La Privacy tra i banchi di scuola

La privacy in ambito scolastico è un argomento davvero delicato, tutti ne sono a conoscenza e nessuno affronta realmente la questione nella maniera opportuna. Ma questo perché? La prudenza con cui si affronta la questione dipende dal fatto che i soggetti interessati sono minorenni, una categoria difficile da gestire e sensibilizzare alla materia.

I giovani sono fisiologicamente “ingenui” e ignari del pericolo a cui sottopongono loro stessi e i propri dati personali attraverso l’utilizzo di App di messaggistica e diversi servizi online che non tutelano a dovere il minore. Purtroppo però i ragazzi si preoccupano delle conseguenze quando ormai è tardi, quando ormai qualcosa è dovuto accadere, come i ragazzi di una scuola media di Roma indagati per l’utilizzo dell’app di BikiniOff.

Ed ecco perché vediamo sempre più scendere in campo il Garante Italiano in questioni inerenti l’età degli utilizzatori (si veda il caso di ChatGPT).

Proprio per questo la scuola, luogo in cui il giovane passa gran parte della sua giornata e quotidianità, ritengo debba essere un luogo sicuro, che provi con tutti i mezzi necessari, a preservare la privacy dei minori e sfruttando il principio della privacy by design per l’utilizzo delle nuove tecnologie.

Registro elettronico VS bacheca

Inizierei con il definire ciò che in primis permette la comunicazione della scuola con i genitori degli alunni: il Registro elettronico. Al riguardo, Il Garante Privacy ha di recente pubblicato un vademecum che lancia delle semplici e comprensibili linee guida in materia di registro e della sua gestione.

Scuola e Privacy

 

Rivediamo insieme i punti salienti in merito rispondendo alla domanda principale: quali dati siamo autorizzati a pubblicare sul registro?

Tutto ciò che è inerente alle votazioni di compiti in classe, piuttosto che agli esiti di scrutini, deve essere pubblicato nell’area riservata del registro dove i genitori e/o tutor accedono con le proprie credenziali personalizzate per poter visionare tali dati.

Qualora la scuola non fruisse di tale strumento elettronico, potrà ovviamente utilizzare la tradizionale bacheca per affiggere informazioni relative a comunicazioni, circolari e tutto ciò che è di ordine generale. Bisognerà prestare attenzione a non diffondere dati particolari, quindi dati attinenti le condizioni fisiche e di salute, nonché dati relativi agli alunni con disabilità che rientrano nella categoria di dati sopracitata.

Interconnessione scuola e famiglia

Abbiamo introdotto il concetto di registro per spiegare una delle modalità con cui avviene la comunicazione tra scuola e famiglia. Oltre a questo canale le scuole usufruiscono anche dei mezzi “tradizionali” per interfacciarsi con le famiglie.

Parliamo ad esempio della possibilità di pubblicare comunicazioni sul sito web scolastico (se esistente); in questo caso bisogna prevedere soltanto pubblicazioni di carattere generale e nulla che possa rimandare ad un alunno specifico.

Viene comunque utilizzata la casella di posta elettronica, l’invio della classica mail per comunicazioni più mirate al singolo interessato. In questo caso l’attenzione deve essere doppia… perché? Bisogna innanzitutto garantire la sicurezza informatica del mezzo interessato (preferire la PEC, sistemi in cloud con opportune garanzie, allegati scaricabili in un tempo predefinito, sistemi basati su FTP/SFTP), ma anche fare attenzione alla compilazione delle mail stesse… e in che modo? Controllando di aver inserito i giusti nominativi dei destinatari, poiché un errore quasi banale potrebbe comportare una grave violazione dei dati e quindi di Data Breach.

Le chat di classe

Un’altra modalità di condivisione che a noi, cultori della privacy, non esalta particolarmente, è l’utilizzo di svariate chat di messaggistica (WhatsApp, Telegram, ecc …).

Sicuramente è uno strumento comodo, facile e veloce che permette ai genitori di scambiare idee ed opinioni sul mondo scuola, ma non sempre questa facilità diventa sinonimo di sicurezza.

Oltre alla libertà con cui i genitori divulgano liberamente dati dei propri figli per confronti e paragoni, molto spesso vengono divulgate immagini e/o video che non sempre ritraggono o riprendono soltanto il proprio figlio, ma spesso coinvolgono, non volendo, anche tutti gli altri. Facciamo un esempio molto semplice per tracciare il flusso dell’informazione divulgata:

Immaginiamo di essere davanti alla scuola nel giorno di partenza per la gita scolastica. I genitori, nonni e zii sono entusiasti di vedere i loro piccoli alle prese con l’emozione dell’evento e decidono quindi di immortalare il tutto con una bella foto e perché no, fanno anche un video. I bambini/ragazzi finalmente partono e i parenti accingendosi alla loro quotidianità, ancora in agitazione per il giorno della gita, decidono di condividere nel gruppo scolastico di WhatsApp i contenuti appena elaborati…

Credo sappiate la conseguenza, ma la dettaglio qui di seguito: una volta condivise le immagini nella chat, tutte le persone appartenenti al gruppo hanno libero accesso al materiale e, di conseguenza, hanno la possibilità di condividere lo stesso su altri canali come Facebook, Instagram ecc. Parliamo di contenuti dove sono presenti altri minori oltre all’Interessato, che si ritrovano catapultati a loro insaputa sulla schermata-home di qualche Nonnino felice senza il loro specifico consenso.

Ovviamente esiste una grande differenza tra la diffusione di foto e video su un social network e l’invio in ambito familiare, dove ovviamente non parliamo di violazione privacy.

Ragazzi, facciamo una foto?

Abbiamo visto la divulgazione delle immagini sulle chat di classe, ma molto spesso dobbiamo affrontare e correggere la modalità di acquisizione alla base, all’interno della scuola.

Ricordo bene l’emozione di dover fare la foto di fine anno al liceo, che sarebbe approdata sul bramato Annuario, il quale attendavamo tutti con ansia. Quel libretto tanto desiderato aveva il magico scopo di fornire i nomi ed i contatti di tutti gli alunni della scuola divisi per classe e sezione. Un bel po’ di dati personali, non trovate?

Ora, do per scontato che la scuola ai tempi avesse chiesto ai miei genitori il consenso preventivo per il trattamento che si sarebbe svolto (spero)…ma se così non fosse?

Ogni qualvolta ci sia la necessità scolastica o subentrasse la volontà di acquisire immagini e/o video degli alunni, dovrà essere tassativamente richiesto il consenso chiaro ed esplicito. Sarà dunque necessario redigere delle informative da consegnare ai singoli genitori e da farsi restituire complete di espressione di volontà (acconsento/non acconsento).

Formazione e DPO

Abbiamo menzionato prima il temuto Data Breach, ovvero la violazione dei dati personali che può avvenire in diverse modalità (attacco hacker, perdita del pc aziendale, diffusione di dati via mail a molteplici destinatari errati, smaltimento non idoneo di documenti cartacei, etc…). Ma come facciamo a riconoscere una violazione e a sapere come agire?

La difesa più potente è la consapevolezza e questa va allenata e coltivata. Ciò su cui premiamo molto come consulenti è proprio la formazione e sensibilizzazione degli incaricati attraverso lo studio, fornendo loro degli esempi pratici per meglio approcciare tutte le possibili eventualità. Il personale della scuola deve dunque conoscere in che modo utilizzare gli strumenti informatici in suo possesso.

Di che tipo di formazione parliamo? Si parte da una formazione privacy e di una formazione cybersecurity, tematiche tra loro complementari che danno una panoramica specifica al personale delle scuole.

La scuola è inoltre affiancata dalla figura del DPO, il Data Protection Officer: con il Regolamento Europeo vediamo infatti approdare tale figura per supportare aziende e istituzioni nella salvaguardia dei dati personali.

Ripercorriamo insieme i casi in cui il DPO risulta essere una figura obbligatoria:

1. Il Titolare del trattamento è un’autorità pubblica o un organismo pubblico;
2. le attività principali del titolare consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3. le attività principali del titolare consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

In ambito scolastico ci troviamo di fatto nel punto c) sopra descritto, dunque in obbligo. La responsabilità di sensibilizzare il personale sulla tutela della privacy è dunque anche in capo al DPO, che deve altresì fornire supporto nella scelta delle tecnologie più appropriate per lo svolgimento delle attività scolastiche in base alle disposizioni normative vigenti.

È anche importante sapere come poter contattare il DPO scolastico: ogni genitore deve poter conoscere i contatti di riferimento dello stesso. Dove li troviamo? I contatti DPO devono essere reperibili nelle informative privacy che la scuola ci fornisce (informativa alunni, informativa per l’iscrizione, informativa eventi/gite ecc…) oppure nelle informative presenti sul sito web (ove esistente).

Ogni età ha i suoi rischi

Vorrei riprendere per ultimo un concetto sopra descritto al quale non abbiamo ancora dato un nome. Il suo nome è Shareting e indica la condivisione online da parte dei genitori di contenuti riguardanti i propri figli. Da tempo l’argomento sotto l’attenzione del Garante perché le conseguenze di una condivisione inconsapevole possono essere molto importanti e possono avere strascichi sul lungo periodo.

Ricordiamo che postare foto e video di minori accompagnati da altri dati quali nome, età e luogo contribuisce a definire l’immagine e la reputazione online e questo può influenzare la loro sfera dimensionale in futuro. Se proprio ci sentiamo “costretti” a pubblicare contenuti, sarebbe meglio apportare accorgimenti di tutela alle nostre azioni.

Tutto questo ha poi un impatto diverso a seconda della fascia d’età di cui trattiamo dati: la fascia maggiormente a rischio riguarda i liceali che spesso dispongono già di un proprio device e che in maniera autonoma posso postare e condividere contenuti. Spesso l’effetto “branco” è il fenomeno più pericoloso: in poco tempo può coinvolgere un gran numero di soggetti e ne può raggiungere altrettanti tramite la rete.

Se i più piccoli sono tecnologicamente tutelati dagli adulti per l’aspetto privacy, i ragazzi del liceo hanno pieno possesso della strumentazione in uso in ambito scolastico (cellulari, tablet, computer…). Purtroppo, di contro, non hanno una maturità tale da poter riconoscere il rischio in un ambito che loro considerano un gioco ingenuo e sicuro. Per questo spesso si sfocia in situazioni di cyberbullismo o addirittura revenge porn, con conseguenze a volte irreversibili.

Ciò che spaventa maggiormente è il sottile limite tra la vita digitale e la vita reale e l’impatto della vita “in rete” ha spesso gravi conseguenze nella quotidianità dei giovani. Abbiamo recentemente parlato del trend BikiniOff, una chat di Telegram che permette di “denudare” le immagini caricate. Ciò ovviamente desta curiosità agli occhi dei ragazzi che senza pensarci denudano immagini delle compagne di scuola, sfociando poi nell’altra tragica tematica della pedopornografia.

Sono concetti facili da capire ma difficili da interiorizzare; è complesso spiegare ad un ragazzo che ciò che fa tutti i giorni sui social può compromettere la sua privacy e che ciò che caratterizza la sua routine può avere ripercussioni sul suo futuro.

Il nostro progetto per la privacy nelle scuole

La tematica privacy e scuola è tra le più sensibili e delicate per gli addetti al settore. Per questo Mondo privacy ha avviato un progetto per divulgare la cultura della protezione dati nelle scuole. L’obiettivo è quello di affrontare tematiche importanti nella maniera più comprensibile sia dal bambino dell’elementare che dal ragazzo del liceo, coinvolgendoli sin dalle fasi progettuali della formazione e mantenendo l’attenzione sul tema grazie a stimoli successivi. Secondo voi come andrà? Stay tuned per i prossimi aggiornamenti.

La privacy spiegata ai bambini