Diritto d’autore e privacy applicati alla biblioteca (Parte 2 - Privacy), 23 nov. 2020

Avv. Simone Aliprandi, Ph.D. – Copyright-Italia.it / Array Law Firm
www.copyright-italia.it – www.aliprandi.org – www.array.eu
AIB Trentino-Alto Adige, 23 novembre 2020 – Diritto d’autore e privacy applicati alla biblioteca (privacy)
____________________________________
Simone Aliprandi
Diritto d’autore e privacy applicati alla biblioteca
23 novembre 2020 – Privacy

i miei riferimenti in rete:
• Il mio sito web: www.aliprandi.org
• Array Law Firm: www.array.eu
• Blog: http://aliprandi.blogspot.it
• Facebook: www.facebook.com/simone.aliprandi.page/
• Twitter: @simonealiprandi
• SlideShare: www.slideshare.net/simonealiprandi/

parte 1
Introduzione

Due concetti e due istituti giuridici estremamente diversi,
ma che vengono troppo spesso confusi.
●
privacy → tutela della riservatezza e dei dati personali
●
copyright → tutela della opere creative
copyright ≠ privacy

privacy = riservatezza
diritto alla privacy = diritto alla tutela
della propria sfera privata
“the right to be let alone”
ovvero il diritto di essere lasciati in pace
(vedi formulazione proposta da Louis Brandeis nel 1890 con
l'articolo The Right To Privacy su Harvard Law Review)
il concetto di privacy

privacy → concetto più ampio,
legato alla sfera giuridica e dei diritti della persona
sicurezza → concetto legato più che altro
alla sfera tecnologica, ma ha comunque
ripercussioni sulla riservatezza
→ infatti proteggere i dati significa anche proteggerli
contro trattamenti illeciti, cioè trattamenti privi di base
giuridica o non sorretti dal consenso o compiuti da
soggetti non legittimati
privacy e sicurezza dei dati
non sono sinonimi

Anche qui una questione di consapevolezza...
a) Attraverso il monitoraggio costante fatto dai suoi satelliti
b) Sono gli stessi utenti a fornire i dati a Google attraverso
l'utilizzo dell'applicazione
c) Google utilizza unicamente i dati forniti dagli enti pubblici
preposti a monitorare il traffico
Privacy – Breve test di consapevolezza:
Come fa Google Maps a conoscere in tempo reale
la situazione del traffico in buona parte del pianeta?

parte 1
Fondamenti di sicurezza informatica

sicurezza informatica
fattori tecnici
(adozione di appositi sistemi
hardware e software)
+
fattori umani
(comportamenti corretti,
che prevengono/non espongono a rischi)

La causa di perdita di dati e informazioni può dipendere da:
●
eventi distruttivi, naturali o artificiali;
●
guasti ai sistemi;
●
malfunzionamenti o degrado dei componenti elettronici;
●
incuria o disattenzione.
Il rischio di perdita di dati è anche rappresentato da:
●
comportamenti sleali e fraudolenti;
●
virus informatici;
●
furto di strumenti contenenti dati.
(fonte: Guida alla sicurezza dei dati in azienda)
perdita dei dati

Per disaster recovery in informatica e in particolare nell'ambito
della sicurezza informatica si intende l'insieme delle misure
tecnologiche e logistico/organizzative atte a ripristinare sistemi,
dati e infrastrutture necessarie all'erogazione di servizi di business
per imprese, associazioni o enti, a fronte di gravi emergenze che
ne intacchino la regolare attività.
Affinché una organizzazione possa rispondere in maniera
efficiente, devono essere analizzati i possibili livelli di disastro e la
criticità dei sistemi/applicazioni.
(fonte: Wikipedia)
disaster recovery: definizione

La crittografia è la branca della crittologia che tratta delle "scritture
nascoste", ovvero dei metodi per rendere un messaggio
"offuscato" in modo da non essere comprensibile/intelligibile a
persone non autorizzate a leggerlo. […]
La crittografia si basa su un algoritmo e su una chiave
crittografica. In tal modo si garantisce la confidenzialità dei dati
che è uno dei requisiti essenziali nell'ambito della sicurezza
informatica impedendo così la realizzazione di diversi tipi di
attacchi informatici ai dati sensibili (es. sniffing).
La crittografia può essere simmetrica, asimmetrica o quantistica.
(fonte: Wikipedia)
la crittografia e la cifratura dei dati

Il backup è quella cosa che andava fatta prima.
(fonte: Proverbio cinese)
il backup: definizione (meno seria)

Con backup, nella sicurezza informatica, si indica un
processo di disaster recovery ovvero, in particolare, la
messa in sicurezza delle informazioni di un sistema
informatico (o un semplice computer) attraverso la creazione
di ridondanza delle informazioni stesse (una o più copie di
riserva dei dati), da utilizzare come recupero (ripristino) dei
dati stessi in caso di eventi malevoli accidentali o intenzionali
o semplice manutenzione del sistema.
(fonte: Wikipedia)
il backup: definizione (seria)

Tempi
Ovviamente più spesso si fa il backup e più il livello di
sicurezza e di affidabilità aumenta.
Se non ci sono norme o policy specifiche sui tempi, è
comunque buona prassi darsi una cadenza regolare e
ricordarsi di farlo in caso di periodi particolarmente intensi di
creazione e salvataggio di nuove informazioni.
il backup: come farlo?

Supporti
In teoria qualsiasi supporto digitale di memorizzazione
(dischi, pennette, schede SD...) può risultare utile allo scopo,
ma è consigliabile non frammentare il “corpus” di dati in
troppi supporti. Infatti normalmente si utilizzano hard disk
esterni appositamente dedicati a quella funzione.
Implementare il più possibile la cosiddetta “ridondanza”.
NB: Ricordiamoci comunque che tutti i supporti sono
soggetti a deperimento, e quindi bisogna preoccuparsi
della loro corretta manutenzione, conservazione
e sostituzione per tempo.

Online
Si possono utilizzare servizi online che permettono di salvare
il backup su server remoti (come ad esempio DropBox,
GoogleDrive e simili)...
…ma attenzione ai termini d'uso dei vari servizi e al
riferimento ad eventuali leggi straniere che pongano principi
estranei al nostro ordinamento.

Software
E' possibile fare il backup “manualmente” (cioè scegliendo di
volta in volta le cartelle o i file da duplicare) oppure
affidandosi a software che fanno un backup automatizzato e
“incrementale”. Ne esistono di molto affidabili e avanzati.
Essi permettono di “ripescare” singoli file persi o di riportare
intere porzioni di dati al loro status precedente.
I più utilizzati sono Cobian Backup, Time Machine (solo
Mac), Comodo Backup, Ainvo Copy.

sicurezza delle reti

sicurezza delle reti… senza cavi

un bel video divulgativo
https://youtu.be/MJxtTIyuqlI

parte 2
Privacy: concetti chiave

●
L. 675/1996: Tutela delle persone e di altri soggetti rispetto
al trattamento dei dati personali → non più in vigore
●
D. Lgs. 196/2003: Codice in materia di protezione
dei dati personali [riformato nel 2018]
●
Regolamento UE 2016/679 (c.d. GDPR) relativo alla protezione
delle persone fisiche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (Regolamento generale
sulla protezione dei dati) → in vigore dal 24/05/2016
→ → direttamente applicabile dal 25/05/2018
le fonti normative italiane in tema di privacy

Art. 8 - Carta dei diritti fondamentali Unione Europea (Nizza, 2000)
“Ogni individuo ha diritto alla protezione dei dati di carattere
personale che lo riguardano.
Tali dati devono essere trattati secondo il principio di lealtà,
per finalità determinate e in base al consenso della persona
interessata o a un altro fondamento legittimo previsto dalla
legge. Ogni individuo ha il diritto di accedere ai dati raccolti
che lo riguardano e di ottenerne la rettifica.
Il rispetto di tali regole è soggetto al controllo di un'autorità
indipendente.”
privacy: diritto fondamentale

Il GDPR pone con forza l'accento sulla "responsabilizzazione"
(accountability) di titolari e responsabili, ossia sull'adozione di
comportamenti proattivi e tali da dimostrare la concreta adozione
di misure finalizzate ad assicurare il rispetto delle norme. Si tratta
di una grande novità per la protezione dei dati in quanto viene
affidato ai titolari il compito di decidere autonomamente le
modalità, le garanzie e i limiti del trattamento dei dati personali,
nel rispetto delle disposizioni normative e alla luce di alcuni criteri
specifici indicati nel GDPR. [fonte: garanteprivacy.it]
→ vedi principio fondamentale "privacy by default and by design"
norme di riferimento: articoli 24 e 25 GDPR
la rivoluzione del GDPR: il principio
di responsabilizzazione (accountability)

qualsiasi informazione riguardante una persona fisica
identificata o identificabile («interessato»);
si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare
riferimento a un identificativo come il nome, un numero di
identificazione, dati relativi all'ubicazione, un identificativo online o
a uno o più elementi caratteristici della sua identità fisica,
fisiologica, genetica, psichica, economica, culturale o sociale;
definizione di dato personale
Art. 4 (punto 1) GDPR

L’espressione “dati sensibili” è spesso usata in modo improprio.
“Dati sensibili” NON è un sinonimo di “dati personali” come
purtroppo molti pensano; i dati sensibili rappresentano un
sottoinsieme dei dati personali, cioè quelli riguardanti sfere
particolarmente delicate dell’identità e della vita privata della
persona (stato di salute, etnia, religione, abitudini sessuali,
convinzioni politiche, etc.).
Inoltre il termine non è nemmeno più utilizzato nel GDPR,
il quale parla di “dati particolari”, in quanto soggetti a una
tutela particolare.
dati sensibili ≠ dati personali

qualsiasi operazione o insieme di operazioni, compiute con o
senza l'ausilio di processi automatizzati e applicate a dati
personali o insiemi di dati personali, come la raccolta, la
registrazione, l'organizzazione, la strutturazione, la conservazione,
l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra
forma di messa a disposizione, il raffronto o l'interconnessione, la
limitazione, la cancellazione o la distruzione;
La normativa vigente (in particolare artt. 5 e 6 GDPR)
stabilisce in quali termini il trattamento è considerato lecito.
definizione di trattamento (di dati personali)

la persona fisica o giuridica, l'autorità pubblica,
il servizio o altro organismo che, singolarmente o
insieme ad altri, determina le finalità e i mezzi del
trattamento di dati personali;
definizione di titolare del trattamento
[eng. → data controller]

la persona fisica o giuridica, l'autorità pubblica,
il servizio o altro organismo che tratta dati personali
per conto del titolare del trattamento;
definizione di responsabile del trattamento
[eng. → data processor]
NB: da non confondere con il Responsabile della
Protezione dei dati (anche detto DPO)

È un professionista incaricato di sorvegliare l’osservanza delle
disposizioni in materia di protezione dei dati personali nelle
imprese e negli enti e individuato in funzione delle qualità
professionali e della conoscenza specialistica della normativa e
della prassi in materia di protezione dati.*
È una figura introdotta dal GDPR. I suoi compiti sono definiti
dall’art. 39 GDPR. Solo le aziende di certe dimensioni e con
alcune caratteristiche sono obbligate a nominare un DPO;
mentre per gli enti pubblici è obbligatorio (art. 37, par.1).
la figura del Data Protection Officer (DPO)
- in italiano Responsabile Protezione Dati (RPD) -
* definizione tratta da www.agendadigitale.eu/cittadinanza-digitale/gdpr-
tutto-cio-che-ce-da-sapere-per-essere-preparati/ [link]

a) l'interessato ha espresso il consenso al trattamento dei propri
dati personali per una o più specifiche finalità;
b) il trattamento è necessario all'esecuzione di un contratto di cui
l'interessato è parte o all'esecuzione di misure precontrattuali
adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al
quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi
vitali dell'interessato o di un'altra persona fisica; [continua]
le sei “basi giuridiche” del trattamento
Art. 6 GDPR

e) il trattamento è necessario per l'esecuzione di un compito di
interesse pubblico o connesso all'esercizio di pubblici poteri di cui
è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo
interesse del titolare del trattamento o di terzi, a condizione che
non prevalgano gli interessi o i diritti e le libertà fondamentali
dell'interessato che richiedono la protezione dei dati personali, in
particolare se l'interessato è un minore.
[non si applica al trattamento di dati effettuato dalle autorità
pubbliche nell'esecuzione dei loro compiti]
le sei “basi giuridiche” del trattamento
Art. 6 GDPR

La definizione del GDPR Art. 4:
qualsiasi manifestazione di volontà libera, specifica, informata
e inequivocabile dell'interessato, con la quale lo stesso
manifesta il proprio assenso, mediante dichiarazione o
azione positiva inequivocabile, che i dati personali che lo
riguardano siano oggetto di trattamento.
Secondo il “Considerando 32”, il consenso dovrebbe essere
espresso mediante un atto positivo inequivocabile con il quale
l'interessato manifesta l'intenzione libera, specifica, informata e
inequivocabile di accettare il trattamento dei dati personali che
lo riguardano, ad esempio mediante dichiarazione scritta, anche
attraverso mezzi elettronici, o orale.
il consenso al trattamento

L’informativa sul trattamento dei dati personali è il documento
con il quale il titolare del trattamento, in forma scritta o orale,
informa il soggetto interessato circa le finalità e le modalità
del trattamento medesimo.
Indubbiamente rappresenta lo strumento atto a legittimare e
a rendere trasparente la raccolta e l’utilizzo di dati personali.
[definizione tratta da L’informativa privacy: cos’è e quali sono gli errori da evitare?
www.iusinitinere.it/informativa-privacy-cos-e-quali-errori-da-evitare-12085]
Nota: l’informativa che fornite agli utenti “dal vivo” è
una cosa diversa rispetto all’informativa del sito web
la cosiddetta informativa

DEFINIZIONE → qualsiasi forma di trattamento automatizzato di
dati personali consistente nell'utilizzo di tali dati personali per
valutare determinati aspetti personali relativi a una persona fisica,
in particolare per analizzare o prevedere aspetti riguardanti il
rendimento professionale, la situazione economica, la salute, le
preferenze personali, gli interessi, l'affidabilità, il comportamento,
l'ubicazione o gli spostamenti di detta persona fisica;
profilazione

I cookies sono informazioni immesse sul tuo browser quando visiti un
sito web o utilizzi un social media con il tuo pc, smartphone o tablet.
Ogni cookie contiene diversi dati come, ad esempio, il nome del
server da cui proviene, un identificatore numerico, ecc.
I cookie possono rimanere nel sistema per la durata di una
sessione (cioè fino a che non si chiude il browser utilizzato per la
navigazione sul web) o per lunghi periodi e possono contenere un
codice identificativo unico.
[definizione tratta dal sito del Garante Privacy
www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4020961]
i cosiddetti “cookies”
→ Normativa sui cookies: Direttiva 2009/136/CE (art. 2, par.5)
+ Provvedimento Garante Privacy 8 maggio 2014

●
Il problema dell’oblio
●
Caso Google Autocomplete
●
Il cosiddetto “effetto Barbra Streisand”
●
Il triste caso di Tiziana Cantone
Internet: memoria eterna?

parte 3
I cosiddetti “diritti d’immagine”

Anche l'immagine di una persona fisica è un dato personale.
Ne consegue che quando diffondiamo immagini in cui
ci sono persone riconoscibili dobbiamo tenere presenti sia le
norme relative al copyright (“diritto connesso delle persone
ritratte” → artt. 96-97 L. 633/1941) sia le norme sulla privacy, a
cui in alcuni casi si sovrappongono anche le norme in materia di
diritto dell'informazione e deontologia giornalistica
(es. Carta di Treviso per i minori).
il diritto di immagine:
l'ideale punto di contatto tra privacy e copyright

privacy copyright
art. 96 e 97 L. 633/1941

Secondo l’art. 96 L. 633/1941, il soggetto ritratto in una fotografia o in
un video (o anche in un quadro) ha il diritto di autorizzare l'esposizione,
la riproduzione o la commercializzazione della sua immagine (vedi
esempio di fotomodelle e testimonial). → DIRITTO CONNESSO
Secondo la sentenza Cass. 17440/2015, l’immagine di una persona
costituisce dato personale […], trattandosi di dato immediatamente
idoneo a identificare una persona a prescindere dalla sua notorietà,
sicché l’installazione di un impianto di videosorveglianza all’interno di un
esercizio commerciale, allo scopo di controllare l’accesso degli avventori,
costituisce trattamento di dati personali e deve formare oggetto
dell’informativa […] rivolta ai soggetti che facciano ingresso nel locale.
L’immagine di una persona:
tra diritto connesso e dato personale
per approfondire → articolo: L’immagine di una persona come dato personale

Se la fotografia ritrae una persona riconoscibile, bisogna
considerare anche il cosiddetto “diritto d'immagine”.
Tuttavia, secondo l'art. 97 della legge 633/1941...
Non occorre il consenso della persona ritrattata quando la riproduzione
dell'immagine è giustificata dalla notorietà o dall'ufficio pubblico
coperto, da necessità di giustizia o di polizia, da scopi scientifici,
didattici o colturali, o quando la riproduzione è collegata a fatti,
avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.
Il ritratto non può tuttavia essere esposto o messo in commercio,
quando l'esposizione o messa in commercio rechi pregiudizio all'onore,
alla reputazione od anche al decoro della persona ritrattata.
I diritti delle persone ritratte nella fotografie

Una liberatoria è un documento
con cui il titolare del diritto d'immagine
esprime il consenso alla diffusione della fotografia
o del video in cui egli è ritratto (e riconoscibile).
Meglio se in forma scritta e provvista di chiari
riferimenti ai diritti concessi e agli utilizzi previsti.
La cosiddetta “liberatoria”

parte 4
La gestione della privacy
nelle biblioteche

Anche se è comunque obbligatorio dare sempre l’informativa
sul trattamento quando si raccolgono dati, secondo il GDPR
non è necessario un consenso esplicito per trattamenti effettuati
da enti pubblici a fini istituzionali.
L’art. 6, par.1, lett. e, infatti, esclude la necessità del consenso
nei casi in cui il trattamento è necessario per l'esecuzione
di un compito di interesse pubblico o connesso all'esercizio
di pubblici poteri di cui è investito il titolare del trattamento.
biblioteche: base giuridica del trattamento

Oltre ad applicare tutte le comuni norme di sicurezza, è importante
gestire correttamente gli accessi/permessi del personale che
gestisce le banche dati che contengono dati personali.
L’accesso ai dati personali non deve essere consentito a tutto il
personale, ma solo a quello che ne ha realmente bisogno per la
sua attività. Ad esempio, un catalogatore esterno normalmente
dovrà essere abilitato solo alla procedura di catalogazione, e
non alla gestione dei servizi che comporta l’accesso
all’anagrafica degli utenti.
proteggere i dati in biblioteca
→ tratto da “Appunti su GDPR e biblioteche” (Giuseppe Pavoletti, 2019)
https://riviste.aib.it/index.php/vedianche/article/view/11938 – licenza CC BY

Attenzione alle prassi corrette, anche sui dati raccolti su
supporti non digitali/cartacei.
Stupisce che ci siano ancora biblioteche che conservano nel
libro la scheda col nome di tutti i lettori che l’hanno preso in
prestito: questa pratica rende un dato personale visibile a
chiunque, senza che ciò sia in alcun modo necessario per la
gestione del prestito, ed è quindi assolutamente illecita, a
maggior ragione perché è facilmente evitabile. Basta, ad
esempio, sostituire il nome con un codice utente.
proteggere i dati in biblioteca

I servizi realizzati tramite la collaborazione di numerosi soggetti, e quindi in
particolare i poli SBN, pongono problemi particolari per l’individuazione del
titolare e del responsabile, perché il GDPR non si adatta molto bene a
queste situazioni.
[La casistica è variegata, tuttavia] spesso la soluzione migliore è prevedere
che tutti i partecipanti siano contitolari, stipulando però un apposito accordo
che delimiti ruoli e responsabilità di ciascuno. In assenza di tale accordo,
tutti i contitolari sarebbero responsabili di tutto, mentre è evidente – ad
esempio – che se in una biblioteca aderente ad un polo SBN regionale le
password non vengono tenute in sicurezza non ne sono responsabili le
altre biblioteche o la regione. La ditta incaricata della gestione informatica
del polo, che ha accesso a tutti i dati, sarà normalmente responsabile del
trattamento, in quanto incaricata dal titolare.
privacy e servizi in cooperazione

Piuttosto complesso è il tema della durata del trattamento.
Il trattamento infatti è lecito non per sempre, ma finché è
necessario per le sue finalità. È evidente quindi che è lecito
trattare i dati di un lettore che ha dei prestiti in corso, ma che
dire dei dati di prestiti chiusi da anni, o di lettori che da anni
non frequentano la biblioteca? In questo caso non c’è più la
giustificazione originaria del trattamento, ma la loro pura e
semplice cancellazione impedirebbe di utilizzarli per analisi
statistiche e ricerche storiche, creando di conseguenza un
danno. → soluzione dell’anonimizzazione
durata del trattamento e conservazione archivistica

1. Il trattamento a fini di archiviazione nel pubblico interesse,
di ricerca scientifica o storica o a fini statistici è soggetto a
garanzie adeguate per i diritti e le libertà dell'interessato, in
conformità del presente regolamento. Tali garanzie assicurano
che siano state predisposte misure tecniche e organizzative,
in particolare al fine di garantire il rispetto del principio della
minimizzazione dei dati. Tali misure possono includere la
pseudonimizzazione, purché le finalità in questione possano
essere conseguite in tal modo. Qualora possano essere
conseguite attraverso il trattamento ulteriore che non consenta
o non consenta più di identificare l'interessato, tali finalità
devono essere conseguite in tal modo.
trattamento a fini di archiviazione (art. 89 GDPR)

privacy e riservatezza negli archivi:
le apposite norme del Codice Beni Culturali
Art. 122 – Archivi di Stato e archivi storici degli enti pubblici:
consultabilità dei documenti
1. I documenti conservati negli archivi di Stato e negli archivi storici delle
regioni, degli altri enti pubblici territoriali nonché di ogni altro ente ed istituto
pubblico sono liberamente consultabili, ad eccezione:
a) di quelli dichiarati di carattere riservato, ai sensi dell'articolo 125, relativi
alla politica estera o interna dello Stato, che diventano consultabili cinquanta
anni dopo la loro data;
b) di quelli contenenti i dati sensibili nonché i dati relativi a provvedimenti di
natura penale espressamente indicati dalla normativa in materia di trattamento
dei dati personali, che diventano consultabili quaranta anni dopo la loro data.
Il termine è di settanta anni se i dati sono idonei a rivelare lo stato di salute, la
vita sessuale o rapporti riservati di tipo familiare;

privacy e riservatezza negli archivi:
le apposite norme del Codice Beni Culturali
Art. 122 – Archivi di Stato e archivi storici degli enti pubblici:
consultabilità dei documenti
2. Anteriormente al decorso dei termini indicati nel comma 1, i documenti
restano accessibili ai sensi della disciplina sull'accesso ai documenti
amministrativi. Sull'istanza di accesso provvede l'amministrazione che
deteneva il documento prima del versamento o del deposito, ove ancora
operante, ovvero quella che ad essa è subentrata nell'esercizio delle relative
competenze.
3. Alle disposizioni del comma 1 sono assoggettati anche gli archivi e i
documenti di proprietà privata depositati negli archivi di Stato e negli archivi
storici degli enti pubblici, o agli archivi medesimi donati o venduti o lasciati in
eredità o legato. […]

Il quadro giuridico sembra già piuttosto complesso, ma in
realtà c’è un altro “strato” di regole (cosiddetta soft law).
●
Regole deontologiche per il trattamento a fini di archiviazione nel
pubblico interesse o per scopi di ricerca storica pubblicate ai
sensi dell’art. 20, co. 4, d.lgs. 10 agosto 2018, n. 101 –
Provvedimento Garante Privacy n. 513 del 19 dic. 2018 [LINK]
●
Alcune (non molte) decisioni del Garante Privacy in materia
di biblioteche e archivi
→ esempio: Provvedimento n. 526 del 21 nov. 2013 [LINK]
un ulteriore strato di norme

parte 5
La privacy nelle attività
di didattica online

marzo 2020: lo tsunami della pandemia
●
26 marzo: Provvedimento
"Didattica a distanza: prime
indicazioni" [link] [versione sintetica]
●
30 marzo: nota istituzionale in tema
di didattica a distanza al Ministro
Istruzione, al Ministro Università e
ricerca, al Ministro pari opportunità
e famiglia [link]
●
aprile: FAQ - Trattamento dati nel
contesto scolastico nell’ambito
dell’emergenza sanitaria [link]
INTERVENTI DEL
GARANTE PRIVACY

base giuridica del trattamento
Le scuole e le università sono autorizzate a trattare i dati,
anche relativi a categorie particolari, di insegnanti, alunni
(anche minorenni), genitori e studenti, funzionali all’attività
didattica e formativa in ambito scolastico, professionale,
superiore o universitario.
→ GDPR art. 6, par.1, lett. e: il trattamento è necessario per
l'esecuzione di un compito di interesse pubblico o connesso
all'esercizio di pubblici poteri di cui è investito il titolare
del trattamento

non serve il consenso
di alunni, genitori e insegnanti
Gli istituti scolastici possono trattare i dati, anche relativi a categorie
particolari di insegnanti, alunni (anche minorenni), e genitori
nell’ambito delle proprie finalità istituzionali e non devono
chiedere agli interessati di prestare il consenso al trattamento dei
propri dati, neanche in relazione alla didattica a distanza.
Peraltro, il consenso di regola non costituisce una base giuridica
idonea per il trattamento dei dati in ambito pubblico e nel contesto
del rapporto di lavoro.

scelta e regolamentazione degli strumenti di DAD
Nella scelta e nella regolamentazione degli strumenti più utili per la
realizzazione della didattica a distanza scuole e università dovranno
orientarsi verso strumenti che abbiano fin dalla progettazione e per
impostazioni predefinite misure a protezione dei dati.
→ [cosiddetti principi “privacy by design” e “privacy by default”]
Non è necessaria la valutazione di impatto, prevista dal GDPR per i
casi di rischi elevati, se il trattamento dei dati effettuato dalle
istituzioni scolastiche e universitarie, per quanto relativo a minorenni
e a lavoratori, non presenta ulteriori caratteristiche suscettibili di
aggravarne i rischi.

ruolo dei fornitori di servizi on line e piattaforme
Se la piattaforma prescelta comporta il trattamento di dati personali
di studenti, alunni o dei rispettivi genitori per conto della scuola o
dell’università, il rapporto con il fornitore dovrà essere regolato con
contratto o altro atto giuridico. È il caso, ad esempio, del registro
elettronico, il cui fornitore tratta i dati per conto della scuola.
Nel caso, invece, in cui si ritenga necessario ricorrere a piattaforme
più complesse che eroghino servizi più complessi anche non rivolti
esclusivamente alla didattica, si dovranno attivare i soli servizi
strettamente necessari alla formazione, configurandoli in modo
da minimizzare i dati personali da trattare (evitando, ad esempio,
geolocalizzazione e social login).
Le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati
trattati per loro conto siano utilizzati solo per la didattica a distanza.

ruolo dei fornitori di servizi on line e piattaforme
È peraltro inammissibile il condizionamento, da parte dei gestori
delle piattaforme, della fruizione dei servizi di didattica a distanza
alla sottoscrizione di un contratto o alla prestazione – da parte
dello studente o dei genitori – del consenso al trattamento dei dati
connesso alla fornitura di ulteriori servizi on line, non necessari
all’attività didattica. Il consenso non sarebbe, infatti, validamente
prestato perché, appunto, indebitamente condizionato al
perseguimento di finalità ultronee rispetto a quelle proprie della
didattica a distanza.

di Simone Aliprandi
orsù seguitemi
• Twitter: @simonealiprandi
https://twitter.com/simonealiprandi
• Pagina Facebook:
www.facebook.com/simone.aliprandi.page/
• Profilo LinkedIn:
https://it.linkedin.com/in/aliprandi/

grazie per l'attenzione
slides rilasciate sotto licenza
Creative Commons Attribution – Share Alike 4.0

Diritto d’autore e privacy applicati alla biblioteca (Parte 2 - Privacy), 23 nov. 2020

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Diritto d’autore e privacy applicati alla biblioteca (Parte 2 - Privacy), 23 nov. 2020

Similaire à Diritto d’autore e privacy applicati alla biblioteca (Parte 2 - Privacy), 23 nov. 2020 (20)

Plus de Simone Aliprandi

Plus de Simone Aliprandi (20)

Diritto d’autore e privacy applicati alla biblioteca (Parte 2 - Privacy), 23 nov. 2020