La gestione e il trattamento dei dati nelle piattaforme della DAD (giugno 2021)

Avv. Simone Aliprandi, Ph.D. – Copyright-Italia.it / Array Law Firm
www.copyright-italia.it – www.aliprandi.org – www.array.eu
Ufficio scolastico territoriale Monza Brianza, 04/06/2021 – Gestione e trattamento dei dati nelle piattaforme DAD
Avv. Simone Aliprandi, Ph.D.
La gestione e il trattamento dei dati
nelle piattaforme della DAD
AD DAY – Giornata dell’Animatore Digitale
(Ufficio Scolastico Territoriale di Monza e della Brianza)
venerdì 4 giugno 2021

i miei riferimenti in rete:
• Il mio sito web: www.aliprandi.org
• Array Law Firm: www.array.eu
• Blog: http://aliprandi.blogspot.it
• Facebook: www.facebook.com/simone.aliprandi.page/
• Twitter: @simonealiprandi
• SlideShare: www.slideshare.net/simonealiprandi/

fresco di stampa
https://aliprandi.org/books/software-licensing-
data-governance/
SOFTWARE LICENSING & DATA GOVERNANCE
Tutelare e gestire le creazioni
tecnologiche
di Simone Aliprandi
edito da Apogeo/Feltrinelli
sito web del libro:

parte 1/2
Privacy e trattamento dati:
principi generali

privacy = riservatezza
diritto alla privacy = diritto alla tutela
della propria sfera privata
“the right to be let alone”
ovvero il diritto di essere lasciati in pace
(vedi formulazione proposta da Louis Brandeis nel 1890 con
l'articolo The Right To Privacy su Harvard Law Review)
il concetto di privacy

privacy → concetto più ampio,
legato alla sfera giuridica e dei diritti della persona
sicurezza → concetto legato più che altro
alla sfera tecnologica, ma ha comunque
ripercussioni sulla riservatezza
→ infatti proteggere i dati significa anche proteggerli
contro trattamenti illeciti, cioè trattamenti privi di base
giuridica o non sorretti dal consenso o compiuti da
soggetti non legittimati
privacy e sicurezza dei dati
non sono sinonimi

Anche qui una questione di consapevolezza...
a) Attraverso il monitoraggio costante fatto dai suoi satelliti
b) Sono gli stessi utenti a fornire i dati a Google attraverso
l'utilizzo dell'applicazione
c) Google utilizza unicamente i dati forniti dagli enti pubblici
preposti a monitorare il traffico
Privacy – Breve test di consapevolezza:
Come fa Google Maps a conoscere in tempo reale
la situazione del traffico in buona parte del pianeta?

●
L. 675/1996: Tutela delle persone e di altri soggetti rispetto
al trattamento dei dati personali → non più in vigore
●
D. Lgs. 196/2003: Codice in materia di protezione
dei dati personali
●
Regolamento UE 2016/679 (c.d. GDPR) relativo alla protezione
delle persone fisiche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (Regolamento generale
sulla protezione dei dati) → in vigore dal 24/05/2016
→ → direttamente applicabile dal 25/05/2018
le fonti normative italiane in tema di privacy

Art. 8 - Carta dei diritti fondamentali Unione Europea (Nizza, 2000)
“Ogni individuo ha diritto alla protezione dei dati di carattere
personale che lo riguardano.
Tali dati devono essere trattati secondo il principio di lealtà,
per finalità determinate e in base al consenso della persona
interessata o a un altro fondamento legittimo previsto dalla
legge. Ogni individuo ha il diritto di accedere ai dati raccolti
che lo riguardano e di ottenerne la rettifica.
Il rispetto di tali regole è soggetto al controllo di un'autorità
indipendente.”
privacy: diritto fondamentale

Il GDPR pone con forza l'accento sulla "responsabilizzazione"
(accountability) di titolari e responsabili, ossia sull'adozione di
comportamenti proattivi e tali da dimostrare la concreta adozione
di misure finalizzate ad assicurare il rispetto delle norme. Si tratta
di una grande novità per la protezione dei dati in quanto viene
affidato ai titolari il compito di decidere autonomamente le
modalità, le garanzie e i limiti del trattamento dei dati personali,
nel rispetto delle disposizioni normative e alla luce di alcuni criteri
specifici indicati nel GDPR. [fonte: garanteprivacy.it]
→ vedi principio fondamentale "privacy by default and by design"
norme di riferimento: articoli 24 e 25 GDPR
la rivoluzione del GDPR: il principio
di responsabilizzazione (accountability)

qualsiasi informazione riguardante una persona fisica
identificata o identificabile («interessato»);
si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare
riferimento a un identificativo come il nome, un numero di
identificazione, dati relativi all'ubicazione, un identificativo online o
a uno o più elementi caratteristici della sua identità fisica,
fisiologica, genetica, psichica, economica, culturale o sociale;
definizione di dato personale
Art. 4 (punto 1) GDPR

L’espressione “dati sensibili” è spesso usata in modo improprio.
“Dati sensibili” NON è un sinonimo di “dati personali” come
purtroppo molti pensano; i dati sensibili rappresentano un
sottoinsieme dei dati personali, cioè quelli riguardanti sfere
particolarmente delicate dell’identità e della vita privata della
persona (stato di salute, etnia, religione, abitudini sessuali,
convinzioni politiche, etc.).
Inoltre il termine non è nemmeno più utilizzato nel GDPR,
il quale parla di “dati particolari”, in quanto soggetti
a una tutela particolare.
dati sensibili ≠ dati personali

qualsiasi operazione o insieme di operazioni, compiute con o
senza l'ausilio di processi automatizzati e applicate a dati
personali o insiemi di dati personali, come la raccolta, la
registrazione, l'organizzazione, la strutturazione, la conservazione,
l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra
forma di messa a disposizione, il raffronto o l'interconnessione, la
limitazione, la cancellazione o la distruzione;
La normativa vigente (in particolare artt. 5 e 6 GDPR)
stabilisce in quali termini il trattamento è considerato lecito.
definizione di trattamento (di dati personali)

la persona fisica o giuridica, l'autorità pubblica,
il servizio o altro organismo che, singolarmente o
insieme ad altri, determina le finalità e i mezzi del
trattamento di dati personali;
definizione di titolare del trattamento
[eng. → data controller]

la persona fisica o giuridica, l'autorità pubblica,
il servizio o altro organismo che tratta dati personali
per conto del titolare del trattamento;
definizione di responsabile del trattamento
[eng. → data processor]
NB: da non confondere con il Responsabile della
Protezione dei dati (anche detto DPO)

È un professionista incaricato di sorvegliare l’osservanza delle
disposizioni in materia di protezione dei dati personali nelle
imprese e negli enti e individuato in funzione delle qualità
professionali e della conoscenza specialistica della normativa e
della prassi in materia di protezione dati.*
È una figura introdotta dal GDPR. I suoi compiti sono definiti
dall’art. 39 GDPR. Solo le aziende di certe dimensioni e con
alcune caratteristiche sono obbligate a nominare un DPO;
mentre per gli enti pubblici è obbligatorio (art. 37, par.1).
la figura del Data Protection Officer (DPO)
- in italiano Responsabile Protezione Dati (RPD) -
* definizione tratta da www.agendadigitale.eu/cittadinanza-digitale/gdpr-tutto-cio-
che-ce-da-sapere-per-essere-preparati/ [link]

a) l'interessato ha espresso il consenso al trattamento dei propri
dati personali per una o più specifiche finalità;
b) il trattamento è necessario all'esecuzione di un contratto di cui
l'interessato è parte o all'esecuzione di misure precontrattuali
adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al
quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi
vitali dell'interessato o di un'altra persona fisica; [continua]
le sei “basi giuridiche” del trattamento
Art. 6 GDPR

e) il trattamento è necessario per l'esecuzione di un compito di
interesse pubblico o connesso all'esercizio di pubblici poteri di cui
è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo
interesse del titolare del trattamento o di terzi, a condizione che
non prevalgano gli interessi o i diritti e le libertà fondamentali
dell'interessato che richiedono la protezione dei dati personali, in
particolare se l'interessato è un minore.
[non si applica al trattamento di dati effettuato dalle autorità
pubbliche nell'esecuzione dei loro compiti]
le sei “basi giuridiche” del trattamento
Art. 6 GDPR

Anche l'immagine di una persona fisica è un dato personale.
Ne consegue che quando diffondiamo immagini in cui
ci sono persone riconoscibili dobbiamo tenere presenti sia le
norme relative al copyright (“diritto connesso delle persone
ritratte” → artt. 96-97 L. 633/1941) sia le norme sulla privacy, a
cui in alcuni casi si sovrappongono anche le norme in materia di
diritto dell'informazione e deontologia giornalistica
(es. Carta di Treviso per i minori).
il diritto di immagine:
l'ideale punto di contatto tra privacy e copyright

Secondo l’art. 96 L. 633/1941, il soggetto ritratto in una fotografia o in
un video (o anche in un quadro) ha il diritto di autorizzare l'esposizione,
la riproduzione o la commercializzazione della sua immagine (vedi
esempio di fotomodelle e testimonial). → DIRITTO CONNESSO
Secondo la sentenza Cass. 17440/2015, l’immagine di una persona
costituisce dato personale […], trattandosi di dato immediatamente
idoneo a identificare una persona a prescindere dalla sua notorietà,
sicché l’installazione di un impianto di videosorveglianza all’interno di un
esercizio commerciale, allo scopo di controllare l’accesso degli avventori,
costituisce trattamento di dati personali e deve formare oggetto
dell’informativa […] rivolta ai soggetti che facciano ingresso nel locale.
L’immagine di una persona:
tra diritto connesso e dato personale
per approfondire → articolo: L’immagine di una persona come dato personale

parte 2/2
La privacy nella didattica a distanza
(o didattica digitale integrata)

marzo 2020: lo tsunami della pandemia
●
26 marzo: Provvedimento
"Didattica a distanza: prime
indicazioni" [link] [versione sintetica]
●
30 marzo: nota istituzionale in tema
di didattica a distanza al Ministro
Istruzione, al Ministro Università e
ricerca, al Ministro pari opportunità
e famiglia [link]
●
aprile: FAQ - Trattamento dati nel
contesto scolastico nell’ambito
dell’emergenza sanitaria [link]
INTERVENTI DEL
GARANTE PRIVACY

base giuridica del trattamento
Le scuole e le università sono autorizzate a trattare i dati,
anche relativi a categorie particolari, di insegnanti, alunni
(anche minorenni), genitori e studenti, funzionali all’attività
didattica e formativa in ambito scolastico, professionale,
superiore o universitario.
→ GDPR art. 6, par.1, lett. e: il trattamento è necessario per
l'esecuzione di un compito di interesse pubblico o connesso
all'esercizio di pubblici poteri di cui è investito il titolare
del trattamento
Fonte: sito Garante Privacy

non serve il consenso
di alunni, genitori e insegnanti
Gli istituti scolastici possono trattare i dati (anche appartenenti a
categorie particolari) di insegnanti, alunni (anche minorenni), e
genitori nell’ambito delle proprie finalità istituzionali e non
devono chiedere agli interessati di prestare il consenso al
trattamento dei propri dati, neanche in relazione alla didattica a
distanza.
Peraltro, il consenso di regola non costituisce una base giuridica
idonea per il trattamento dei dati in ambito pubblico e nel contesto
del rapporto di lavoro.

scelta e regolamentazione degli strumenti di DAD
Nella scelta e nella regolamentazione degli strumenti più utili per la
realizzazione della didattica a distanza scuole e università dovranno
orientarsi verso strumenti che abbiano fin dalla progettazione e per
impostazioni predefinite misure a protezione dei dati.
→ [cosiddetti principi “privacy by design” e “privacy by default”]
Non è necessaria la valutazione di impatto, prevista dal GDPR per i
casi di rischi elevati, se il trattamento dei dati effettuato dalle
istituzioni scolastiche e universitarie, per quanto relativo a minorenni
e a lavoratori, non presenta ulteriori caratteristiche suscettibili di
aggravarne i rischi.

ruolo dei fornitori di servizi on line e piattaforme
Se la piattaforma prescelta comporta il trattamento di dati personali
di studenti, alunni o dei rispettivi genitori per conto della scuola o
dell’università, il rapporto con il fornitore dovrà essere regolato con
contratto o altro atto giuridico. È il caso, ad esempio, del registro
elettronico, il cui fornitore tratta i dati per conto della scuola.
Nel caso, invece, in cui si ritenga necessario ricorrere a piattaforme
più complesse che eroghino servizi più complessi anche non rivolti
esclusivamente alla didattica, si dovranno attivare i soli servizi
strettamente necessari alla formazione, configurandoli in modo
da minimizzare i dati personali da trattare (evitando, ad esempio,
geolocalizzazione e social login).
Le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati
trattati per loro conto siano utilizzati solo per la didattica digitale integrata.

ruolo dei fornitori di servizi on line e piattaforme
È peraltro inammissibile il condizionamento, da parte dei gestori
delle piattaforme, della fruizione dei servizi di didattica a distanza
alla sottoscrizione di un contratto o alla prestazione – da parte
dello studente o dei genitori – del consenso al trattamento dei dati
connesso alla fornitura di ulteriori servizi on line, non necessari
all’attività didattica. Il consenso non sarebbe, infatti, validamente
prestato perché, appunto, indebitamente condizionato al
perseguimento di finalità ultronee rispetto a quelle proprie della
didattica digitale integrata.

La nota del Ministero Istruzione del 3 sett. 2020
Il Ministero dell’Istruzione, con nota prot. 11600 del 3 settembre
2020 allegata, ha diffuso le indicazioni generali in oggetto, relative ai
principali aspetti della disciplina in materia di protezione dei dati
personali nella Didattica Digitale Integrata.
Le indicazioni sono disponibili al link:
https://www.istruzione.it/rientriamoascuola/allegati/Didattica-Digitale-I
ntegrata-e-tutela-della-privacy-Indicazioni-generali.pdf

La nota del Ministero Istruzione del 3 sett. 2020
Nella nota del 3 settembre sono stati individuati i profili di
responsabilità di particolari attori e le misure organizzative da
adottare. Ovviamente si ricorda che spetta alla singola istituzione
scolastica, in qualità di titolare del trattamento, la scelta e la
regolamentazione degli strumenti più adeguati al trattamento dei
dati personali di personale scolastico, studenti e loro familiari per la
realizzazione della DDI. Tale scelta è effettuata del Dirigente
scolastico, con il supporto del Responsabile della protezione dei
dati personali (DPO), sentito il Collegio dei Docenti.
Fonte: P. Tarallo, La privacy nella didattica a distanza: linee guida e
ruoli chiave per una governance corretta, Agendadigitale.eu → LINK

quali piattaforme per la DDI?
Nella primavera 2020 il Ministero
Istruzione ha selezionato e “suggerito”
tre piattaforme (link). Ciò non toglie
che i singoli istituti, nella loro
autonomia, possano sceglierne altre.
NOTA: All’epoca era in vigore il cosiddetto
“Privacy shield”, un accordo UE-USA sulla
gestione dei dati personali, che però è
stato dichiarato illegittimo dalla Corte
Giustizia UE il 16 luglio 2020 (c.d.
sentenza Shrems II).
Sullo specifico tema vedi approfondimenti:
●
lettera di Privacy Network al ministero
●
articolo di Agendadigitale.eu

registro elettronico: le raccomandazioni del Garante
[lettera al Ministro dell’Istruzione del 4 maggio 2020 – link]
L'inclusione, nel registro, di un novero assai rilevante – in termini
quantitativi e qualitativi – di dati personali, anche di minorenni, esige
l'adozione di tutte le cautele idonee a evitare o, quantomeno, minimizzare,
i rischi di esfiltrazione, trattamento illecito, alterazione dei dati stessi.
A tal fine, sarebbe anzitutto necessario provvedere al perfezionamento
della disciplina di settore, adottando segnatamente il "Piano per la
dematerializzazione delle procedure amministrative in materia di istruzione,
università e ricerca e dei rapporti con le comunità dei docenti, del
personale, studenti e famiglie", che avrebbe dovuto essere predisposto
entro sessanta giorni dalla data di entrata in vigore della Legge 135/2012,
alla quale si deve l'introduzione di tali forme innovative di rendicontazione
dell'attività didattica e di comunicazione tra scuole e famiglie. [continua]

registro elettronico: le raccomandazioni del Garante
[lettera al Ministro dell’Istruzione del 4 maggio 2020 – link]
In assenza di direttive specifiche, gli istituti scolastici hanno sinora provveduto
ricorrendo a soluzioni tecnologiche, offerte da vari fornitori, non sempre
caratterizzate da garanzie adeguate in termini di protezione dei dati
personali e talora notevolmente vulnerabili.
La crescente rilevanza assunta dagli strumenti volti a consentire lo
svolgimento dell'attività didattica a distanza impone, tuttavia, di riservare
maggiore attenzione alle questioni inerenti la sicurezza e la protezione dei dati
personali affidati a tali piattaforme.
In questo senso, il registro elettronico – fornito da soggetti già designati
responsabili del trattamento – potrebbe rappresentare lo strumento elettivo
mediante cui realizzare (almeno) una parte significativa dell'attività didattica,
riducendo proporzionalmente il ricorso a piattaforme altre, che oltretutto non
sempre si limitano all'erogazione di servizi funzionali all'attività formativa.

di Simone Aliprandi
orsù seguitemi
• Twitter: @simonealiprandi
https://twitter.com/simonealiprandi
• Pagina Facebook:
www.facebook.com/simone.aliprandi.page/
• Profilo LinkedIn:
https://it.linkedin.com/in/aliprandi/

grazie per l'attenzione
slides rilasciate sotto licenza
Creative Commons Attribution – Share Alike 4.0

La gestione e il trattamento dei dati nelle piattaforme della DAD (giugno 2021)

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à La gestione e il trattamento dei dati nelle piattaforme della DAD (giugno 2021)

Similaire à La gestione e il trattamento dei dati nelle piattaforme della DAD (giugno 2021) (20)

Plus de Simone Aliprandi

Plus de Simone Aliprandi (20)

Dernier

Dernier (6)

La gestione e il trattamento dei dati nelle piattaforme della DAD (giugno 2021)