In che misura è stata garantita la protezione dei dati negli istituti di formazione durante il periodo di contenimento? E se in futuro si dovesse verificare una situazione simile, quale sarebbe la cosa migliore da fare dal punto di vista degli istituti di formazione?
Cécile Kerboas (C.K.): Di fronte alla crisi sanitaria, il settore dell'istruzione è stato costretto a reinventarsi e a immaginare con urgenza nuove soluzioni per garantire la continuità pedagogica in tutti questi aspetti (formazione a distanza, controllo delle presenze per la scuola dell'obbligo, valutazione dei risultati dell'apprendimento, ecc.). Come è stato ricordato dai media, alcune soluzioni adottate dalle istituzioni hanno giustamente sollevato questioni dal punto di vista della protezione dei dati. Non sempre è stato possibile garantire il rispetto delle norme sulla protezione dei dati. In alcuni casi è stato addirittura necessario l'intervento delle autorità competenti. Tuttavia, è importante sottolineare che gli insegnanti, le istituzioni e il dipartimento interessato hanno regolarmente richiesto il parere della nostra Autorità. Per quanto riguarda il futuro, è necessario prevedere il verificarsi di una situazione simile in modo da poter adottare soluzioni conformi. Le regole dell’esternalizzazione sono complesse ed è difficile, se non impossibile, valutare correttamente una soluzione in un contesto di emergenza. Questo aspetto è particolarmente importante, considerando che la questione dell'apprendimento a distanza non si limita al periodo della crisi sanitaria, ma fa parte dell'approccio più globale alla transizione digitale.
Dominika Blonski (D.B.): La situazione è stata una sorpresa e un imprevisto per tutti. Quindi è stata una sfida per ognuno di noi, su piani molto diversi, che ha creato parecchia incertezza. Fino a quel momento, l'apprendimento a distanza non era stato previsto nelle scuole, ma doveva essere offerto rapidamente. C'era una consapevolezza generale sulle questioni relative alla protezione dei dati, ma molte persone hanno raggiunto i loro limiti quando si è trattato delle questioni tecniche. Dovremmo usare questa esperienza per il futuro: le strutture devono essere rafforzate e gli insegnanti devono essere sostenuti maggiormente - e non solo in situazioni di crisi. È giunto il momento di vedere cosa può essere implementato e come. Quali applicazioni possono essere utilizzate, per quali scopi? Quali dati possono essere trasferiti e come? Se si chiarisce cosa si può, e non si può fare, e come gli insegnanti - in particolare - saranno facilitati in una situazione simile in futuro.
La vita pubblica sta gradualmente tornando alla normalità. Ciò significa che le soluzioni informatiche, ritenute accettabili durante il contenimento sulla base della valutazione del rischio, ora sono di nuovo soggette a standard normali - cosa significa questo a livello pratico per gli istituti di formazione?
C.K.: In concreto, ciò significa che le soluzioni informatiche impiegate durante il contenimento dovranno essere rivalutate. A seconda dei risultati, alcuni strumenti possono essere perpetuati, mentre altri dovranno essere abbandonati. È anche possibile che alcuni strumenti continuino ad essere utilizzati, ma in un quadro diverso da quello inizialmente previsto nel contesto della crisi sanitaria. È infatti importante ricordare che la questione della conformità di una soluzione deve sempre essere analizzata alla luce dell'uso che se ne fa e delle condizioni contrattuali che la disciplinano. Pertanto, le modalità di utilizzo e la natura dei dati trattati sono di notevole importanza nell'ambito dell'analisi di conformità, in particolare dal punto di vista della sicurezza.
D.B.: I requisiti non sono cambiati durante questo periodo; ma la valutazione del rischio è ora diversa. La legge sulla protezione dei dati e i requisiti tecnici sono ancora validi - con o senza contenimento. In una situazione di crisi, una scuola potrebbe concludere che l'uso di uno strumento è temporaneamente possibile valutandone il rischio prima di utilizzarlo. Tuttavia, dopo l'acuta situazione di crisi, una valutazione del rischio può portare a una conclusione diversa. In tutti i casi, la responsabilità è della scuola che utilizza i servizi e i prodotti. Quando si prende una decisione, è importante considerare che tipo di dati personali vengono trattati, se e a chi i dati saranno trasmessi, come e dove saranno conservati, quale legge sarà applicabile in caso di controversia e dove potrà essere applicata. Anche gli aspetti tecnici devono essere valutati. Qui, ad esempio, ci si può chiedere se sia possibile crittografare i dati personali e dove si trova la gestione delle chiavi, se è prevista l'autenticazione a due fattori o se si utilizzano strumenti di tracciamento o cookie.
Come valutate in generale la protezione dei dati nelle istituzioni scolastiche e quali sono, secondo voi, le sfide da affrontare nel prossimo futuro?
C.K.: Nella maggior parte dei casi si può osservare un’accresciuta sensibilità alla questione della protezione dei dati all'interno delle istituzioni. Eppure, le istituzioni potrebbero migliorare molto di più in questo settore, indipendentemente dalla questione degli strumenti utilizzati. In futuro, le istituzioni dovranno affrontare molte sfide, soprattutto in relazione alla formazione a distanza e all'educazione digitale di insegnanti e studenti. Anche se la transizione digitale è essenziale, sarà necessario garantire il rispetto della legislazione sulla protezione dei dati. Detto questo, come in molti settori, con uno sviluppo sempre crescente delle offerte di servizi digitali, la tentazione di utilizzare strumenti ad alte prestazioni forniti da terzi, e che consentono la raccolta massiccia e sproporzionata di dati personali, può essere grande per i soggetti interessati. Tuttavia, la sensibilità dei dati in gioco dovrebbe richiedere la vigilanza degli attori educativi.
D.B.: La sensibilizzazione riguardo ai problemi della protezione dei dati è in crescita. Ciononostante, alcune domande rimangono senza risposta per quanto riguarda l'attuazione concreta. La digitalizzazione è una sfida importante. Richiede delle risorse, sia finanziarie che in termini di competenze, quasi impossibili da gestire per le piccole istituzioni.
Esecuzione da parte delle scuole
In che modo gli istituti di formazione possono valutare una soluzione informatica in materia di protezione dei dati?
Cécile Kerboas (C.K.): Prima di avviare una qualsiasi prova in cerca di una soluzione informatica, è essenziale pensare in termini di rispetto dei principi della protezione dei dati. Ciò implica il fatto di dover tener conto delle seguenti considerazioni: la natura dei dati trattati, le persone coinvolte, il tipo di trattamento previsto e l'impatto che tale trattamento potrebbe avere sugli interessati. Nell'ambito dell'educazione, e più precisamente quando si tratta di trattare dati di minori, non ci si può esimere da un'analisi preventiva dei rischi e delle condizioni del trattamento dei dati personali. Nel loro ruolo di consulenza, le autorità per la protezione dei dati possono fornire indicazioni alle entità interessate, motivo per cui queste ultime sono fortemente invitate a contattarle.
Dominika Blonski (D.B.): La nostra autorità pubblicherà a breve un opuscolo che presenterà i criteri più importanti per la valutazione di una soluzione informatica. Sulla base di questi criteri, gli istituti di formazione saranno in grado di decidere quale software potranno utilizzare per quale trattamento dei dati. I responsabili della protezione dei dati dei rispettivi Cantoni sono a disposizione per fornire consulenza durante la fase di valutazione.
La maggior parte dei responsabili cantonali della protezione dei dati pubblica direttive e consigli che riguardano diverse soluzioni informatiche. Come posso, in quanto Scuola X, scoprire quali sono le linee guida che mi riguardano?
C.K.: Non è sempre facile per le scuole stabilire quale legislazione sia applicabile al trattamento dei dati che adottano. In generale, mentre le scuole private sono soggette alla legge federale sulla protezione dei dati e alla giurisdizione dell'incaricato federale della protezione dei dati, le scuole pubbliche sono soggette alla legislazione cantonale sulla protezione dei dati e alla giurisdizione dell'incaricato cantonale della protezione dei dati. Inoltre, gli enti cantonali incaricati della formazione, emanano spesso direttive in materia di protezione dei dati, in particolare per quanto riguarda l'impiego di strumenti di formazione. In caso di dubbi o domande, non esitate a contattare direttamente l'ente cantonale incaricato della formazione o le autorità competenti in materia di protezione dei dati, che, se necessario, reindirizzeranno le persone interessate.
D.B.: Il trattamento dei dati scolastici deve avvenire nel rispetto della legge federale sulla protezione dei dati nel caso di una scuola privata e della legge cantonale sulla protezione dei dati nel caso di una scuola pubblica. Di conseguenza, una scuola può rivolgersi al responsabile della protezione dei dati competente della Confederazione o del Cantone. Si applicano di conseguenza i requisiti dell'autorità competente per la protezione dei dati.
Se una soluzione viene giudicata come non conforme alla protezione dei dati, quali possibilità ho come scuola?
C.K.: Le scuole, in qualità di responsabili del trattamento, hanno una certa autonomia in materia di protezione dei dati. Spetta quindi a loro prendere le relative decisioni. Tuttavia, è importante tenere presente che, il trattamento dei dati che non è conforme alla legislazione sulla protezione dei dati, costituisce un'interferenza illecita nei confronti delle persone interessate. In tal caso, il funzionario/la funzionaria competente potrebbe emettere una segnalazione contro la scuola in questione, oltre a sottoporre la questione alle autorità giudiziarie. Pertanto, in caso di dubbio, i soggetti interessati dovrebbero favorire il dialogo e contattare sistematicamente l'autorità competente per la protezione dei dati, al fine di determinare in che misura il trattamento dei dati previsto sia o meno conforme. Le autorità preposte alla protezione dei dati in genere optano per un approccio collaborativo e di prossimità.
D.B.: In questo caso la scuola deve prima di tutto chiedersi cosa vuole ottenere esattamente utilizzando questa soluzione non conforme ai requisiti di protezione dei dati. È assolutamente necessario utilizzare proprio quell’applicazione? In un secondo momento poi, la scuola può cercare delle alternative. Succede spesso che alcuni compiti possano essere svolti in un altro modo. Se una scuola vuole cambiare questo modo di fare, deve chiedersi perché vuole introdurre questo cambiamento. Non per forza tutto ciò che è nuovo, è adatto a un cambiamento pianificato.