La gestione della privacy nella didattica online (San Giovanni Teatino, gennaio 2021)

Avv. Simone Aliprandi, Ph.D. – Copyright-Italia.it / Array Law Firm
www.copyright-italia.it – www.aliprandi.org – www.array.eu
Istituto Comprensivo Galilei di San Giovanni Teatino, 15/01/2021 – La gestione della privacy nella didattica online
Avv. Simone Aliprandi, Ph.D.
La gestione delle privacy nella didattica online
Istituto Comprensivo Galilei di San Giovanni Teatino
venerdì 15 gennaio 2021

i miei riferimenti in rete:
• Il mio sito web: www.aliprandi.org
• Array Law Firm: www.array.eu
• Blog: http://aliprandi.blogspot.it
• Facebook: www.facebook.com/simone.aliprandi.page/
• Twitter: @simonealiprandi
• SlideShare: www.slideshare.net/simonealiprandi/

parte 1
Introduzione

Due concetti e due istituti giuridici estremamente diversi,
ma che vengono troppo spesso confusi.
●
privacy → tutela della riservatezza e dei dati personali
●
copyright → tutela della opere creative
copyright ≠ privacy

privacy = riservatezza
diritto alla privacy = diritto alla tutela
della propria sfera privata
“the right to be let alone”
ovvero il diritto di essere lasciati in pace
(vedi formulazione proposta da Louis Brandeis nel 1890 con
l'articolo The Right To Privacy su Harvard Law Review)
il concetto di privacy

privacy → concetto più ampio,
legato alla sfera giuridica e dei diritti della persona
sicurezza → concetto legato più che altro
alla sfera tecnologica, ma ha comunque
ripercussioni sulla riservatezza
→ infatti proteggere i dati significa anche proteggerli
contro trattamenti illeciti, cioè trattamenti privi di base
giuridica o non sorretti dal consenso o compiuti da
soggetti non legittimati
privacy e sicurezza dei dati
non sono sinonimi

sicurezza informatica
fattori tecnici
(adozione di appositi sistemi
hardware e software)
+
fattori umani
(comportamenti corretti, che
prevengono/non espongono a rischi)

Anche qui una questione di consapevolezza...
a) Attraverso il monitoraggio costante fatto dai suoi satelliti
b) Sono gli stessi utenti a fornire i dati a Google attraverso
l'utilizzo dell'applicazione
c) Google utilizza unicamente i dati forniti dagli enti pubblici
preposti a monitorare il traffico
Privacy – Breve test di consapevolezza:
Come fa Google Maps a conoscere in tempo reale
la situazione del traffico in buona parte del pianeta?

parte 2
Privacy: principi generali

●
L. 675/1996: Tutela delle persone e di altri soggetti rispetto
al trattamento dei dati personali → non più in vigore
●
D. Lgs. 196/2003: Codice in materia di protezione
dei dati personali
●
Regolamento UE 2016/679 (c.d. GDPR) relativo alla protezione
delle persone fisiche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (Regolamento generale
sulla protezione dei dati) → in vigore dal 24/05/2016
→ → direttamente applicabile dal 25/05/2018
le fonti normative italiane in tema di privacy

Art. 8 - Carta dei diritti fondamentali Unione Europea (Nizza, 2000)
“Ogni individuo ha diritto alla protezione dei dati di carattere
personale che lo riguardano.
Tali dati devono essere trattati secondo il principio di lealtà,
per finalità determinate e in base al consenso della persona
interessata o a un altro fondamento legittimo previsto dalla
legge. Ogni individuo ha il diritto di accedere ai dati raccolti
che lo riguardano e di ottenerne la rettifica.
Il rispetto di tali regole è soggetto al controllo di un'autorità
indipendente.”
privacy: diritto fondamentale

Il GDPR pone con forza l'accento sulla "responsabilizzazione"
(accountability) di titolari e responsabili, ossia sull'adozione di
comportamenti proattivi e tali da dimostrare la concreta adozione
di misure finalizzate ad assicurare il rispetto delle norme. Si tratta
di una grande novità per la protezione dei dati in quanto viene
affidato ai titolari il compito di decidere autonomamente le
modalità, le garanzie e i limiti del trattamento dei dati personali,
nel rispetto delle disposizioni normative e alla luce di alcuni criteri
specifici indicati nel GDPR. [fonte: garanteprivacy.it]
→ vedi principio fondamentale "privacy by default and by design"
norme di riferimento: articoli 24 e 25 GDPR
la rivoluzione del GDPR: il principio
di responsabilizzazione (accountability)

qualsiasi informazione riguardante una persona fisica
identificata o identificabile («interessato»);
si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare
riferimento a un identificativo come il nome, un numero di
identificazione, dati relativi all'ubicazione, un identificativo online o
a uno o più elementi caratteristici della sua identità fisica,
fisiologica, genetica, psichica, economica, culturale o sociale;
definizione di dato personale
Art. 4 (punto 1) GDPR

L’espressione “dati sensibili” è spesso usata in modo improprio.
“Dati sensibili” NON è un sinonimo di “dati personali” come
purtroppo molti pensano; i dati sensibili rappresentano un
sottoinsieme dei dati personali, cioè quelli riguardanti sfere
particolarmente delicate dell’identità e della vita privata della
persona (stato di salute, etnia, religione, abitudini sessuali,
convinzioni politiche, etc.).
Inoltre il termine non è nemmeno più utilizzato nel GDPR,
il quale parla di “dati particolari”, in quanto soggetti
a una tutela particolare.
dati sensibili ≠ dati personali

qualsiasi operazione o insieme di operazioni, compiute con o
senza l'ausilio di processi automatizzati e applicate a dati
personali o insiemi di dati personali, come la raccolta, la
registrazione, l'organizzazione, la strutturazione, la conservazione,
l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra
forma di messa a disposizione, il raffronto o l'interconnessione, la
limitazione, la cancellazione o la distruzione;
La normativa vigente (in particolare artt. 5 e 6 GDPR)
stabilisce in quali termini il trattamento è considerato lecito.
definizione di trattamento (di dati personali)

la persona fisica o giuridica, l'autorità pubblica,
il servizio o altro organismo che, singolarmente o
insieme ad altri, determina le finalità e i mezzi del
trattamento di dati personali;
definizione di titolare del trattamento
[eng. → data controller]

la persona fisica o giuridica, l'autorità pubblica,
il servizio o altro organismo che tratta dati personali
per conto del titolare del trattamento;
definizione di responsabile del trattamento
[eng. → data processor]
NB: da non confondere con il Responsabile della
Protezione dei dati (anche detto DPO)

È un professionista incaricato di sorvegliare l’osservanza delle
disposizioni in materia di protezione dei dati personali nelle
imprese e negli enti e individuato in funzione delle qualità
professionali e della conoscenza specialistica della normativa e
della prassi in materia di protezione dati.*
È una figura introdotta dal GDPR. I suoi compiti sono definiti
dall’art. 39 GDPR. Solo le aziende di certe dimensioni e con
alcune caratteristiche sono obbligate a nominare un DPO;
mentre per gli enti pubblici è obbligatorio (art. 37, par.1).
la figura del Data Protection Officer (DPO)
- in italiano Responsabile Protezione Dati (RPD) -
* definizione tratta da www.agendadigitale.eu/cittadinanza-digitale/gdpr-tutto-cio-
che-ce-da-sapere-per-essere-preparati/ [link]

a) l'interessato ha espresso il consenso al trattamento dei propri
dati personali per una o più specifiche finalità;
b) il trattamento è necessario all'esecuzione di un contratto di cui
l'interessato è parte o all'esecuzione di misure precontrattuali
adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al
quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi
vitali dell'interessato o di un'altra persona fisica; [continua]
le sei “basi giuridiche” del trattamento
Art. 6 GDPR

e) il trattamento è necessario per l'esecuzione di un compito di
interesse pubblico o connesso all'esercizio di pubblici poteri di cui
è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo
interesse del titolare del trattamento o di terzi, a condizione che
non prevalgano gli interessi o i diritti e le libertà fondamentali
dell'interessato che richiedono la protezione dei dati personali, in
particolare se l'interessato è un minore.
[non si applica al trattamento di dati effettuato dalle autorità
pubbliche nell'esecuzione dei loro compiti]
le sei “basi giuridiche” del trattamento
Art. 6 GDPR

parte 3
I cosiddetti diritti d’immagine

Anche l'immagine di una persona fisica è un dato personale.
Ne consegue che quando diffondiamo immagini in cui
ci sono persone riconoscibili dobbiamo tenere presenti sia le
norme relative al copyright (“diritto connesso delle persone
ritratte” → artt. 96-97 L. 633/1941) sia le norme sulla privacy, a
cui in alcuni casi si sovrappongono anche le norme in materia di
diritto dell'informazione e deontologia giornalistica
(es. Carta di Treviso per i minori).
il diritto di immagine:
l'ideale punto di contatto tra privacy e copyright

il diritto di immagine:
l'ideale punto di contatto tra privacy e copyright
privacy copyright
art. 96 e 97 L. 633/1941

Secondo l’art. 96 L. 633/1941, il soggetto ritratto in una fotografia o in
un video (o anche in un quadro) ha il diritto di autorizzare l'esposizione,
la riproduzione o la commercializzazione della sua immagine (vedi
esempio di fotomodelle e testimonial). → DIRITTO CONNESSO
Secondo la sentenza Cass. 17440/2015, l’immagine di una persona
costituisce dato personale […], trattandosi di dato immediatamente
idoneo a identificare una persona a prescindere dalla sua notorietà,
sicché l’installazione di un impianto di videosorveglianza all’interno di un
esercizio commerciale, allo scopo di controllare l’accesso degli avventori,
costituisce trattamento di dati personali e deve formare oggetto
dell’informativa […] rivolta ai soggetti che facciano ingresso nel locale.
L’immagine di una persona:
tra diritto connesso e dato personale
per approfondire → articolo: L’immagine di una persona come dato personale

Se la fotografia ritrae una persona riconoscibile, bisogna
considerare anche il cosiddetto “diritto d'immagine”.
Tuttavia, secondo l'art. 97 della legge 633/1941...
Non occorre il consenso della persona ritrattata quando la riproduzione
dell'immagine è giustificata dalla notorietà o dall'ufficio pubblico
coperto, da necessità di giustizia o di polizia, da scopi scientifici,
didattici o colturali, o quando la riproduzione è collegata a fatti,
avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico.
Il ritratto non può tuttavia essere esposto o messo in commercio,
quando l'esposizione o messa in commercio rechi pregiudizio all'onore,
alla reputazione od anche al decoro della persona ritrattata.
I diritti delle persone ritratte nella fotografie

Una liberatoria è un documento
con cui il titolare del diritto d'immagine
esprime il consenso alla diffusione della fotografia
o del video in cui egli è ritratto (e riconoscibile).
Meglio se in forma scritta e provvista di chiari
riferimenti ai diritti concessi e agli utilizzi previsti.
La cosiddetta “liberatoria”

parte 4
La privacy a scuola (in generale)

La scuola a prova di privacy: vademecum del Garante
vedi intero documento
sul sito del Garante
www.garanteprivacy.it/web/guest/hom
e/docweb/-/docweb-display/docweb/5
602002

La scuola
a prova
di privacy:
vademecum
del Garante

alcuni video del Garante Privacy per approfondire
• App-rova di privacy. I suggerimenti del Garante privacy
per un uso consapevole delle app →guarda su YouTube
• Social network: quando ti connetti, connetti anche la testa!
→guarda su YouTube
• Fatti smart! Tutela la tua privacy su smartphone e tablet
→guarda su YouTube
• Spam. I consigli del Garante per difendersi →guarda su YouTube
• Cookie e privacy: istruzioni per l'uso →guarda su YouTube

parte 5
La privacy nella didattica online

marzo 2020: lo tsunami della pandemia
●
26 marzo: Provvedimento
"Didattica a distanza: prime
indicazioni" [link] [versione sintetica]
●
30 marzo: nota istituzionale in tema
di didattica a distanza al Ministro
Istruzione, al Ministro Università e
ricerca, al Ministro pari opportunità
e famiglia [link]
●
aprile: FAQ - Trattamento dati nel
contesto scolastico nell’ambito
dell’emergenza sanitaria [link]
INTERVENTI DEL
GARANTE PRIVACY

base giuridica del trattamento
Le scuole e le università sono autorizzate a trattare i dati,
anche relativi a categorie particolari, di insegnanti, alunni
(anche minorenni), genitori e studenti, funzionali all’attività
didattica e formativa in ambito scolastico, professionale,
superiore o universitario.
→ GDPR art. 6, par.1, lett. e: il trattamento è necessario per
l'esecuzione di un compito di interesse pubblico o connesso
all'esercizio di pubblici poteri di cui è investito il titolare
del trattamento

non serve il consenso
di alunni, genitori e insegnanti
Gli istituti scolastici possono trattare i dati, anche relativi a categorie
particolari di insegnanti, alunni (anche minorenni), e genitori
nell’ambito delle proprie finalità istituzionali e non devono
chiedere agli interessati di prestare il consenso al trattamento dei
propri dati, neanche in relazione alla didattica a distanza.
Peraltro, il consenso di regola non costituisce una base giuridica
idonea per il trattamento dei dati in ambito pubblico e nel contesto
del rapporto di lavoro.

scelta e regolamentazione degli strumenti di DAD
Nella scelta e nella regolamentazione degli strumenti più utili per la
realizzazione della didattica a distanza scuole e università dovranno
orientarsi verso strumenti che abbiano fin dalla progettazione e per
impostazioni predefinite misure a protezione dei dati.
→ [cosiddetti principi “privacy by design” e “privacy by default”]
Non è necessaria la valutazione di impatto, prevista dal GDPR per i
casi di rischi elevati, se il trattamento dei dati effettuato dalle
istituzioni scolastiche e universitarie, per quanto relativo a minorenni
e a lavoratori, non presenta ulteriori caratteristiche suscettibili di
aggravarne i rischi.

ruolo dei fornitori di servizi on line e piattaforme
Se la piattaforma prescelta comporta il trattamento di dati personali
di studenti, alunni o dei rispettivi genitori per conto della scuola o
dell’università, il rapporto con il fornitore dovrà essere regolato con
contratto o altro atto giuridico. È il caso, ad esempio, del registro
elettronico, il cui fornitore tratta i dati per conto della scuola.
Nel caso, invece, in cui si ritenga necessario ricorrere a piattaforme
più complesse che eroghino servizi più complessi anche non rivolti
esclusivamente alla didattica, si dovranno attivare i soli servizi
strettamente necessari alla formazione, configurandoli in modo
da minimizzare i dati personali da trattare (evitando, ad esempio,
geolocalizzazione e social login).
Le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati
trattati per loro conto siano utilizzati solo per la didattica digitale integrata.

ruolo dei fornitori di servizi on line e piattaforme
È peraltro inammissibile il condizionamento, da parte dei gestori
delle piattaforme, della fruizione dei servizi di didattica a distanza
alla sottoscrizione di un contratto o alla prestazione – da parte
dello studente o dei genitori – del consenso al trattamento dei dati
connesso alla fornitura di ulteriori servizi on line, non necessari
all’attività didattica. Il consenso non sarebbe, infatti, validamente
prestato perché, appunto, indebitamente condizionato al
perseguimento di finalità ultronee rispetto a quelle proprie della
didattica digitale integrata.

quali piattaforme
per la DDI?
Questa primavera il Ministero Istruzione
ha siglato dei protocolli di intesa con
queste tre piattaforme.
All’epoca era in vigore il cosiddetto
“Privacy shield”, un accordo UE-USA
sulla gestione dei dati personali, che
però è stato dichiarato illegittimo dalla
Corte di Giustizia UE lo scorso 16 luglio
(c.d. sentenza Shrems II). In attesa di un
nuovo accordo, quindi, le piattaforme
che non rispettano pienamente le regole
del GDPR non andrebbero utilizzate.
Approfondimenti:
●
lettera di Privacy Network al ministero
●
articolo di Agendadigitale.eu

registro elettronico: le raccomandazioni del Garante
[lettera al Ministro dell’Istruzione del 4 maggio 2020 – link]
L'inclusione, nel registro, di un novero assai rilevante – in termini
quantitativi e qualitativi – di dati personali, anche di minorenni, esige
l'adozione di tutte le cautele idonee a evitare o, quantomeno, minimizzare,
i rischi di esfiltrazione, trattamento illecito, alterazione dei dati stessi.
A tal fine, sarebbe anzitutto necessario provvedere al perfezionamento
della disciplina di settore, adottando segnatamente il "Piano per la
dematerializzazione delle procedure amministrative in materia di istruzione,
università e ricerca e dei rapporti con le comunità dei docenti, del
personale, studenti e famiglie", che avrebbe dovuto essere predisposto
entro sessanta giorni dalla data di entrata in vigore della Legge 135/2012,
alla quale si deve l'introduzione di tali forme innovative di rendicontazione
dell'attività didattica e di comunicazione tra scuole e famiglie. [continua]

registro elettronico: le raccomandazioni del Garante
[lettera al Ministro dell’Istruzione del 4 maggio 2020 – link]
In assenza di direttive specifiche, gli istituti scolastici hanno sinora provveduto
ricorrendo a soluzioni tecnologiche, offerte da vari fornitori, non sempre
caratterizzate da garanzie adeguate in termini di protezione dei dati
personali e talora notevolmente vulnerabili.
La crescente rilevanza assunta dagli strumenti volti a consentire lo
svolgimento dell'attività didattica a distanza impone, tuttavia, di riservare
maggiore attenzione alle questioni inerenti la sicurezza e la protezione dei dati
personali affidati a tali piattaforme.
In questo senso, il registro elettronico – fornito da soggetti già designati
responsabili del trattamento – potrebbe rappresentare lo strumento elettivo
mediante cui realizzare (almeno) una parte significativa dell'attività didattica,
riducendo proporzionalmente il ricorso a piattaforme altre, che oltretutto non
sempre si limitano all'erogazione di servizi funzionali all'attività formativa.

di Simone Aliprandi
orsù seguitemi
• Twitter: @simonealiprandi
https://twitter.com/simonealiprandi
• Pagina Facebook:
www.facebook.com/simone.aliprandi.page/
• Profilo LinkedIn:
https://it.linkedin.com/in/aliprandi/

grazie per l'attenzione
slides rilasciate sotto licenza
Creative Commons Attribution – Share Alike 4.0

La gestione della privacy nella didattica online (San Giovanni Teatino, gennaio 2021)

La gestione della privacy nella didattica online (San Giovanni Teatino, gennaio 2021)

Recommended

More Related Content

What's hot

What's hot(20)

Similar to La gestione della privacy nella didattica online (San Giovanni Teatino, gennaio 2021)

Similar to La gestione della privacy nella didattica online (San Giovanni Teatino, gennaio 2021)(20)

More from Simone Aliprandi

More from Simone Aliprandi(20)

Recently uploaded

Recently uploaded(8)

La gestione della privacy nella didattica online (San Giovanni Teatino, gennaio 2021)