Indicazioni per gli RPD

DOCUMENTO DI COMMENTO DEL DOCUMENTO “DIDATTICA DIGITALE INTEGRATA E TUTELA DELLA PRIVACY: INDICAZIONI GENERALI” PREDISPOSTO DA WESCHOOL S.R.L. (“WESCHOOL”)

Per ogni dubbio o domanda contatta il nostro Help Desk scrivendo a rpd@weschool.com

Documento “Didattica Digitale Integrata e tutela della privacy: indicazioni generali” predisposto dal Ministero dell’Istruzione e dal Garante per la protezione dei dati personali (“Indicazioni Generali DDI”) Commenti di WeSchool
1 Premessa
Tenuto conto del carattere fortemente innovativo che caratterizza la didattica digitale integrata (DDI) e della necessità di guidare le scuole nell’implementazione di questo nuovo strumento, il Ministero dell’istruzione ritiene di accompagnare le Linee guida sulla DDI, adottate con D.M. n. 89 del 7 agosto 2020, con specifiche indicazioni, di carattere generale, sui profili di sicurezza e protezione dei dati personali sulla base di quanto previsto dal Regolamento (UE) 2016/679 (Regolamento).

A tale scopo, è stato predisposto il presente documento da parte del Gruppo di lavoro congiunto Ministero dell’istruzione-Ufficio del Garante per la protezione dei dati personali, di cui al Decreto del Capo di Gabinetto prot. n. 1885 del 5 giugno 2020, con il fine di fornire alle istituzioni scolastiche linee di indirizzo comuni e principi generali per l’implementazione della DDI con particolare riguardo agli aspetti inerenti alla sicurezza in rete e alla tutela dei dati personali.

Si premette che spetta alla singola istituzione scolastica, in qualità di titolare del trattamento, la scelta e la regolamentazione degli strumenti più adeguati al trattamento dei dati personali di personale scolastico, studenti e loro familiari per la realizzazione della DDI. Tale scelta è effettuata del Dirigente scolastico, con il supporto del Responsabile della protezione dei dati personali (RPD), sentito il Collegio dei Docenti.

I criteri che orientano l’individuazione degli strumenti da utilizzare tengono conto sia dell’adeguatezza rispetto a competenze e capacità cognitive degli studenti sia delle garanzie offerte sul piano della protezione dei dati personali. In generale, nella scelta degli strumenti tecnologici e dei relativi servizi è necessario tenere conto delle specifiche caratteristiche, anche tecniche, degli stessi, prediligendo quelli che, sia nella fase di progettazione che di sviluppo successivo, abbiano proprietà tali da consentire ai titolari e ai responsabili del trattamento di adempiere agli obblighi di protezione dei dati fin dalla progettazione e di protezione per impostazione predefinita (privacy by design e by default, cfr. “Considerando” (78) e art. 25 del Regolamento). Tale scelta, in merito alle tecnologie più appropriate per la DDI, va effettuata anche sulla base delle indicazioni fornite dal RPD, il quale dovrà essere tempestivamente coinvolto affinché fornisca il necessario supporto tecnico-giuridico.

Per questo motivo il Dirigente scolastico incaricherà il RPD, ai sensi di quanto previsto dall’art. 39, par. 1, lett. a) del Regolamento, di fornire consulenza rispetto alle principali decisioni da assumere, ad esempio, in merito alla definizione del rapporto con il fornitore della piattaforma prescelta e alle istruzioni da impartire allo stesso, all’adeguatezza delle misure di sicurezza rispetto ai rischi connessi a tale tipologia di trattamenti e alle misure necessarie affinché i dati siano utilizzati solo in relazione alla finalità della DDI e alle modalità per assicurare la trasparenza del trattamento mediante l’informativa a tutte le categorie di interessati.

Conformemente al principio “privacy by design e by default” di cui al Regolamento UE 2016/679 (“Regolamento”), WeSchool ha strutturato e organizzato il sistema di trattamento dei dati personali degli utenti della propria piattaforma in linea con il Regolamento e, da ultimo, con il provvedimento del Garante Privacy del 26 marzo 2020 intitolato “Didattica a distanza: prime indicazioni” (“Provvedimento Didattica Distanza”).

In particolare, WeSchool ha svolto i seguenti adempimenti:

  1. predisposizione di un contratto avente ad oggetto esclusivamente la fornitura di servizi di didattica digitale erogati tramite la propria piattaforma da sottoscrivere tra le scuole e WeSchool (“Contratto Servizi”);
  2. predisposizione di un accordo di nomina a responsabile ai sensi dell’art. 28 del Regolamento, in virtù del quale la scuola, in qualità di titolare, nomina WeSchool, come responsabile dei trattamenti dei dati personali esclusivamente necessari e strumentali alla fruizione dei servizi di didattica digitale sulla piattaforma da parte degli utenti legati alla scuola (“Nomina Responsabile”);
  3. predisposizione di un registro delle operazioni relative ai trattamenti di dati personali svolti sulla piattaforma ai sensi dell’art. 30 del Regolamento (“Registro”);
  4. esecuzione di una “data protection impact assessment” ai sensi dell’art. 35 del Regolamento avente ad oggetto il trattamento dei dati personali degli utenti minori della piattaforma (“DPIA”);
  5. pubblicazione sulla piattaforma di un’informativa sul trattamento dei dati personali degli utenti ai sensi degli artt. 13 e 14 del Regolamento (“Informativa Privacy”), consultabile a questo url;
  6. in corso di predisposizione di un video informativo sul trattamento dei dati personali di WeSchool rivolto agli utenti minori, che abbia i contenuti di cui agli artt. 13 e 14 del Regolamento (“Informativa Minori”);
  7. nomina di un responsabile della protezione dei dati ai sensi dell’art. 37 del GDPR (“RPD”), come indicato nell’Informativa Privacy;
  8. adozione di misure di sicurezza, sia tecniche-informatiche, sia organizzative, ai sensi dell’art. 32 del Regolamento, adeguate al rischio inerente ai trattamenti che vengono svolti sulla piattaforma (“Misure di Sicurezza”);
  9. introduzione di procedure di gestione del sistema dei dati personali raccolti tramite la piattaforma, ai sensi dell’art. 32 del Regolamento (“Procedure”);
  10. predisposizione di condizioni generali di utilizzo della piattaforma di didattica digitale da sottoscrivere tra gli utenti, quali docenti, studenti o genitori (nel caso di studenti di minore età), e WeSchool (“Condizioni Generali”).
Ciò, in particolare, suggerendo il ricorso a piattaforme che eroghino servizi rivolti esclusivamente alla didattica, ovvero, nei casi in cui siano preferite quelle più complesse e generaliste, raccomandando di attivare i soli servizi strettamente necessari alla DDI, verificando che dati di personale scolastico, studenti e loro familiari non vengano trattati per finalità diverse e ulteriori che siano riconducibili al fornitore. WeSchool offre agli utenti della piattaforma, in via principale e prevalente, i servizi di didattica digitale (“Servizi Didattica Digitale“), e, in via secondaria, facoltativa e separata, ulteriori servizi (“Servizi Aggiuntivi“).

Il Contratto Servizi e la Nomina Responsabile che vengono sottoscritti tra la scuola e WeSchool hanno ad oggetto esclusivamente i Servizi Didattica Digitale e i trattamenti dei dati personali strettamente connessi e funzionali ai Servizi Didattica Digitale (“Trattamenti Servizi Didattica Digitale”). La scuola non è in alcun modo coinvolta nella fruizione da parte degli utenti dei Servizi Aggiuntivi, che sono di esclusiva responsabilità di WeSchool.

La piattaforma informa fin dalla registrazione degli utenti della offerta delle due diverse tipologie di servizi e gli utenti sono liberi di accettare esclusivamente i Servizi Didattica Digitale, senza che subiscano alcun pregiudizio nell’accesso a tali servizi a causa dalla potenziale mancata attivazione dei Servizi Aggiuntivi.

Risulta fondamentale che l’istituzione scolastica, coinvolga nell’attività di verifica sul monitoraggio del corretto trattamento dei dati personali nella DDI tutti gli attori (personale scolastico, famiglie, studenti) di questo processo, anche attraverso specifiche iniziative di sensibilizzazione atte a garantire la massima consapevolezza nell’utilizzo di strumenti tecnologici e nella tutela dei dati personali al fine di evitare l’utilizzo improprio e la diffusione illecita dei dati personali trattati per mezzo delle piattaforme e il verificarsi di accessi non autorizzati e di azioni di disturbo durante lo svolgimento della didattica.

In ogni caso l’istituzione scolastica dovrà fornire al personale autorizzato al trattamento dei dati attraverso la piattaforma (personale docente e non docente) adeguate istruzioni (art. 4, par. 10, 29, 32, par. 4 del Regolamento; art. 2 quaterdecies del Decreto legislativo 30giugno 2003, n.196, recante il “Codice in materia di protezione dei dati personali”, in seguito Codice).

Le funzionalità della piattaforma di WeSchool sono indicate nell’Help Center della piattaforma medesima (https://support.weschool.com/hc/en-us).

WeSchool sta predisponendo l’Informativa Minori, in forma di video, al fine di favorire la consapevolezza degli utenti minori della piattaforma, in merito alla tutela dei propri dati personali. WeSchool si impegna nella divulgazione e sensibilizzazione sui temi della privacy e della cittadinanza digitale anche attraverso i suoi corsi di formazione per docenti, consultabili alla pagina: https://www.weschool.com/corsi/docenti/

2 Figure previste dal Regolamento e principali attori coinvolti nella DDI
  • Il Titolare del Trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4. par. 1, n. 7 del Regolamento). Nell’ambito dell’istituzione scolastica questa figura è identificata nella persona del Dirigente scolastico.
  • Il Responsabile della Protezione dei Dati personali (RPD), figura prevista dall’art.37 del Regolamento, assicura l’applicazione della normativa in materia di protezione dei dati personali in relazione ai trattamenti svolti dal titolare del trattamento. Nell’ambito dell’istituzione scolastica il RPD, individuato internamente o all’esterno sulla base di un contratto, è appositamente designato dal Dirigente scolastico. Nello specifico tale figura, per l’implementazione della DDI, collabora con il Dirigente scolastico nelle seguenti attività, assicurando:
    • consulenza in ordine alla necessità di eseguire la valutazione di impatto;
    • supporto nella scelta delle tecnologie più appropriate per la DDI;
    • consulenza nell’adozione delle misure di sicurezza più adeguate;
    • supporto nella predisposizione del contratto o altro atto giuridico con il fornitore dei servizi per la DDI;
    • supporto nella designazione del personale autorizzato al trattamento dei dati personali;
    • supporto nelle campagne di sensibilizzazione rivolte al personale autorizzato e agli interessati sugli aspetti inerenti alla tutela dei dati personali e sull’uso consapevole delle tecnologie utilizzate per la DDI.
  • Le persone autorizzate al trattamento (art. 4, n. 10, del Regolamento) effettuano operazioni sui dati personali sotto l’autorità del titolare del trattamento e sulla base di istruzioni fornite dallo stesso. Nell’ambito dell’istituzione scolastica questa figura è rappresentata dal personale scolastico in relazione al quale le istruzioni dovranno essere integrate, ove già non previsto, con indicazioni relative all’utilizzo delle piattaforme di erogazione della DDI.
  • Il Responsabile del trattamento è la persona fisica, giuridica, pubblica amministrazione o ente che tratta i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 del Regolamento). Pertanto, il responsabile del trattamento è un soggetto terzo che tratta dati personali per conto del titolare, mettendo in atto misure di sicurezza adeguate di tipo tecnico ed organizzativo. Nell’ambito dell’istituzione scolastica questa figura è identificata nei fornitori delle piattaforme o dei servizi per la DDI.
L’organizzazione dei rapporti tra le figure previste dal Regolamento e i principali attori coinvolti nella DDI proposta da WeSchool è conforme a questo paragrafo delle Nuove Indicazioni DDI del Ministero dell’Istruzione e del Garante Privacy.

In caso di sottoscrizione del Contratto Servizi e della Nomina Responsabile tra la scuola e WeSchool, confermiamo che:

  1. la scuola è Titolare dei Trattamenti Servizi Didattica Digitale (cfr. art. 10 del Contratto Servizi, art. 2 della Nomina Responsabile, art. 2 dell’Informativa Privacy, art. 12 delle Condizioni Generali);
  2. WeSchool è nominata dalla scuola come Responsabile dei Trattamenti Servizi Didattica Digitale (cfr. art. 10 del Contratto Servizi, art. 2 della Nomina Responsabile, art. 2 dell’Informativa Privacy, art. 12 delle Condizioni generali).

Precisiamo che WeSchool comunica immediatamente agli utenti che accedono alla piattaforma e che sono associati a una scuola che ha sottoscritto il Contratto Servizi e la Nomina Responsabile i diversi ruoli della scuola e di WeSchool ai sensi del Regolamento e indicati alle precedenti lett. a) e b). Infatti, il form di registrazione degli utenti prevede un disclaimer che li informa che la propria scuola è titolare dei Trattamenti Servizi Didattica Digitale.

3 Base giuridica del trattamento
Come chiarito dal Garante nel Provvedimento del 26 marzo 2020, n. 64 (doc web n. 9300784 “Didattica a distanza: prime indicazioni”), in relazione alla attività di DDI, il trattamento dei dati personali da parte delle istituzioni scolastiche è necessario in quanto collegato all’esecuzione di un compito di interesse pubblico di cui è investita la scuola attraverso una modalità operativa prevista dalla normativa, con particolare riguardo anche alla gestione attuale della fase di emergenza epidemiologica.

Il consenso dei genitori, che non costituisce una base giuridica idonea per il trattamento dei dati in ambito pubblico e nel contesto del rapporto di lavoro, non è richiesto perché l’attività svolta, sia pure in ambiente virtuale, rientra tra le attività istituzionalmente assegnate all’istituzione scolastica, ovvero di didattica nell’ambito degli ordinamenti scolastici vigenti. Pertanto, le istituzioni scolastiche sono legittimate a trattare tutti i dati personali necessari al perseguimento delle finalità collegate allo svolgimento della DDI nel rispetto dei principi previsti dalla normativa di settore.

L’individuazione della base giuridica dei Trattamenti Servizi Didattici Digitali eseguita da WeSchool è conforme a questo paragrafo delle Nuove Indicazioni DDI del Ministero dell’Istruzione e del Garante Privacy e al Provvedimento Didattica Distanza del Garante Privacy.

In caso di sottoscrizione del Contratto Servizi e della Nomina Responsabile tra la scuola e WeSchool, confermiamo che:

  1. come indicato al precedente punto 2 della presente tabella, la scuola è titolare dei Trattamenti Servizi Didattica Digitale (cfr. art. 10 del Contratto Servizi, art. 2 della Nomina Responsabile, art. 2 dell’Informativa Privacy, art. 12 delle Condizioni Generali);
  2. conseguentemente, in fase di registrazione, la piattaforma non raccoglie il consenso degli utenti associati a una scuola per lo svolgimento dei Trattamenti Servizi Didattica Digitale, in quanto tali trattamenti vengono svolti sulla base del compito di interesse pubblico di cui è investita la scuola (cfr. Nomina Responsabile, Allegato A1, punto 6).
 4 Principio di trasparenza e correttezza nei confronti degli interessati
In base alle disposizioni contenute negli artt. 13 e 14 del Regolamento UE 2016/679, le Istituzioni scolastiche devono informare gli interessati in merito ai trattamenti dei dati personali effettuati nell’ambito dell’erogazione dell’offerta formativa. Poiché attraverso l’utilizzo della piattaforma per l’erogazione della DDI sono trattati sia dati degli studenti che dei docenti e, in taluni casi, anche dei genitori, è opportuno che le scuole forniscano a tutte queste categorie di interessati, di regola all’inizio dell’anno scolastico, anche nell’ambito di una specifica sezione dell’informativa generale o in un documento autonomo, tutte le informazioni relative a tali trattamenti.

Tale informativa dovrà essere redatta in forma sintetica e con un linguaggio facilmente comprensibile anche dai minori e dovrà specificare, in particolare, i tipi di dati e le modalità di trattamento degli stessi, i tempi di conservazione e le altre operazioni di trattamento, specificando che i dati raccolti saranno trattati esclusivamente per l’erogazione di tale modalità di didattica, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale.

In tale sezione devono essere puntualmente indicati i soggetti dai quali saranno trattati i dati nell’ambito della DDI, specificando le diverse modalità di fruizione (App, Piattaforma web, …), informando sull’eventuale utilizzo di tecnologie in cloud e precisando se queste comportano un trasferimento di dati al di fuori dell’Unione Europea.

Inoltre, le istituzioni scolastiche che facciano ricorso a nuove piattaforme per l’erogazione della DDI, laddove non abbiano già provveduto, dovranno provvedere ad aggiornare l’informativa rilasciata agli interessati al momento dell’iscrizione o, nel caso del personale scolastico, al momento della stipula del contratto di lavoro, indicando gli eventuali nuovi fornitori del servizio che, in qualità di responsabili del trattamento, trattano i dati per conto dell’istituzione stessa.

Come indicato in questo paragrafo delle Nuove Indicazioni DDI, spetta a ciascuna scuola preparare un’informativa privacy conforme agli artt. 13 e 14 del Regolamento avente ad oggetto ogni trattamento dei dati personali eseguito dalla scuola, tra i Trattamenti Servizi Didattica Digitali svolti mediante la piattaforma di WeSchool. 

Tuttavia, negli Allegati A1 e A2 della Nomina Responsabile, WeSchool fornisce indicazioni, che devono essere oggetto di specifica valutazione da parte delle scuole, sui possibili contenuti della sezione dell’informativa privacy della scuola relativa ai Trattamenti Servizi Didattica Digitale erogati tramite la piattaforma, come, ad esempio, la tipologia di dati personali raccolti, le finalità e le basi giuridiche dei trattamenti, i periodi di conservazione dei dati personali e i destinatari dei dati personali.

Inoltre, per quanto riguarda l’adempimento al principio di trasparenza e correttezza previsto dal Regolamento da parte di WeSchool, evidenziamo che:

  1. in fase di registrazione, ciascun utente della piattaforma è tenuto a leggere e accettare l’Informativa Privacy di WeSchool, a pena di non poter accedere ai servizi offerti sulla piattaforma di cui WeSchool è titolare;
  2. l’Informativa Privacy di WeSchool è disponibile e facilmente accessibile dal sito di WeSchool (https://www.weschool.com/) o dalla pagina profilo di ciascun utente;

WeSchool sta sviluppando l’Informativa Minori, che sarà offerta tramite un video, e che conterrà un linguaggio semplice e immagini che possano facilitare la comprensione del relativo contenuto da parte degli utenti minorenni della piattaforma.

 5 Principio di limitazione della conservazione dei dati
In relazione alla conservazione dei dati personali, prevista dall’art.5, lettera e) del regolamento, il titolare del trattamento è chiamato ad assicurare che i dati non siano conservati più a lungo del necessario, ad esempio, disponendo che i dati siano cancellati al termine del progetto didattico. Pertanto, il Dirigente scolastico, coadiuvato dal RPD, dovrà assicurarsi che il sistema scelto per l’erogazione della DDI preveda il rispetto del termine per la conservazione e la successiva cancellazione dei dati, tenendo altresì conto, nella definizione del limite temporale della conservazione dei dati nell’ambito della DDI, della molteplicità e della quantità di soggetti coinvolti e del numero delle attività di trattamento connesse. Come indicato in questo paragrafo delle Nuove Indicazioni DDI, in qualità di Titolare, spetta a ciascuna scuola definire il periodo di conservazione dei dati personali raccolti per l’esecuzione dei Trattamenti Servizi Didattica Digitale. Tale periodo di conservazione deve tenere conto della durata del progetto didattico promosso dalla scuola. 

Conseguentemente, conformemente alle indicazioni previste dal Ministero dell’Istruzione e dal Garante Privacy, WeSchool ha previsto che la durata dei Trattamenti Servizi Didattica Digitale sia definita dalla scuola che ha sottoscritto il Contratto Servizi con WeSchool, in base alla durata del rapporto tra la scuola e WeSchool stessa, che corrisponde quindi alla durata del progetto didattico avviato dalla scuola sulla piattaforma. 

Il Contratto Servizi ha, pertanto, una durata legata all’anno scolastico e si rinnova automaticamente, salvo la libertà della scuola di impedire il rinnovo e, pertanto, di interrompere il progetto didattico.

Inoltre, WeSchool ha adottato una apposita Procedura volta a disciplinare la cancellazione dei dati personali che vengono raccolti sulla piattaforma e ha implementato Misure di Sicurezza che consentono la cancellazione di tali dati, nel rispetto del Regolamento.

 6 Ruolo dei fornitori
In qualità di titolare del trattamento dei dati personali, l’istituzione scolastica, che riterrà opportuno ricorrere a un soggetto esterno per la gestione dei servizi per la DDI che comportino il trattamento di dati di personale scolastico, studenti e/o dei loro familiari per conto della scuola stessa, è tenuta a nominare tale soggetto come responsabile del trattamento con contratto o altro atto giuridico (art. 28 del Regolamento), indicando conseguentemente tale circostanza nel registro dei trattamenti (art. 30 del Regolamento).

Attraverso tale atto, l’istituzione scolastica circoscriverà l’ambito, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, ricorrendo a fornitori che presentino garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate agli specifici trattamenti posti in essere per conto dell’istituzione stessa. In particolare, le istituzioni scolastiche dovranno assicurarsi che i dati trattati per loro conto siano utilizzati solo per la DDI, senza l’introduzione di ulteriori finalità estranee all’attività scolastica. Sarà, pertanto, necessario prevedere, nell’atto che disciplina il rapporto con il responsabile del trattamento, specifiche istruzioni sulla conservazione dei dati, sulla cancellazione o sulla restituzione dei dati al temine dell’accordo tra scuola e fornitore, nonché sulle procedure di gestione di eventuali violazioni di dati personali, secondo quanto disposto dal Regolamento.

Qualora le istituzioni scolastiche dovessero avvalersi di piattaforme o strumenti per la DDI offerti da operatori che già forniscono alla scuola altri servizi (es. registro elettronico, altri applicativi di gestione, ecc.), le stesse possono procedere – a seconda dei casi – disciplinando le ulteriori attività di DDI con una integrazione del contratto di fornitura già esistente.

Anche nel caso di utilizzo per la DDI di una piattaforma disponibile a titolo gratuito dovrà essere disciplinato in ogni caso il rapporto con il fornitore con riguardo al trattamento di dati personali attraverso un contratto o altro atto giuridico ai sensi dell’art. 28 del Regolamento.

Diversamente, nei casi in cui le istituzioni scolastiche facciano ricorso a strumenti e piattaforme per la DDI gestite in via autonoma, senza il ricorso a soggetti esterni, non è richiesto alcun atto di nomina a responsabile del trattamento.

Come indicato al precedente punto 2 della presente tabella, il ruolo ricoperto da WeSchool come fornitore dei Servizi Didattica Digitale è conforme a questo paragrafo delle Nuove Indicazioni DDI del Ministero dell’Istruzione e del Garante Privacy.

Contestualmente alla sottoscrizione del Contratto Servizi, la scuola nomina WeSchool come Responsabile del Trattamento Servizi Didattica Digitale, tramite la Nomina Responsabile.

La Nomina Responsabile di WeSchool ha ad oggetto esclusivamente i Trattamenti Servizi Didattica Digitale e prevede i contenuti indicati in questo paragrafo delle Nuove Indicazioni DDI e previsti dall’art. 28 del Regolamento. In particolare, nell’Allegato A1 della Nomina Responsabile, WeSchool ha descritto gli elementi caratteristici dei Trattamenti Servizi Didattica Digitale e ha indicato le istruzioni per il relativo svolgimento in maniera conforme al Provvedimento Didattica Distanza del Garante Privacy. 

WeSchool presenta idonee garanzie e competenze tecniche per essere nominata come Responsabile dei Trattamenti Servizi Didattica Digitale, avendo adottato un sistema di gestione dei dati personali trattati sulla propria piattaforma conforme al Regolamento e che prevede Misure di Sicurezza e Procedure adeguate ai rischi derivanti dai trattamenti dalla stessa eseguiti.

Laddove l’istituzione scolastica ritenga opportuno ricorrere a piattaforme più complesse che includono una più vasta gamma di servizi, anche non rivolti esclusivamente alla didattica, sarà necessario verificare, con il supporto del RPD, come già evidenziato, che siano attivati solo i servizi strettamente correlati con la DDI configurando i servizi in modo da minimizzare i dati personali da trattare sia in fase di attivazione dei servizi sia durante l’utilizzo degli stessi da parte di docenti e studenti (evitando, ad esempio, il ricorso a dati sulla geolocalizzazione, ovvero a sistemi di social login che, coinvolgendo soggetti terzi, comportano maggiori rischi e responsabilità). Come anticipato al precedente punto 1 della presente tabella, WeSchool, tramite la piattaforma eroga non solo i Servizi Didattica Digitale ma anche i Servizi Aggiuntivi. Questi ultimi sono offerti agli utenti, in via secondaria, facoltativa e separata. 

La Nomina Responsabile tra la scuola e WeSchool ha ad oggetto unicamente i Servizi Didattica Digitale e non i Servizi Aggiuntivi. 

Tra le Misure di Sicurezza, WeSchool ha specificatamente previsto e adottato misure che consentono alla piattaforma di funzionare conformemente al principio di minimizzazione dei dati personali che raccoglie. 

In fase di registrazione, infatti, WeSchool raccoglie il set minimo di dati personali per rispettare le normative e garantire il servizio della piattaforma. I dati richiesti sono nome, cognome, data di nascita e indirizzo e-mail (cfr. Allegato 10 DPIA punto 11).

WeSchool non raccoglie dati di geolocalizzazione e la piattaforma non prevede alcun sistema di social login da parte degli utenti.

Si fa presente che il tipo di misure e condizioni va calibrato sulle categorie di dati trattati e sulle modalità di trattamento da parte del responsabile del trattamento. La definizione e l’adozione da parte di WeSchool delle Misure di Sicurezza e delle Procedure di WeSchool sono conformi a questo paragrafo delle Nuove Indicazioni DDI del Ministero dell’Istruzione e del Garante Privacy.

Infatti, al fine di calibrare le Misure di Sicurezza e le Procedure sulle categorie di dati trattati e sulle modalità di svolgimento dei trattamenti, WeSchool ha previamente svolto una DPIA, ossia una valutazione dell’impatto derivante dai trattamenti dei dati personali svolti dalla piattaforma, inclusi i Trattamenti Servizi Didattica Digitale.

In particolare, nel suddetto atto dovrà essere specificato che, nel caso in cui il fornitore dei servizi per la DDI si avvalga di altro fornitore per il trattamento dei dati, dovrà essere esplicitamente autorizzato per iscritto dall’istituzione scolastica a designarlo sub-responsabile, in maniera specifica o generale, rendendo disponibile al titolare del trattamento l’elenco di tali soggetti (art. 28, par. 2 del Regolamento). Il sub-responsabile dovrà attenersi agli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra l’istituzione scolastica e il primo responsabile. Il fornitore che si avvalga di sub-responsabili risponde direttamente nei confronti dell’istituzione scolastica in relazione ad eventuali inadempimenti o violazioni della propria catena di subfornitura. La Nomina Responsabile di WeSchool è conforme a questo paragrafo delle Nuove Indicazioni DDI del Ministero dell’Istruzione e del Garante Privacy.

Infatti, l’art. 4 della Nomina Responsabile prevede espressamente il contenuto richiesto dall’art. 28 del Regolamento relativamente alla nomina da parte di WeSchool di sub-responsabili e WeSchool viene autorizzata a utilizzare i servizi di fornitori terzi indicati nell’Allegato A2.

7 Misure tecniche e organizzative legate alla sicurezza
L’istituzione scolastica, sulla base di quanto previsto dal Regolamento, anche avvalendosi della consulenza offerta dal proprio RPD, deve adottare, anche per mezzo dei fornitori designati responsabili del trattamento, misure tecniche e organizzative adeguate sulla base del rischio. Pertanto, il Dirigente scolastico dovrà assicurarsi che i dati vengano protetti da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o da danni accidentali.

A tal fine si esemplificano alcune misure:

  • adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti;
  • utilizzo di robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione;
  • definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati;
  • definizione di password policy adeguate (es. regole di composizione, scadenza periodica, ecc.);
  • conservazione delle password degli utenti, mediante l’utilizzo di funzioni di hashing allo stato dell’arte (es. PBKDF2, bcrypt, ecc.) e di salt di lunghezza adeguata;
  • utilizzo di canali di trasmissione sicuri tenendo conto dello stato dell’arte;
  • adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery);
  • utilizzo di sistemi di protezione perimetrale, adeguatamente configurati in funzione del contesto operativo;
  • utilizzo di sistemi antivirus e anti malware costantemente aggiornati;
  • aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità;
  • registrazione degli accessi e delle operazioni compiute in appositi file di log, ai fini della verifica della correttezza e legittimità del trattamento dei dati;
  • definizione di istruzioni da fornire ai soggetti autorizzati al trattamento;
  • formazione e sensibilizzazione degli utenti.
La definizione e l’adozione delle Misure di Sicurezza e delle Procedure di WeSchool sono conformi a questo paragrafo delle Nuove Indicazioni DDI del Ministero dell’Istruzione e del Garante Privacy. 

In particolare, confermiamo che WeSchool ha adottato tutte le Misure di Sicurezza elencate dal Ministero dell’Istruzione e dal Garante Privacy in questo paragrafo delle Nuove Indicazioni DDI, nonché ulteriori Misure di Sicurezza ritenute idonee a maggiormente tutelare i diritti degli utenti della piattaforma (cfr. allegati 9, 10, 11 e 12 della DPIA), in consultazione con il proprio RPD.

Le Misure di Sicurezza di WeSchool sono suddivise come segue:

  1. misure specifiche per la creazione e la gestione degli account degli utenti minorenni (cfr. allegato 9 della DPIA);
  2. misure generali di sicurezza dei sistemi di WeSchool (cfr. allegato 10 della DPIA);
  3. misure applicate ai dati (cfr. allegato 11 della DPIA);
  4. misure organizzative (cfr. allegato 12 della DPIA).

Le principali Procedure adottate da WeSchool nel proprio sistema di gestione dei dati personali sono:

  1. procedura per la valutazione e la gestione degli incidenti che possono determinare un data breach ai sensi dell’art. 32 del Regolamento;
  2. procedura per la cancellazione dei dati personali degli utenti ai sensi dell’art. 17 del Regolamento.
In caso di utilizzo di tecnologie in cloud risulta necessaria la verifica del rispetto della normativa in materia di protezione dati personali da parte del fornitore del servizio designato come responsabile del trattamento. Inoltre, nel caso sia previsto che le informazioni vengono trasferite fuori dall’Unione Europea (UE), occorre verificare che sussistano tutti i presupposti giuridici richiesti dalla disciplina per assicurare un adeguato livello di protezione.

Infine, particolare attenzione va rivolta alla configurazione dei siti e delle App messe a disposizione dell’istituzione scolastica per la fruizione dei materiali e per l’erogazione delle attività didattiche a distanza, nel rispetto del principio di privacy by design e by default previsto dal Regolamento. In particolare, nell’uso di tali strumenti, è necessario evitare l’inserimento di tracker e analytics, notifiche push (per le App), font resi disponibili da terze parti, advertising o in-appurchasing, o altri elementi che possono peraltro comportare il trasferimento di dati fuori dall’Unione Europea e/o il monitoraggio delle attività degli utenti. 

Con riferimento a questi aspetti il Dirigente scolastico, sentito il RPD, dovrà richiedere al fornitore dei servizi per DDI che vengano assicurate, inserendo specifici obblighi anche nel contratto o altro atto giuridico di cui all’art. 28 del Regolamento, le necessarie garanzie legate all’utilizzo di tecnologie in cloud, alla progettazione e alla configurazione dei siti, delle App e delle piattaforme utilizzate per la didattica.

WeSchool collabora con alcuni fornitori di servizi che hanno sede al di fuori dell’Unione Europea, previa verifica della sussistenza di tutti i presupposti giuridici richiesti dal Regolamento per assicurare un adeguato livello di protezione (cfr. art. 7 dell’Informativa Privacy, Allegato A2 della Nomina Responsabile).

Nelle Misure di Sicurezza è specificatamente previsto che: prima della sottoscrizione di eventuali contratti che possano determinare il trasferimento dei dati degli utenti al di fuori dell’UE, WeSchool verifichi la sussistenza delle condizioni previste dall’art. 44 e ss. del Regolamento. In caso di mancanza di una decisione di adeguatezza ai sensi dell’art. 45 del Regolamento, WeSchool provvede alla formalizzazione di un accordo di trasferimento dei dati nel rispetto delle clausole tipo di protezione predisposte dalla Commissione Europea ai sensi dell’art. 46, comma 2, lett. c) del Regolamento (cfr. allegato 10 della DPIA).

I servizi cloud utilizzati dalla piattaforma WeSchool sono i seguenti: 1) Google Inc.; 2) Apple Inc.; 3) Amazon Web Services, Inc.; 4) Pusher Ltd.; 5) Three Hearts Digital Ltd. (Email Octopus);

Per quanto riguarda le misure organizzative interne alla scuola, occorrerà verificare che il sistema utilizzato per la DDI preveda che i diversi utenti autorizzati (personale docente e non docente), possano accedere solo alle informazioni e funzioni di competenza per tipologia di utenza sulla base delle specifiche mansioni assegnate (art. 4, par. 10, 29, 32, par. 4 del Regolamento; art. 2 quaterdecies del Codice). I soggetti autorizzati al trattamento dei dati personali sono tenuti a conformare i trattamenti a loro assegnati alla normativa in materia di protezione dei dati personali e alle istruzioni ricevute. Le istruzioni operative impartite a tali soggetti da parte delle istituzioni scolastiche dovranno riguardare principalmente l’utilizzo e la custodia delle credenziali di accesso, il divieto di condivisione delle stesse, il divieto di far accedere alla piattaforma persone non autorizzate, la protezione da malware e attacchi informatici, nonché i comportamenti da adottare durante la DDI e le conseguenze in caso di violazione di tali istruzioni.

Occorre inoltre sensibilizzare, più in generale, anche gli altri soggetti intestatari di utenze, come gli studenti e i genitori, sul corretto utilizzo del proprio account, fornendo specifiche istruzioni da declinare con un linguaggio chiaro e comprensibile in ragione delle fasce di età degli utenti.

Questo paragrafo delle Nuove Indicazioni DDI si riferisce alle nomine a persone autorizzate interne alle scuole (come docenti e personale ATA).

Tuttavia, precisiamo che, al proprio interno, anche WeSchool ha nominato in forma scritta i dipendenti come soggetti incaricati a gestire i trattamenti dei dati personali degli utenti della piattaforma (inclusi i Trattamenti Servizi Didattica Digitale), conformemente agli artt. 4, 29, 32 del GDPR e all’art. 2 quaterdecies del Codice Privacy Italiano.

Inoltre, i dipendenti di WeSchool hanno partecipato a un corso formativo avente ad oggetto il trattamento dei dati personali svolti dalle scuole.

Infine, come indicato ai precedenti punti, WeSchool sta realizzando un video contenente l’Informativa Minori, volto proprio a sensibilizzare questi utenti della piattaforma sulle tematiche legate alla privacy. WeSchool si impegna nella divulgazione e sensibilizzazione sui temi della privacy e della cittadinanza digitale anche attraverso i suoi corsi di formazione per docenti, consultabili alla pagina: https://www.weschool.com/corsi/docenti/

8 L’utilizzo degli strumenti e la tutela dei dati
Le istituzioni scolastiche, con il supporto del RPD, dovranno verificare che, in applicazione dei principi generali del trattamento dei dati e nel rispetto delle disposizioni nazionali che trovano applicazione ai rapporti di lavoro (art. 5 e 88 del Regolamento), le piattaforme e gli strumenti tecnologici per l’erogazione della DDI consentano il trattamento dei soli dati personali necessari alla finalità didattica, configurando i sistemi in modo da prevenire che informazioni relative alla vita privata vengano, anche accidentalmente, raccolte e da rispettare la libertà di insegnamento dei docenti. Le misure di minimizzazione dei dati personali incluse tra le Misure di Sicurezza adottate da WeSchool sono conformi a questo paragrafo delle Nuove Indicazioni DDI.

In particolare, WeSchool rispetta i principi di minimizzazione dei dati personali e di limitazione della finalità previsti dall’art. 5 del Regolamento, in virtù dei quali, per l’erogazione dei Servizi Didattica Digitale, la piattaforma raccoglie unicamente i dati personali necessari per fruire di tali servizi. Si tratta essenzialmente di: (i) i dati personali necessari per la registrazione alla piattaforma (i.e. nome, cognome e data di nascita); (ii) i dati personali di contatto (e-mail); e (iii) i dati personali che vengono spontaneamente comunicati dagli utenti (docenti, studenti e genitori) all’interno dei contenuti caricati sulla piattaforma durante la fruizione dei Servizi Didattica Digitale. 

Con riferimento al punto (iii), precisiamo che, lasciando liberi gli utenti di caricare sulla piattaforma i contenuti necessari per i Servizi Didattica Digitale, WeSchool rispetta la libertà di insegnamento dei docenti, consentendo loro di definire all’interno dei gruppi creati sulla piattaforma i contenuti da pubblicare o da richiedere ai propri studenti.

In ragione del fatto che le piattaforme e gli strumenti tecnologici impiegati per la didattica possono comportare il trattamento di informazioni associate in via diretta o indiretta ai dipendenti, con possibilità di controllarne a distanza l’attività, dovrà essere verificata, sempre con il supporto del RPD, la sussistenza dei presupposti di liceità stabiliti dell’art. 4 della l. 20 maggio 1970, n. 300 cui fa rinvio l’art.114 del Codice, valutando, in via preliminare, se, tenuto conto delle concrete caratteristiche del trattamento, trovi applicazione il comma 1 o il comma 2 dello stesso articolo. Nel rispetto del principio di responsabilizzazione, l’istituzione scolastica dovrà adottare le misure tecniche e organizzative affinché il trattamento sia conforme alla richiamata normativa di settore, fornendo a tal fine le necessarie indicazioni al fornitore del servizio (cfr. artt. 24 e 25 del Regolamento).

A riguardo il Garante, nel Provvedimento del 26 marzo u.s. – “Didattica a distanza: prime indicazioni”, – ha, infatti, precisato che “nel trattare i dati personali dei docenti funzionali allo svolgimento della didattica a distanza, le scuole e le università dovranno rispettare presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo (artt. 5 e 88, par. 2, del Regolamento, art. 114 del Codice in materia di protezione dei dati personali e art. 4 della legge 20 maggio 1970, n. 300) limitandosi a utilizzare quelli strettamente necessari, comunque senza effettuare indagini sulla sfera privata (art. 113 del citato Codice) o interferire con la libertà di insegnamento.”

Fermo restando che questo paragrafo delle Nuove Indicazioni DDI si riferisce agli impegni assunti dalle scuole nei confronti dei propri docenti, confermiamo che la piattaforma di WeSchool non è stata creata per essere utilizzata dalle scuole come uno strumento di controllo a distanza dell’attività dei docenti (cfr. art. 4.1.1 del Contratto Servizi).
Atteso che lo svolgimento delle videolezioni in modalità telematica rientra nell’ambito dell’attività di DDI ed è, pertanto, riconducibile alle funzioni di formazione istituzionalmente svolte dagli istituti scolastici, occorre precisare che l’utilizzo della webcam deve in ogni caso avvenire nel rispetto dei diritti delle persone coinvolte e della tutela dei dati personali

Nel contesto della didattica digitale, l’utilizzo della webcam durante le sessioni educative costituisce la modalità più immediata attraverso la quale il docente può verificare se l’alunno segue la lezione, ma spetta in ogni caso alle istituzioni scolastiche stabilire le modalità di trattamento dei dati personali e in che modo regolamentare l’utilizzo della webcam da parte degli studenti che dovrà avvenire esclusivamente, come sopra precisato, nel rispetto dei diritti delle persone coinvolte.

A tal fine è opportuno ricordare a tutti i partecipanti, attraverso uno specifico “disclaimer”, i rischi che la diffusione delle immagini e, più in generale, delle lezioni può comportare, nonché le responsabilità di natura civile e penale. In generale, anche attraverso specifiche campagne di sensibilizzazione rivolte ai docenti, studenti e famiglie, va evidenziato che il materiale caricato o condiviso sulla piattaforma utilizzata per la DDI o in repository, in locale o in cloud, sia esclusivamente inerente all’attività didattica e che venga rispettata la tutela della protezione dei dati personali e i diritti delle persone con particolare riguardo alla presenza di particolari categorie di dati.

La piattaforma di WeSchool consente di fruire dei Servizi Didattica Digitale anche per il tramite di webcam (come, ad esempio, per la partecipazione a video-lezioni). L’utilizzo della webcam è una decisione che compete a ciascun docente che gestisce il proprio gruppo scolastico creato sulla piattaforma. 

Tuttavia, qualora venisse attivata tale modalità di didattica digitale, confermiamo che:

  1. WeSchool ha previsto e disciplinato ai sensi del Regolamento, nel proprio sistema di gestione dei dati personali, la raccolta delle immagini degli utenti (cfr. DPIA);
  2. in fase di registrazione alla piattaforma, ogni utente è tenuto a sottoscrivere le Condizioni Generali di uso della piattaforma stessa. In tale documento, gli utenti si impegnano a fruire dei Servizi Didattica Digitale conformemente alla normativa italiana, nonché in modo non fraudolento, offensivo o lesivo della reputazione degli altri utenti (cfr. art. 5.1.9 delle Condizioni Generali) e a cancellare immediatamente ogni contenuto illecito (cfr. art. 5.1.10 delle Condizioni Generali);
  3. inoltre, WeSchool ha attivato sulla piattaforma una procedura di notice and take down per la segnalazione e l’eventuale immediata cancellazione di contenuti illeciti pubblicati dagli utenti (cfr. art. 5.1.11 delle Condizioni Generali).
 9 La valutazione di impatto (DPIA)
La valutazione di impatto deve essere effettuata solo se e quando ricorrono i presupposti dell’articolo 35 del Regolamento. Occorre precisare innanzitutto che, poiché l’istituzione scolastica, in genere, non effettua trattamenti di dati personali su larga scala, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).

La valutazione di impatto va effettuata, infatti, nel caso di ricorso a piattaforme di gestione della didattica che offrono funzioni più avanzate e complesse che la scuola decida di utilizzare e che comportano un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, l’istituzione scolastica per individuare i trattamenti da sottoporre a valutazione di impatto dovrà verificare se il trattamento in questione:

  1. rientra nei casi previsti dall’art.35, par. 3 del Regolamento (trattamento automatizzato, profilazione, trattamento su larga scala di categorie particolari di dati personali, ecc.), tenendo conto sempre del contesto in cui il trattamento stesso si colloca;
  2. comporta la compresenza di almeno di due criteri individuati come indici sintomatici del “rischio elevato” dal Gruppo di lavoro ex articolo 29 delle Linee guida in materia di valutazione d’impatto sulla protezione dei dati (trattamenti valutativi o di scoring), compresa la profilazione, processo decisionale automatizzato, monitoraggio sistematico, dati sensibili o dati aventi carattere altamente personale, trattamento di dati su larga scala espressi in percentuale della popolazione di riferimento, creazione di corrispondenze o combinazione di insiemi di dati, dati relativi a interessati vulnerabili, uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, trattamento che in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”.
Questo paragrafo delle Nuove Indicazioni DDI si riferisce alla valutazione di ciascuna scuola di svolgere una DPIA avente ad oggetto ogni trattamento dei dati personali dalla stessa compiuto, tra cui anche i Trattamenti Servizi Didattica Digitale eventualmente erogati tramite la piattaforma di WeSchool.

Al fine di supportare le scuole nella valutazione sopra indicata, come suggerito in questo paragrafo delle Nuove Indicazioni DDI, confermiamo che WeSchool non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche che siano particolarmente invasive.

Indipendentemente dalle scelte effettuate nel contesto dell’emergenza nel corso del precedente anno scolastico, a seconda delle caratteristiche delle piattaforme utilizzate, è opportuno che, se sussistono i requisiti sopra indicati, la scuola verifichi nuovamente, con l’assistenza del RPD, che è tenuto a fornire il proprio parere al riguardo, l’esigenza dell’effettuazione di una valutazione di impatto.

In questa attività il fornitore del servizio, in qualità del responsabile del trattamento, è tenuto ad assistere l’istituzione scolastica e a fornire ogni elemento utile nello svolgimento della valutazione d’impatto e delle analisi relative alla valutazione del rischio in riferimento alla protezione dei dati.

Per ulteriori informazioni sulla valutazione di impatto è possibile accedere all’infografica messa a disposizione sul sito del Garante Privacy.

Fermo restando che come indicato in questo paragrafo delle Nuove Indicazioni DDI spetta a ciascuna scuola valutare se svolgere una DPIA, confermiamo che WeSchool ha svolto e sta aggiornando una propria DPIA, in considerazione della crescente mole di dati personali di minori che vengono raccolti dalla piattaforma, in consultazione con il proprio RPD. 

Laddove richiesto, WeSchool è a disposizione per fornire il report della propria DPIA alle scuole, unitamente ai relativi allegati descrittivi delle Misure di Sicurezza.