L’istituzione scolastica può creare un account per la registrazione dello studente o del docente alle piattaforme per la didattica digitale integrata. L’importante è che vengano attivati i soli servizi necessari per lo svolgimento dell’attività didattica.
Il chiarimento è contenuto in una FAQ del MI, aggiornata al 1° dicembre 2020, elaborata in accordo con il Garante per la protezione dei dati personali.
In particolare, il Ministero spiega che quando la creazione di un account personale è necessaria per l’utilizzo di piattaforme per la DDI, il trattamento dei dati personali, riconducibile alle funzioni istituzionalmente assegnate all’istituzione scolastica, è ammesso purché vengano attivati, per impostazione predefinita, i soli servizi strettamente necessari allo svolgimento dell’attività didattica e non deve essere richiesto il consenso dell’utente (studente, genitore o docente) o la sottoscrizione di un contratto. Non è comunque ammessa l’attivazione automatica di servizi o funzionalità ulteriori, non necessari a fini didattici (es. geolocalizzazione o sistemi di social login).
Il Ministero precisa inoltre che, nella configurazione degli account associati a studenti e/o docenti, occorre adottare adeguate procedure di identificazione e di autenticazione informatica degli utenti, utilizzare robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione (es. evitando la pre-impostazione di password facilmente conoscibili), definire password policy adeguate e differenziate in funzione degli specifici rischi del trattamento e attribuire di profili di autorizzazione che assicurino l’accesso selettivo ai dati.
E’ compito della scuola effettuare anche campagne di sensibilizzazione rivolte a studenti e loro familiari e fornire istruzioni a docenti, e altro personale, sulle corrette modalità di fruizione dei predetti servizi nel rispetto dei diritti altrui.