L’evoluzione tecnologica e il rapido avvicendarsi di strumenti digitali sempre più sofisticati sta rivoluzionando i processi di diversi settori, tra cui anche quello scolastico. Se da un lato l’utilizzo di detti sistemi agevola la gestione quotidiana dei singoli adempimenti (tra cui la consultazione dei libri tramite tablet, la comunicazione mediante sistemi di messaggistica istantanea e social network), dall’altro favorisce l’acquisizione di una serie di informazioni personali che necessitano di tutela.Proprio in quest’ottica, il Garante per la protezione dei dati personali ha emanato un nuovo vademecum “La scuola a prova di privacy”, ove ha previsto indicazioni utili e consigli pratici per consentire agli addetti del settore scolastico di gestire i dati personali, di cui vengono costantemente a conoscenza, nel rispetto della vigente normativa in materia di protezione dei dati personali.Indice degli argomenti
Privacy a scuola: il vademecum del Garante e la trasparenzaInformative comprensibili e finalità del trattamentoSmartphone, chat e fotografie nella privacy scolasticaDiffusione online, minori e perdita di controllo dei datiChat di classe e comunicazioni ufficialiLe cautele privacy a scuola tra consenso, immagini e giteIA a scuola e protezione dei dati personaliDivieti, ruoli e minimizzazione dei datiPrivacy a scuola: il vademecum del Garante e la trasparenzaPrima, però, di entrare nel merito delle singole previsioni, il Garante ha ritenuto opportuno individuare alcune regole generali (ad esempio, ha precisato quali sono i dati particolari degli studenti che possono essere trattati e per che fine, ha determinato chi, all’interno dell’istituto scolastico, è autorizzato a trattare i dati personali dei vari interessati e ha fornito specifiche indicazioni circa l’adozione di misure tecniche e organizzative per prevenire la conoscibilità ingiustificata dei dati personali dei dipendenti da parte di terzi) e porre l’accento sul principio di trasparenza, evidenziandone la sua importanza e ribadendo che tutti gli istituti scolastici (siano essi privati o pubblici) hanno l’obbligo di far conoscere agli interessati (tra cui vi sono studenti, docenti, famiglie e altro personale) come vengono trattati i loro dati personali.Informative comprensibili e finalità del trattamentoIn che modo? Predisponendo delle informative che:siano facilmente comprensibili anche ai più piccoli;prevedano gli elementi essenziali del trattamento. In particolare, con riferimento alle finalità il Garante ha chiarito che queste debbano essere limitate al perseguimento delle funzioni istituzionali necessarie ad assicurare il diritto all’istruzione e alla formazione attraverso l’erogazione dell’attività didattica;indichino in modo chiaro e trasparente le modalità del trattamento dei dati.Smartphone, chat e fotografie nella privacy scolasticaIl Garante ha deciso di dedicare un’intera sezione del suo vademecum alle nuove tecnologie. Diversi gli strumenti analizzati, partendo da smartphone e tablet, fino ad arrivare alla gestione delle chat di classe e delle fotografie.Andiamo con ordine.Su smartphone e apparecchi di registrazione di immagini e audio il Garante è chiaro: il loro utilizzo è, in generale, consentito per fini esclusivamente personali e purché avvenga nel massimo rispetto dei diritti e della libertà fondamentali delle persone coinvolte e dei divieti previsti dal Ministero dell’Istruzione e del Merito.Quest’ultimo, infatti, vieta espressamente agli studenti ed agli altri componenti della comunità scolastica la diffusione di audio, foto e video (ad esempio, mediante la pubblicazione degli stessi su social network e/o chat di classe) in assenza di preventiva informazione e di ottenimento del consenso da parte di coloro che risultano coinvolti o raffigurati.Diffusione online, minori e perdita di controllo dei datiPertanto, prima di caricare immagini e video su blog e social network o di diffonderli attraverso sistemi di messaggistica istantanea è necessario prestare massima attenzione, in quanto dette attività possono nascondere risvolti critici sotto l’aspetto della protezione dei dati personali. Ad esempio:può accadere che una fotografia inviata ad un compagno di classe o ad un familiare venga a sua volta inoltrata ad altri destinatari, generando così una comunicazione a catena di dati personali. Tale meccanismo potrebbe, però, comportare gravi violazioni del diritto alla riservatezza delle persone riprese, fino a sfociare nella commissione di reati (quali cyberbullismo, sexting e revenge porn) e nell’irrogazione di sanzioni disciplinari e/o pecuniarie;la condivisione online di contenuti riguardanti i figli da parte dei genitori attraverso foto, video e storie (accompagnate spesso da ulteriori informazioni personali, quali nome, età e luogo) contribuisce a definirne la loro immagine e reputazione online. Di tale immagine, però i minori potrebbero, in futuro, non essere d’accordo;la condivisione online o mediante chat di messaggistica favorisce una perdita di controllo dei dati e delle informazioni.Che fare, quindi, per garantire il rispetto della privacy? Si rimanda a quanto previsto nel successivo paragrafo, ove sono elencati i comportamenti da adottare per evitare violazioni della normativa.Chat di classe e comunicazioni ufficialiE rispetto all’utilizzo delle chat di classe: quali sono le best practice da adottare?Il Garante ha chiarito che la loro creazione non è riconducibile alle attività istituzionali o didattiche dell’istituto scolastico, quale titolare del trattamento. Si tratta, infatti, di canali di comunicazione di notizie realizzati da alunni, genitori o rappresentanti di classe – di cui l’istituto non risponde -, riguardanti i diversi aspetti della vita scolastica.Il fatto, però, che queste chat vengano create direttamente da alunni, genitori o rappresentanti di classe non li autorizza ad utilizzarle in modo indiscriminato e senza regole. È, infatti, importante che queste vengano impiegate con la massima cautela, tenendo in debita considerazione i principi cardine della normativa in materia di protezione dei dati personali, tra cui spiccano il principio di minimizzazione e di pertinenza.In ogni caso, per le comunicazioni scolastiche ufficiali è bene che queste vengano diffuse direttamente dall’istituto tramite i canali deputati, ovvero il registro elettronico, limitando così la creazione e l’utilizzo delle chat.Con riferimento, infine, alle registrazioni delle lezioni, se da un lato queste possono essere realizzate per scopi personali (ovvero di studio individuale) e nel rispetto dei limiti delle disposizioni scolastiche, dall’altro sono altrettanto vietate qualora raffigurino le dinamiche di classe, nemmeno quando vengono utilizzate piattaforme per la didattica a distanza.In quest’ultimo caso, infatti, l’utilizzo delle piattaforme deve essere funzionale alla ricreazione dello “spazio virtuale” in cui si verifica la relazione e l’interazione tra docenti e studenti in modo speculare a quanto accade nelle lezioni in presenza.Le cautele privacy a scuola tra consenso, immagini e gitePer ciascuno degli strumenti menzionati al precedente paragrafo, il Garante per la protezione dei dati personali ha previsto specifiche cautele da porre in essere, al fine di prevenire il verificarsi di un illecito trattamento di dati personali. Tutte le predette cautele sono governate da due comuni denominatori: trasparenza e liceità.Lato scuola, quindi, ogni qualvolta venga realizzato un trattamento di dati personali è bene che vi sia un’attenta comunicazione nei confronti degli interessati, così da favorire questi ultimi nella comprensione di come i propri dati personali verranno trattati.Lato fruitori dei servizi scolastici, invece, è necessario che vi siano le corrette condizioni di liceità, affinché il trattamento di dati personali possa essere effettuato. Pertanto, se i genitori non riescono a fare a meno di pubblicare immagini o video dei loro figli online, il Garante suggerisce di adottare almeno le seguenti accortezze:rendere irriconoscibile il viso del minore, anche utilizzando delle emoticon per coprirlo;limitare le impostazioni di visualizzazione delle immagini sui social network;evitare la creazione di account sui social network dedicati al minore;leggere attentamente le informative privacy dei social network prima di procedere con il caricamento dei contenuti.Non violano, invece, la normativa privacy le fotografie ed i video raccolti durante le gite, le recite ed i saggi scolastici. In questi casi, infatti, le immagini vengono realizzate dai genitori per fini personali, essendo destinate ad un ambito familiare e non anche alla diffusione.Ovvio, però, che se le dette immagini dovessero essere pubblicate sui social network e/o sul web, varrebbero le medesime indicazioni sopra elencate. Nello specifico, per procedere con la pubblicazione di fotografie e video in cui sono presenti minori o altri soggetti interessati è d’obbligo la preventiva acquisizione del consenso da parte di tutti coloro che vengono raffigurati nelle immagini e, in caso di minori, da parte degli esercenti la responsabilità genitoriale.Rispetto alle chat di classe, come già detto, queste devono essere utilizzate nel massimo rispetto dei principi sanciti dalla normativa in materia di protezione dei dati personali. Anche in questo caso, quindi, si rammenta il divieto di divulgare notizie, fotografie e video senza l’esplicito consenso degli interessati.IA a scuola e protezione dei dati personaliI sistemi di IA iniziano ad essere presenti anche a scuola e trovano una specifica disciplina all’interno delle “Linee Guida per l’introduzione dell’IA nelle istituzioni scolastiche” emanate dal Ministero dell’Istruzione e del Merito e rivolte proprio ai suoi principali attori (tra cui dirigenti, personale amministrativo, personale docente e studenti).Tali Linee Guida – che hanno ottenuto il parere favorevole del Garante per la protezione dei dati personali – partono dal presupposto che i sistemi di IA non andranno a sostituire i docenti, ma fungeranno unicamente quali strumenti di supporto.Divieti, ruoli e minimizzazione dei datiQuali sono, però, le cautele da adottare lato privacy per favorirne un utilizzo lecito?È necessario che:vengano effettuate adeguate attività formative, di audit o valutazioni periodiche finalizzate a verificare l’affidabilità, la trasparenza e la correttezza del funzionamento dei sistemi di IA utilizzati, nonché di valutare l’adozione di misure tecniche e organizzative adeguate al contesto.vengano osservati i divieti concernenti le pratiche vietate di cui all’art. 5 dell’IA Act (come quelle preordinate al riconoscimento delle emozioni, c.d. strumenti di sentiment analysis);vengano rispettate le misure previste dall’IA Act in relazione all’impiego di sistemi di IA ad alto rischio con particolare riferimento a quelli richiamati all’art. 6, par. 2, indicati nell’Allegato III al n. 3;venga assicurata agli interessati la massima trasparenza dei trattamenti di dati personali realizzati con i sistemi di IA;vengano definiti i ruoli e responsabilità dei soggetti istituzionali coinvolti nella gestione dei sistemi di IA;vengano utilizzati i dati personali riferibili a docenti e studenti solo ove strettamente indispensabili, cercando di favorire il ricorso all’impiego di dati sintetici mediante l’uso di configurazioni che impediscano la conservazione dei prompt, la profilazione o il tracciamento degli studenti nel rispetto del principio di minimizzazione;vengano effettuate adeguate attività formative, di audit o valutazioni periodiche finalizzate a verificare l’affidabilità, la trasparenza e la correttezza del funzionamento dei sistemi di IA utilizzati, nonché di valutare l’adozione di misure tecniche e organizzative adeguate al contesto.






