GDPR e nuovi ambienti di apprendimento innovativi
La scuola nella datafied society
«Non si può fare tutto quello che si può fare» ha detto Rita Levi Montalcini. Significa che tecnicamente oggi possiamo davvero fare tante cose, forse troppe, ma non tutte sono moralmente ed eticamente corrette, soprattutto quando i dati personali sono di minori, «in quanto possono essere meno consapevoli dei rischi e delle conseguenze dell’uso dei dati, nonché loro diritti in relazione al trattamento dei dati personali» (Considerando 38 del GDPR).
Questo articolo esplora le implicazioni etiche e legali dell’uso delle tecnologie digitali in ambito scolastico. Si analizza in che modo l’uso delle piattaforme digitali e cloud, in particolare, mettano le studentesse e gli studenti minorenni a rischio di un trattamento automatizzato dei dati personali non necessario e potenzialmente dannoso.
Il GDPR tutela i dati personali nel mondo ormai digitalizzato in quanto diritto essenziale degli individui. L’uso sempre crescente delle piattaforme cloud[1] rischia di creare una tensione tra la protezione offerta dalla norma e la realtà di un ambiente di apprendimento ormai perennemente connesso.
Da un lato, c’è il dirigente scolastico con le sue enormi responsabilità in quanto titolare dei dati, dall’altro un corpo docente spesso non correttamente formato e studenti che andrebbero acquisire maggiore consapevolezza e competenze digitali per poter essi stessi esercitare i propri diritti e diventare agenti attivi dei propri dati personali.
La prima parte di questo articolo descrive il contesto scolastico e lo stato attuale del processo di transizione digitale che le scuole stanno attraversando, con le implicazioni insite nel trattamento dei dati quando entrano in gioco le piattaforme digitali di apprendimento e le piattaforme cloud. La seconda parte tratta, nello specifico, dei risvolti etico-morali, oltre che giuridici, legati dalla tensione tra il diritto a un’istruzione innovativa e i rischi derivanti dal trattamento dei dati alla luce del GPDR[2]. Il tema non verrà quindi trattato dal punto di vista tecnico, ma soprattutto dal punto di vista umanistico-culturale e parte dalla riflessione sulla frase di Rita Levi Montalcini:
«Non si può fare tutto quello che si può fare»
GDPR e scuola
A partire dal 25 maggio 2018, anno in cui è stato recepito il Regolamento 2016/679, le scuole hanno dovuto far fronte alle difficoltà operative sorte in seguito all’adozione delle nuove disposizioni. Col D.Lgs. 10 agosto 2018, n. 101, rubricato «Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)», alla scuola è stata imposta una rivoluzione culturale all’interno di molte prassi. Il GDPR, infatti, mutava profondamente il quadro normativo italiano connesso alle nuove tecnologie, introducendo misure atte a fronteggiare in maniera adeguata le nuove sfide della società digitale.
Questo ha in qualche modo gettato nel panico le scuole, non solo per l’enorme mole di dati che doveva essere messa in sicurezza, ma soprattutto perché le informazioni riguardavano, nella maggioranza dei casi, i minori: «I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. […]» (Considerando 38 del GDPR).
Solo tre giorni prima l’entrata in vigore del Regolamento in Italia, il MIUR emanava le prime indicazioni operative, fornendo uno standard di registro per il trattamento dei dati (Nota Ministeriale 563 del 22 maggio 2018). I dirigenti scolastici nominavano il proprio D.P.O. e si assicuravano che tutta la documentazione fosse in regola: organigramma privacy, lettere di incarico e istruzioni al trattamento per il personale, revisione nomine e controllo dei responsabili del trattamento, Informative privacy, Registro delle attività di trattamento, etc. Ma la verità è stata subito chiara a tutti: l’entrata in vigore del Regolamento ha creato dubbi e perplessità e ha messo le scuole in crisi di fronte alle sfide lanciate dall’accountability menzionata nello stesso GDPR, soprattutto quando, nel 2020, lo stato di emergenza dovuto alla diffusione pandemica del virus Sars-Cov2 ha catapultato la scuola italiana in un mondo digitalizzato al quale si stava preparando da più di trent’anni, ma per il quale non era ancora veramente pronta.
La pandemia
L’esperienza vissuta a partire da marzo 2020 ha portato alla luce l’arretratezza e il senso di inadeguatezza del mondo scolastico italiano rispetto alla digital transformation, non solo per quanto riguarda grosse difficoltà organizzative della DAD prima e della DDI poi[3], ma soprattutto per le novità che la disciplina comunitaria imponeva col GDPR rispetto al CAD (D.Lgs. 82/2005 e ss.mm.ii). Non stupisce l’inasprimento della tradizionale dialettica tra tecnofili e tecnofobi: da un lato la DAD veniva osannata al grido dell’hashtag #lascuolanonsiferma[4], dall’altro veniva accusata in quanto inefficace e inconcludente per la crescita degli apprendimenti degli studenti, per non parlare di chi la considerava «il più grande data breach della storia»[5].
Il mondo della scuola ha sempre viaggiato a una velocità innovativa di gran lunga inferiore a quella della società, che si trova invece vorticosamente proiettata verso il futuro da un avanzamento tecnologico sempre più pervasivo. La scuola si è resa protagonista di una sperimentazione eterna che, a ogni tentativo di innovazione tecnologica e di diffusione della cultura digitale, ha alimentato polemiche, contrapposizioni e lunghe discussioni che hanno inciso negativamente sulla tempistica e sui modi della sua introduzione nelle scuole[6]. Con la DAD abbiamo quindi assistito a una forte discrasia che si è sviluppata su due livelli:
- didattica innovativa vs didattica tradizionale: una didattica digitale “di emergenza” poco interattiva che si è limitata a trasformare in chiave digitale le attività didattiche originariamente pensate per essere svolte in presenza (si pensi alle video-lezioni in streaming di tipo frontale con cui gli insegnanti hanno continuato a fare lezione a distanza);
- diritto all’istruzione vs tutela dei dti personali: i decreti ministeriali emanati con la pandemia, sin dal DPCM dell’8 marzo 2020, contestualmente alla sospensione della didattica in presenza (art. 2, c. 1, lett. h), prevedeva l’attivazione della modalità della didattica a distanza (art. 2, c. 1, lett. m) per garantire il diritto all’istruzione (art. 34 Cost.), ma i dirigenti, i docenti, le famiglie e gli alunni erano consapevoli dei rischi derivanti dall’uso degli strumenti telematici e delle piattaforme digitali (Thiene, 2017; Zanovello, 2021)[7]?
Il GDPR era entrato in vigore il 25 maggio 2018 e le scuole stavano ancora facendo fatica ad adeguare la propria gestione dei dati a norma del GDPR, ma la didattica a distanza andava attivata perché bisognava garantire il diritto all’istruzione. I docenti hanno iniziato a fare lezione sincrone con strumenti di videochiamata come Skype, Meet o Zoom, senza chiedersi inizialmente se fossero sicuri dal punto di vista della sicurezza e delle modalità di trattamento dei dati; le scuole hanno attivato piattaforme come Microsoft 365 e G-Suite (oggi ribrandizzato in Google Workspace) senza chiedersi se i dati inseriti finivano sul server della scuola o in un cloud e, soprattutto, in quale parte del mondo risiedesse quest’ultimo.
Strumenti destinati a trattare e conservare on line dati delicatissimi da parte di persone (insegnanti e familiari) con competenze tecnologiche mediamente scarse, se non nulle in molti casi e quindi inconsapevoli della necessità di usare strumenti compliant con il GDPR e rendendo quindi ardua la tutela giuridica dei minori.
Eppure il principio fondante del regolamento europeo è proprio la forte responsabilizzazione assegnata alla pubblica amministrazione: con il GDPR la protezione dei dati diventa un asset strategico che va valutato già dal momento della progettazione di qualsiasi nuovo sevizio o procedura secondo il principio di data protection by design e data protection by default.
L’introduzione dell’obbligo di un registro delle attività di trattamento e della nuova figura del Data Protection Officer (DPO) responsabile della protezione dei dati personali non è bastato visto che nelle scuole si sono prese decisioni emergenziali dall’oggi al domani e la privacy in quel periodo era un diritto fluido oggetto di compromessi in vari campi del sociale. Ecco quanto aveva scritto il Garante all’interno delle linee guida nel provvedimento del 26 marzo 2020: «qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non dover designare ulteriori responsabili del trattamento – utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato»[8]. Significa che il gestore della piattaforma non doveva essere nominato ai sensi dell’art 28 del GDPR perché tanto il servizio era rivolto direttamente agli utenti. Utenti minorenni, aggiungo.
L’art. 28 del GDPR garantisce che il titolare del trattamento, in questo caso l’Istituzione scolastica, ricorra «unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato», ma se si bypassa la norma, allora basta davvero che le istituzioni scolastiche prestino attenzione nella scelta degli strumenti e servizi on line accessibili al pubblico e da fornire direttamente agli utenti, come suggerito dalle Linee Guida del garante? Basta che facciano la massima attenzione affinché questi servizi offerti direttamente al minore limitino il trattamento dei loro dati a quello strettamente necessario alla didattica, nel rispetto della riservatezza e della dignità degli interessati minorenni? Perché il web è affollato di piattaforme digitali, piattaforme di e-learning e servizi che consentono di effettuare didattica a distanza, consentono la configurazione di classi virtuali, lo svolgimento di videolezioni sincrone, la pubblicazione di materiali didattici, l’assegnazione di compiti, la valutazione degli apprendimenti e la comunicazione immediata tra docenti, studenti e famiglie, ma non tutti offrono le garanzie necessarie. C’è di più. La maggior parte di queste piattaforme mettono sul mercato servizi aggiuntivi che non sempre sono rivolti specificatamente alla didattica (ad esempio geolocalizzazione, social login, etc.).
La didattica digitale integrata, così come era pensata, presupponeva un processo intenzionale di ripensamento che andava oltre l’improvvisazione della didattica a distanza di emergenza, sia relativamente alla progettazione dei contenuti e alla scelta degli strumenti tecnologici più adeguati, sia relativamente alla protezione dei dati personali che da allora vengono condivisi e raccolti con un aumento senza precedenti[9].
La necessità di garantire il diritto allo studio, anche in un contesto di emergenza sanitaria come quella causata dalla pandemia da Covid-19, non può prescindere da una gestione corretta e prudente dei dati personali dei soggetti coinvolti, soprattutto se i soggetti sono minori coinvolti nell’attività didattica a distanza. Non si può inoltre ignorare il fatto che per garantire la massima consapevolezza nell’impiego degli strumenti tecnologici non si può prescindere da iniziative di sensibilizzazione rivolte a famiglie e ragazzi per guidarli contro rischi e abusi. Solo in tal modo le tecnologie digitali possono essere una risorsa preziosa per la promozione di diritti fondamentali come quello all’istruzione.
Così il considerando n. 6 del GDPR: «La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività.
Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che le riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali».
La campanga di MonitoraPA
Questo è proprio il punto cruciale della campagna promossa da MonitoraPA che da tempo ormai chiede alle pubbliche amministrazioni di interrompere l’uso delle piattaforme didattiche messe a disposizione delle scuole dai colossi Google e Microsoft, che prevedono il trasferimento extra UE di dati personali degli utenti delle istituzioni scolastiche. Gli attivisti di MonitoraPA fanno leva su quanto stabilito dalla cosiddetta sentenza Schrems II (sentenza del 16 luglio 2020 della Corte di giustizia dell’Unione europea), che ha abolito l’accordo internazionale tra Stati Uniti ed Unione Europea per uniformare la sicurezza del trattamento dati cosi come previsto dal GDPR (art. 45 del GDPR 679/2016).
Risulta ormai chiara l’arbitrarietà con cui gli attivisti di MonitoraPA interpretano la suddetta sentenza, ma sta di fatto che le loro email hanno sollevato un polverone nell’ambiente scuola, generando ansie e timori che sembravano ormai superati. La nota del MIM n. 706 del 20 marzo 2023 chiarisce alcuni aspetti tecnici e fornisce alle scuole alcune indicazioni in merito all’utilizzo delle piattaforme di Google e Microsoft, ma in pratica non chiarisce con certezza assoluta se le piattaforme didattiche dallo stesso Ministero suggerite in fase di pandemia siano oggi utilizzabili e conformi al GDPR o se la scuola farà l’ennesimo passo indietro dopo l’accelerazione esponenziale innescata dalla pandemia.
Basta un DPIA (documento relativo alla Valutazione di impatto sulla protezione dei dati) perché i dirigenti scolastici, titolari del trattamento dei dati, siano certi di trattare i dati personali delle studentesse e degli studenti in modo eticamente e moralmente responsabile? Non è un rischio remoto, visto che un buon numero di dirigenti scolastici hanno già dismesso le piattaforme cloud in uso dopo le prime minacce. Non è un rischio remoto vedere la scuola moderna 4.0 fare ancora una volta un passo indietro, nonostante i monitor touch in ogni aula, la fibra ottica ultraveloce, le classi e i laboratori smart progettati con il PNRR.
Una transizione digitale sicura
Il vero problema è che per poter davvero operare nelle scuole una transizione digitale sicura e promuovere lo sviluppo della tecnologia digitale nella scuola italiana garantendo il rispetto dei diritti dei minori, è necessaria un’azione davvero coraggiosa, cioè quella che il MIM stesso sviluppi dei software in-house a livello nazionale che gestisca la didattica a distanza senza dipendere dalle compagnie multinazionali con i loro prodotti già confezionati e che quindi garantisca il non trasferimento dei dati, al sicuro anche da qualsiasi rischio di cessione della proprietà a compagnie estere. L’idea c’era, «Una piattaforma unica, integrata con tutti i servizi e le funzionalità utili per le scuole, dagli strumenti per la didattica digitale, agli spazi dove archiviare contenuti»[10], ma purtroppo è rimasta solo un’idea.
Visto che l’emergenza ci ha imposto un’accelerazione alla transizione digitale, visto che il PNRR scuola ha ulteriormente dato una spinta, è oggi nostro dovere continuare a cogliere queste sfide e farne una leva per guardare a una scuola proiettata al futuro, con gli studenti consapevoli e capaci di «utilizzare le tecnologie dell’informazione e della comunicazione per trovare, valutare, creare e comunicare informazioni, richiedendo abilità sia cognitive che tecniche» (ALA, 2013)[11].
Risulta quindi evidente che, oggi, non si deve più parlare di digital divide, ma di digital use divide, cioè di quel gap che ancora fortemente esiste tra le studentesse e gli studenti che usano la tecnologia in maniera attiva e creativa a supporto del loro apprendimento e quelli che la usano principalmente per un consumo passivo di contenuti (video virali su TikTok, sbirciare profili Instagram di amici e personaggi famosi, etc.); tra le studentesse e gli studenti che sono consapevoli dei rischi connessi all’utilizzo della rete e delle app digitali, con particolare riguardo ai social media, e coloro che invece «hanno una percezione modesta del valore dei propri dati e della propria identità personale» (Manifesto di Pietrarsa, 2022)[12].
Si spiega perché il Garante Garante per la protezione dei dati personali è tornato a parlare di privacy dei minori in occasione dello State of Privacy ’22, al termine del quale è stato pubblicato il Manifesto da cui sono tratte le parole appena citate e che elenca i tre elementi fondamentali per garantire la protezione dei dati: trasparenza, consapevolezza ed educazione.
Concludendo, la promozione e diffusione di best practices negli Istituti scolastici per garantire la trasparenza nel trattamento dei dati e, ancora di più consapevolezza ed educazione che viene dall’alfabetizzazione digitale di tutti gli stakeholder della scuola (studenti, famiglie, docenti, personale amministrativo) circa il valore dei dati personali e le opportunità e le insidie della rete, che deve costituire una misura di protezione essenziale, forse la più importante tra tutte le cautele tecniche e organizzative.
[1] Con il Decreto del Ministro dell’Istruzione 26 giugno 2020, n. 39, si richiedeva alle scuole di dotarsi di un Piano scolastico per la Didattica Digitale Integrata (DDI) e venivano quindi emanate le Linee Guida per la Didattica Digitale Integrata, D.M. 89 del 7 agosto 2020. La DDI veniva qui intesa come didattica digitale da adottare in modalità complementare alla didattica in presenza (D.M.89/2020: 1).
[2] General Data Protection Regulation, GDPR, Regolamento UE n. 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
[3] Con didattica mista si fa riferimento alla modalità che prevedeva una parte della classe in presenza e una parte a distanza contemporaneamente. La didattica digitale integrata, così come era pensata, presupponeva un processo intenzionale di ripensamento dell’attività didattica che andava oltre l’improvvisazione della didattica a distanza di emergenza, sia relativamente alla progettazione dei contenuti, sia alla scelta degli strumenti tecnologici più adeguati.
[4] A. Migliozzi, La scuola non si ferma, La scuola Sei, Brescia 2021.
[5] B. Danzi, La didattica online: il più grande data breach della storia, in Diritto scolastico, 3 aprile2020, on line https://www.dirittoscolastico.it/la-didattica-online-il-piu-grande-data-breach-della-storia/ (ultimo accesso 5 giugno 2023).
[6] F. Alcamesi, Education 4.0. Verso un nuovo paradigma cognitivo, Etabeta, Lesmo 2023; C. Moricca, L’innovazione tecnologica nella scuola italiana. Per un’analisi critica e storica, in Form@re. Open Journal per la formazione in rete, I(16), 2016, pp. 177-187; A. Ciocca, Un nuovo umanesimo tecnologico per l’integrazione scolastica, in Tecnologie educative per l’integrazione: nuove prospettive per la partecipazione scolastica degli alunni con disabilità, a cura di P. Pardi-G. Simoneschi, Studi e documenti degli annali della pubblica istruzione127, Le Monnier, Firenze 2009, pp. 225-231; G. Chiappini-S. Manca, L’introduzione delle tecnologie nel contesto scolastico italiano, in Form@reOpen Journal per la Formazione in Rete, XLVI(6), 2006.
[7] F. Zanovello, Didattica a distanza: tra diritto all’istruzione e tutela della privacy, in Annali online della Didattica e della Formazione Docente, XIII(21), 2021, pp. 235-248. Vedi anche il sito del Ministero per la lunga serie di norme pubblicate per far fronte all’emergenza: https://www.istruzione.it/coronavirus/norme.html (ultimo accesso 24 giugno 2023).
[8] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9300784 (ultimo accesso 9 giugno 2023).
[9] M. De Donno, La privacy a scuola. Profili applicativi del GDPR per le amministrazioni scolastiche, in Minori e privacy. La tutela dei dati personali dei bambini e degli adolescenti alla luce del Regolamento (UE) 2016/679, a cura di A. Annoni-A. Thiene, Jovene, Napoli 2019, pp. 127-148.
[10] https://www.miur.gov.it/-/scuola-ministero-al-lavoro-su-piattaforma-digitale-unica-azzolina-acceleriamo-innovazione-costruiamo-la-scuola-del-futuro- (ultimo accesso 9 giugno 2023).
[11] “the ability to use information and communication technologies to find, evaluate, create, and communicate information, requiring both cognitive and technical skills”: American Library Association (2013) https://literacy.ala.org/digital-literacy/ (ultimo accesso 9 giugno 2023).
[12] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9808583 (ultimo accesso 24 giugno 2023).
