezioni in tempo reale, attraverso aule virtuali, costituiscono l’ipotesi più critica quanto alle molteplici tutele che devono essere costantemente garantite sia per gli studenti, che per i docenti impegnati nelle attività didattiche. L’emergenza sanitaria, infatti, pone questioni di ampio respiro connesse al GDPR, come ad esempio l’obbligo di effettuare valutazioni di impatto, o anche l’obbligo di fornire garanzie di sicurezza adeguate, che si collegano alle questioni più generali in materia di smart working.

• Per quanto concerne la tutela degli studenti, bisogna rammentare che il GDPR prevede precisi oneri informativi agli articoli 13 e 14 sulle condizioni di liceità e le modalità di trattamento corretto, come ad esempio l’indicazione – in tali casi – del responsabile del trattamento ai sensi dell’art. 28 GDPR, che tratta i dati personali per le finalità connesse alla didattica.

Inoltre, occorre prestare attenzione alle modalità di utilizzo della piattaforma, come ad esempio alla gestione degli accessi, ma soprattutto all’utilizzo delle webcam e dell’audio, per evitare trasmissioni non consentite e riproduzioni illecite.

• Per quanto concerne la posizione dei docenti, il discorso risulta più ampio. In tali casi, infatti, il rispetto del GDPR si interseca con ulteriori fonti normative, come ad esempio:
  • La disciplina sul controllo a distanza dei lavoratori;
  • La disciplina a tutela del diritto d’autore (nella duplice dimensione del diritto morale e patrimoniale d’autore).

Dal confronto con le diverse discipline citate, si pongono molteplici dubbi in merito alla possibilità di registrazione delle lezioni erogate in tempo reale, alle tutele che devono essere apprestate anche nei confronti del docente (si pensi, ad esempio, ai casi di condivisione dello schermo del pc personale del docente).

Inoltre, si pongono questioni in merito alle misure di sicurezza, che dovrebbero essere predisposte.

In conclusione, l’emergenza sanitaria ha spinto il settore pubblico e privato ad una fase di “smart working” forzato, in cui permangono ancora molteplici criticità, connessi all’impiego di un dispositivo personale per l’erogazione delle lezioni, ivi inclusi le connessioni personali (Wifi, Adsl, etc.). In questi casi, si pongono questioni:

• sulle misure relative allasicurezza dei sistemi utilizzati da remoto;
• sull’adozione o sull’adeguatezza di sistemi antivirus o antimalaware.

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

1. Corsi di formazione per Data Protection Officer

• Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
• Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

• Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.