Il Garante Privacy Antonello Soro ha inviato una nota al Ministero dell’Istruzione nella quale vengono indicate le prime indicazioni sulla cosidetta "didattica a distanza", con esse si cercano di conciliare le esigenze della formazione in e-learning con gli aspetti legati al trattamente dei dati personali, in particolare quando tali attività vengono effettuate tramite piattaforme in outsourcing.
La nota chiarisce che spetta in primo luogo a scuole e università, quali titolari del trattamento, la scelta e la regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza anche in base alle indicazioni fornite dalle autorità. In ogni caso sarà necessario conformarsi ai principi di privacy by design e by default nonché tenere conto di eventuali rischi per i diritti e le libertà delle persone coinvolte.
Nel caso in cui la piattaforma scelta comporti il trattamento di dati personali di studenti, alunni o genitori per conto dell’istituto, il rapporto con il fornitore (responsabile del trattamento) dovrà essere regolato tramite contratto o altro atto giuridico. A tal proposito viene fornito l’esempio del registro elettronico, il cui fornitore tratta i dati per conto della scuola e assume quindi l’incarico di responsabile del trattamento.
Qualora il registro elettronico non supportasse le videolezioni o altro tipo di interazione tra docenti e studenti, potrebbe essere sufficiente utilizzare servizi on line accessibili al pubblico con funzionalità di videoconferenza ad accesso riservato. In questo caso non vi sarà alcuna necessità di designare ulteriori responsabili del trattamento dei dati.
Quando invece invece si ritenga necessario ricorrere a piattaforme non rivolte esclusivamente alla didattica, si dovranno attivare di default soltanto servizi strettamente necessari alla formazione configurandoli in modo da minimizzare i dati personali da trattare, ciò sia in fase di attivazione che durante l’utilizzo. Il ricorso a dati per la geolocalizzazione o a sistemi di social login comportano infatti maggiori rischi per la privacy dato il coinvolgimento di soggetti terzi.