Il mondo della scuola in questi giorni sta vivendo una profonda crisi strutturale ed esistenziale. È bastata una pandemia a mandare in crash tutto il sistema. Il corso della storia dell’umanità è destinato a mutare nelle abitudini di vita di ciascuno di noi ed anche la scuola diventerà protagonista di questo rivoluzionario cambiamento. Si spera !
Ai docenti i, al personale scolastico in generale, il gravoso compito di assicurare o meglio garantire la continuità didattica minata da un vero e proprio terremoto pandemico, con un nuovo istituto mai prima attuato in modo primario : la “Didattica online”.
Essa, senza dubbio. appare affascinante e così avvincente per le nuove generazioni , ma resta sperimentale per le implicazioni, gli oneri ed i rischi ad essa correlati, ove si consideri che mai tanto era stato attuato sino ad ora in modalità così massiccia e tantomeno, di tale evenienza se ne è mai fatta menzione nei contratti collettivi del comparto scuola o risulta essere stata debitamente normata.
A partire dal 25 maggio 2018 , ove lo si fosse dimenticato, è direttamente applicabile a tutti gli Stati membri il Regolamento UE 2016/679, noto come GDPR (General data protection regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Il GDPR nasce da precise esigenze , come indicato dalla stessa Commissione dell’UE, di certezza giuridica, armonizzazione e maggiore semplificazione delle norme riguardanti il trasferimento di dati personali dall’ UE verso altre parti del mondo. Una risposta , necessaria ed urgente , alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica , tenuto conto delle esigenze di debita tutela dei dati personali, sempre più avvertite dai cittadini UE .
A preoccupare molto in questi giorni sono, però, le disposizioni di ratio sostanzialmente opposte a quelle proposte con la “Didattica online” , attesa la citata normativa sulla privacy che ha definito dei vincoli ben precisi , soprattutto nell’utilizzo delle nuove tecnologie informatiche applicate al funzionamento della Pubblica Amministrazione.
Il rischio si intravede proprio nella conclamata discrasia tra il Regolamento(c.d. GDPR) e le circolari o decreti adottati per l’ evento pandemico , che hanno creato non poca confusione e forti perplessità , se non proprio una sintomatica avversione a questa nuova forma di didattica che nulla ha in comune con la lezione frontale in classe , da sempre effettuata a SCUOLA dal personale docente e dagli alunni .
La novità più rilevante sta ,tuttavia,nella diversità di approccio con cui ci si deve rapportare ai dati trattati e che nella didattica online trova rilevanti problematiche che non possono essere sottaciute dagli organi ministeriali e dirigenziali così impegnati in questi giorni ad emettere circolari che non contemplano la tutela dei dati personali di ogni singolo soggetto interessato (docenti, alunni, genitori), soprattutto se si tratta di minori sottoposti alla potestà genitoriale e con scarsa capacità di autodeterminazione.
La protezione dei dati personali diventa , dunque, il fulcro intorno al quale dovrebbe ruotare anche la didattica online solo attraverso le regole imposte dal GDPR.
Difatti, appare opportuno richiamare il disposto del CONSIDERANDO N. 1 a mente del quale “La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale»
Diritto inviolabile, quindi, che non può e non deve trovare giustificazione o scriminante alcuna neanche se tale violazione è dettata da una situazione emergenziale.
Da qui nasce la necessità di una più profonda tutela dei dati,poiché l’esposizione continua ( basti pensare alla rete internet )può determinare conseguenze non sempre positive per il soggetto e che assumono carattere di pericolosità,soprattutto se ad essere coinvolti sono soggetti minorenni
La disposizione di cui al CONSIDERANDO N.6 avverte che la rapidità dell’evoluzione tecnologica e la globalizzazione hanno comportato nuove ed ingenti sfide per la protezione dei dati personali che vengono condivisi e raccolti con un aumento molto significativo.
La moderna tecnologia informatica, infatti, consente ora sia alle imprese che alle P.A. l’utilizzo di dati personali , come mai avvenuto in precedenza, nello svolgimento delle loro attività.
Tali novità sono destinate ad incidere sull’organizzazione interna degli Istituti scolastici, ma assumono il carattere anche di vera e propria rivoluzione culturale.
Le pubbliche amministrazioni, oggi, lavorano ormai in una dimensione in cui l’azione amministrativa, come le informazioni o i dati trattati, sono caratterizzati da una gestione addirittura digitale in ogni suo passaggio. Ciò significa che lo stesso documento amministrativo nasce come originale informatico,sottoscritto digitalmente, trasmesso telematicamente e, infine, conservato digitalmente. Tale approdo ha comportato la necessità di porre in essere degli adattamenti per far fronte ai nuovi rischi, senza tralasciare quelli esistenti anche nella dimensione cartacea.
Per tale motivo il tema della sicurezza informatica riveste un’importanza fondamentale e strategica. Ciò è ancor più evidente se si considera il costante aumento delle violazioni (più o meno rilevanti) ai sistemi informatici o le numerose perdite di dati e di informazioni dovute a comportamenti negligenti o imprudenti dei dipendenti pubblici o, ancora, a malfunzionamenti dei sistemi informatici o telematici.
Anche le scuole sono chiamate ad adeguarsi al GDPR e al D. Lgs. 10 agosto 2018, n. 101, entrato in vigore lo scorso 19 settembre ed intervenuto ad incidere sul Codice privacy. La necessità è quella di rivedere l’organizzazione delle attività, non semplicemente in termini formali – attraverso un adeguamento documentale – quanto, piuttosto, a realizzare una rivoluzione culturale all’interno di molte prassi e ciò in quanto il trattamento dei dati personali in ambito scolastico implica una serie di problematiche su più livelli: da quelle relative alla struttura tecnologica e alle modalità operative interne, a quelle legate alla sicurezza e alla consapevolezza nell’utilizzo degli strumenti a disposizione delle organizzazioni.
Pertanto, non va dimenticato che nell’ambito scolastico, più che in altri contesti, è proprio l’origine del dato personale a portare con sé rischi elevati, in quanto, quasi sempre, riguarda alunni minorenni.
Tutti questi fattori implicano il rischio di data breach ogni qualvolta un Istituto scolastico pone in essere delle attività (come nel caso della didattica online) dove è ancor più evidente l’esigenza di tutela della privacy e della sicurezza informatica quale etica organizzativa.
Alla luce di tanto, appare improponibile nella c.d. Didattica online l’utilizzo del proprio smartphone o device personale da parte del personale docente, anche per comunicazioni inerenti aspetti scolastici, magari sollecitati da uno o più genitori, come nell’ipotesi di richiesta di invio di informazioni personali dei loro figli, proprio come sta avvenendo in questi giorni ove i dati personali ed informazioni circolano in netta abbondanza e più di prima in rete.
L’utilizzo, infatti, da parte dei dipendenti di mezzi informatici propri per carente funzionalità dei mezzi istituzionali espone inevitabilmente i dati personali ad innumerevoli rischi, quali potenziali divulgazioni o sottrazioni di dati in caso di errore umano o in caso di truffe informatiche.
Ora in tale situazione, pericolosamente, si va ad incardinare proprio la nuova didattica online per la importante mole di dati che vengono posti alla mercé della rete internet senza alcuna sicurezza sul trattamento degli stessi, se non altro, in quanto molte attività vengono svolte attraverso sistemi informatici che conservano, quindi, dati personali, ivi compresi quelli particolari dei docenti e degli alunni. Tali sistemi tendono quasi sempre a carpire, durante la navigazione in internet degli stessi ,una notevole mole di dati relativi ai loro interessi commerciali direttamente dal device personale, attraverso i file cookie di accesso a siti web ed ai collegamenti effettuati per le lezioni online nelle classi virtuali.
Per non parlare delle video lezioni, compiti contenenti dati personali che vanno a finire su server esteri e dei cui dati non v’è alcuna garanzia di adeguata e sicura conservazione. Ed anzi, l’utilizzo di piattaforme (tra le tante GSUITE )attivate in questi giorni dalle scuole richiede nel contratto di attivazione l’accettazione di tutta una serie di accessi (rubrica, contatti, geolocalizzazione, webcam, telefono ecc.) che mai la scuola può assumersi la responsabilità di accordare all’atto dell’attivazione in nome e per conto propri dipendenti o alunni.
L’autorizzazione al trattamento dei dati personali, infatti, non può che essere fornito direttamente dall’interessato ed è quindi impossibile attivare indirizzi email in nome e per conto di docenti ed alunni (come avvenuto in occasione della didattica online) senza incorrere nel reato di falsa identità previsto e punito espressamente dall’art. 494 del c.p. e nel delitto di abuso d’ufficio di cui all’art. 323 c.p.
L’esercizio di una attività potestativa, nel caso di specie, assolutamente non esistente nella gestione del personale scolastico regolato da contratti di lavoro di natura privatistica come previsto dal D.lgs 165/01.
Datore di lavoro e dipendente pubblico soggiacciono sullo stesso piano: come è possibile, dunque imporre ai professori la didattica online come obbligo di servizio?
Alla stessa stregua dicasi dell’utilizzo imposto da qualche sapiente Dirigente in questi giorni , del registro elettronico, che non può trovare giustificazione alcuna sul piano giuridico poiché non utilizzato per registrare presenze o assenze, voti ed argomenti delle spiegazioni , presenza del docente in classe, attesa la sospensione effettiva delle lezioni scolastiche in presenza. Utilizzo che potrebbe far addirittura configurare il delitto di falso ideologico in atto pubblico di cui all’art. 479 c.p. o falso in documenti informatici di cui all’art. 491 bis del c.p.
Non si può poi attivare un account di indirizzo e-mail o una piattaforma didattica online senza aver acquisito preventivamente le autorizzazioni necessarie al trattamento dei dati e la disponibilità all’uso che non può che essere volontaria del singolo soggetto interessato.
I dispositivi o device personali che entrano con un account GSUITE attivato da una istituzione scolastica vengono considerati aziendali , cioè della scuola, con la possibilità di cancellarne dati ed impostazioni deI device con la conseguente perdita o smarrimento di dati. Infatti, il problema sta in tutte le altre azioni che è possibile compiere grazie alla gestione dei dispositivi come l’accesso ai dati dello smartphone o tablet o pc ed il loro blocco. Tutto ciò è una indebita gestione, da parte della scuola, di un dispositivo personale dei propri dipendenti e può configurarsi come reato di accesso abusivo a sistema informatico o telematico di cui all’art. 615 ter c.p.
Si pensi, inoltre, all’inserimento online dell’elenco degli alunni divisi per classi.
Tale pubblicazione, se avviene senza l’espresso consenso dei genitori, può integrare una divulgazione non autorizzata, oltre che comportare un’esposizione dei nomi degli alunni all’indicizzazione sui motori di ricerca. Ciò significa che in caso qualcuno volesse, per un qualsiasi motivo illecito come finalità di adescamento minorile, cercare quel minore, che magari ha un nome poco comune, lo potrebbe trovare semplicemente scrivendo il suo nome e cognome su internet e da qui finanche scoprire dove abita.
Non può essere sottaciuta, peraltro, l’impossibilità di effettuare collegi e consigli di classe o qualsivoglia riunione di organi collegiali scolastici online , attesa la non espressa previsione di legge e la impossibilità dell’effettivo controllo sul numero legale e la effettiva partecipazione alla riunione: si può essere connessi, ma magari allontanarsi dalla postazione per far altro!
Che validità giuridica può avere una delibera collegiale assunta in tal guisa se non risolversi in un monologo del tutto irregolare del dirigente scolastico?
Per non parlare poi, dell’impossibilità di esprimere valutazioni, giudizi, e parlare di comportamenti di alunni e tutto quanto deve restare riservato in tali riunioni online.
Alla luce di quanto sopra, anche il MIUR dovrebbe porre in modo effettivo l’attenzione su come con l’avvento del GDPR si assista a un netto cambio di prospettiva, che comprende anche la necessaria presa di coscienza della inutilità della predisposizione di una didattica online fatta senza mezzi idonei, basata sul volontariato o volontarismo, nell’ottica di un effettivo cambiamento e sperimentazione tecnologica operata nel pieno rispetto della dignità umana ossia dei dati personali di ognuno e della libertà d’insegnamento di ciascun docente.