1. Chi è responsabile per cosa?
a. Responsabilità generale della scuola
La scuola dell’obbligo è un compito di competenza dei cantoni. Numerosi cantoni delegano questo compito e quindi la responsabilità scolastica ai comuni (legge della scuola spesso collegata alla legge comunale) (cfr. per es. Canton Argovia: §52 Legge della scuola). Da parte loro i comuni delegano la loro responsabilità per la scuola dell’obbligo alle direzioni scolastiche, per esempio tramite i contratti di lavoro o i regolamenti; i doveri delle direzioni scolastiche sono spesso definiti in un regolamento scolastico; alcuni comuni mantengono (almeno) una parte di questa responsabilità (cfr. per es. Canton Argovia: §71 Legge della scuola).
In sintesi: la responsabilità generale di adempiere al mandato scolastico previsto dalla legge ricade di norma sulla direzione scolastica.
b. Responsabilità in materia di protezione dei dati
Qui si affronta la questione della protezione dei dati personali delle alunne e degli alunni (non del corpo insegnante), quando questi sono trattati in forma analogica, ma soprattutto digitale. Degli esempi di dati personali trattati digitalmente a scuola sono (elenco non esaustivo):
- I dati delle alunne e degli alunni sono trattati in un software di gestione (per es. per le liste di classe o il controllo delle assenze).
- I dati delle alunne e degli alunni sono trattati in un’applicazione per l’apprendimento o tramite uno strumento didattico.
Le leggi sulla protezione dei dati di norma attribuiscono la responsabilità della protezione dei dati sull’organo pubblico che effettivamente tratta o fa trattare i dati personali (cfr. per es. §29 IDAG del Canton Argovia).
La responsabilità ricade di norma sulla direzione scolastica. Il tema può tuttavia essere considerato in modo differenziato: software di gestione, strumenti didattici digitali, applicazioni per l’apprendimento.
i. Software di gestione
Un software di gestione può essere utilizzato in diverse situazioni (esempi non esaustivi):
- Per l’inserimento scolastico di bambine e bambini.
- Quando le bambine e i bambini passano da un livello scolastico al successivo.
- All’interno della scuola per la ripartizione delle classi, i corsi di sostegno, il controllo delle assenze, i voti.
In queste situazioni, per il trattamento dei dati delle alunne e degli alunni possono essere coinvolti diversi enti: i comuni, la scuola, i titolari dell’autorità parentale ed eventualmente anche la bambina e il bambino.
In sintesi: la responsabilità della protezione dei dati nel trattamento dei dati dell’infanzia tramite software di gestione ricade sui comuni oppure sulla direzione scolastica, a seconda di chi è responsabile per il trattamento dei dati. Questa responsabilità rimane a carico della scuola e/o del comune anche nella comunicazione con chi detiene l’autorità parentale e con le bambine e i bambini.
ii. Strumenti didattici
Di seguito vengono trattati gli strumenti didattici obbligatori e quelli facoltativi. Prima di ciò è opportuno analizzare in modo più approfondito il concetto di «responsabile».
Il «responsabile» ai sensi della legge sulla protezione dei dati (art. 5 lett. j LPD Legge sulla protezione dei dati; RS 235.1) è l'organo pubblico che, da solo o insieme ad altri, decide lo scopo e i mezzi del trattamento dei dati. Gli strumenti didattici digitali rappresentano il mezzo del trattamento dei dati. Lo scopo dell’impiego degli strumenti didattici è a sua volta lo scopo del trattamento dei dati (per es. per la redazione di un tema in tedesco o esercitare il vocabolario francese) (cfr. Rapporto sulla gestione dei materiali didattici nel Canton Argovia, pag. 14, cap. 2.3.5, in tedesco).
Nel caso degli strumenti didattici definiti obbligatori o facoltativi a livello cantonale, è l’autorità cantonale a decidere in merito al mezzo e, in parte, anche allo scopo di uno strumento didattico. La questione della responsabilità in materia di protezione dei dati di questa autorità cantonale dovrebbe essere perlomeno sollevata. Siccome però questa autorità è troppo distante dall’effettivo trattamento dei dati personali, non può essere ritenuta responsabile del loro utilizzo conforme alla protezione dei dati. Questo comporta una difficoltà per la scuola: la scuola non può dare per scontato che sia già stato verificato che lo strumento didattico digitale è conforme alla protezione dei dati (stato attuale delle conoscenze, cfr. in generale il Rapporto sulla gestione dei materiali didattici nel Canton Argovia).
Ne consegue che nonostante la discrepanza tra il potere decisionale e l'effettivo trattamento dei dati con strumenti didattici digitali obbligatori e facoltativi, la direzione scolastica rimane responsabile dell'uso conforme alla protezione dei dati di questi strumenti didattici.
In sintesi: la direzione scolastica è anche responsabile dell’uso conforme alla protezione dei dati di altri strumenti didattici, come per esempio gli strumenti didattici facoltativi oppure quelli che la scuola o il corpo insegnante scelgono e utilizzano indipendentemente.
iii. Applicazioni per l’apprendimento
Le applicazioni per l’apprendimento sono applicazioni digitali che il corpo insegnante sceglie e utilizza in classe o a casa. Di norma la direzione ha il dovere di sorveglianza sul corpo insegnante e per questo è sua la responsabilità di garantire che tutte le applicazioni in uso siano verificate dal punto di vista dei rischi tecnici e organizzativi concernenti la protezione dei dati prima del loro impiego e che siano utilizzate in modo conforme alla protezione dei dati.
In sintesi: nonostante anche in questo caso la responsabilità principale è della direzione scolastica, anche il corpo insegnante è altrettanto responsabile per questo trattamento dei dati. La direzione scolastica può assicurare un utilizzo delle applicazioni conforme alla protezione dei dati da parte del corpo insegnante provvedendo una guida o un regolamento.
2. Quali strategie e quali strumenti sono efficaci?
a. Protezione dei dati: una medaglia a due facce
La protezione dei dati può essere vista come una medaglia a due facce che può essere efficace solo nella sua interezza.
Una delle facce concerne l’infrastruttura della scuola. Questa deve offrire un minimo di sicurezza delle informazioni e dei dati. Ciò significa che la scuola, per esempio, realizza concetti di accesso, esige iscrizioni protette da password e mette in atto come regole provvedimenti simili. In questo contesto il sistema deve garantire la sicurezza di base. Gli strumenti didattici digitali e le applicazioni per l’apprendimento devono essere utilizzati e impiegati all’interno di questa infrastruttura e rispettandone le regole.
L’altra faccia della medaglia della protezione dei dati comporta una verifica minuziosa dei rischi in materia di protezione dei dati (noi la chiamiamo controllo delle applicazioni). Dopo questo controllo sono individuate le misure specifiche volte a ridurre al minimo i rischi legati agli strumenti didattici e alle applicazioni per l’apprendimento, che la scuola deve realizzare sotto forma di provvedimenti tecnici e organizzativi (TOM). Alcuni provvedimenti si applicano in classe e devono essere rispettati dal corpo insegnante e/o dalle bambine e dai bambini.
Ulteriori informazioni sul controllo delle applicazioni si trovano nel nostro dossier «Scuola conforme alla protezione dei dati», disponibile in tedesco e francese. Nelle pagine menzionate è possibile scaricare un modello del controllo delle applicazioni e le sue istruzioni.
In sintesi: l’ambiente lavorativo e gli strumenti didattici e le applicazioni per l’apprendimento utilizzati devono, nella loro totalità, garantire una protezione adeguata dei personali delle alunne e degli alunni. Con «adeguato» si intende la differenza tra i dati personali e i dati personali degni di particolare protezione. I dati personali degni di particolare protezione includono, tra l’altro, dati concernenti la socialità, la religione o la salute. Questo tipo di dati devono essere protetti in misura maggiore dagli interventi da parte di persone non autorizzate.
b. Altri strumenti che contribuiscono a un trattamento dei dati personali conforme alla protezione dei dati
Altri strumenti importanti sono:
i. Repertorio delle attività di trattamento trasparente
Si tratta di un inventario che elenca, documenta e mantiene aggiornate le seguenti informazioni (elenco non esaustivo): i dati trattati, le persone incaricate del trattamento (la funzione), gli strumenti didattici o le applicazioni per l’apprendimento utilizzati. Il repertorio delle attività di trattamento non è uno strumento obbligatorio, ma può aiutare a mantenere una panoramica delle numerose attività di trattamento dei dati nella vita scolastica di tutti i giorni, come per esempio i termini di cancellazione, i consensi, i provvedimenti di minimizzazione dei rischi definiti e utilizzati e molto altro ancora. L’introduzione di questo genere di repertorio può essere dispendiosa, ma sul lungo termine può permettere di risparmiare tempo.
Ulteriori informazioni sul repertorio delle attività di trattamento si trovano nel nostro dossier «Scuola conforme alla protezione dei dati», disponibile in tedesco e francese. Nelle pagine menzionate è possibile scaricare un modello del repertorio delle attività di trattamento e le sue istruzioni.
ii. Sensibilizzazione
La gestione dei dati si impara. Per questo motivo è necessario sensibilizzare tutte le persone coinvolte (corpo insegnante, genitori, bambine e bambini) e, se necessario, fornire loro le istruzioni adeguate. La protezione dei dati è un compito collettivo. Il ruolo della scuola è fondamentale in questo contesto. L'obiettivo deve essere quello di armonizzare le competenze dei genitori, perché solo così è possibile garantire le pari opportunità.
iii. Requisiti in materia di protezione dei dati nel processo di acquisizione
Le disposizioni in materia di protezione dei dati (le diverse disposizioni vincolanti a livello cantonale e federale) devono essere prese in considerazione nel processo di acquisizione nello spazio formativo digitale, ad esempio:
- Per ogni acquisizione (sia essa mediante trattativa privata, trattativa tramite invito oppure tramite procedura selettiva o aperta) occorre definire i requisiti in materia di protezione dei dati. Tali requisiti devono essere richiesti di norma ai produttori o ai fornitori di servizi.
- I responsabili delle acquisizioni possono sfruttare sempre più spesso le possibilità offerte dai processi di acquisizione per far rispettare le norme sulla protezione dei dati. Nell'ambito delle acquisizioni di applicazioni nel sistema formativo è possibile definire sempre più spesso come requisito (obbligatorio) anche il collegamento a un'identità federata (per es. Edulog); in questo modo si garantisce un Single Sign-On e i dati delle bambine e dei bambini sono meno esposti.
- Nel caso in cui sia possibile il trasferimento dei dati all'estero, è necessario garantire un livello adeguato di protezione dei dati.
(cfr. Sandra Husi-Stämpfli, breve perizia: ancoraggio delle disposizioni relative alla protezione dei dati nel diritto degli appalti pubblici nell'ambito della digitalizzazione del quotidiano scolastico [perizia interna di Educa] e Rika Koch, «Öffentliche Beschaffungen im Bildungssektor», Studie im Auftrag der Fachagentur Educa zur Verortung der (IKT-) Beschaffungen von Schulen nach dem revidierten öffentlichen Beschaffungsrecht, 21 febbraio 2023, in particolare il punto 4.4 «Exkurs: Datenschutz», disponibile in tedesco)
Ulteriori informazioni sulla responsabilità, sul controllo delle applicazioni e sulla trasparenza sono disponibili alla pagina in francese «Contrôles d'application allégés» (in italiano, controlli facilitati delle applicazioni).
3. Cosa si può aggiungere dal punto di vista etico?
Gli interessi, i diritti di protezione e l’autodeterminazione dell’infanzia e della gioventù non devono essere considerati unicamente come un obbligo legale. Il corpo insegnante come anche le compagne e i compagni di classe devono piuttosto dare l'esempio in modo attivo, nel rispetto delle regole digitali e con trasparenza. In questo contesto è necessario prendere sul serio le voci e i bisogni di bambine e bambini e dei giovani. Le raccomandazioni pratiche sulla responsabilità, i ruoli e le questioni giuridiche relative alla protezione dell’infanzia nella scuola derivano non solo da disposizioni giuridiche, ma devono anche appoggiarsi a delle linee guida etiche e offrire degli spazi di riflessione.
Bisogna costantemente trovare un equilibrio tra la protezione delle bambine e dei bambini (per es. soprusi, mobbing, abusi dei dati) e il loro diritto alla partecipazione e all'autodeterminazione (per es. decisione comune, partecipazione all’elaborazione delle regole per l’utilizzo dei media digitali). L’etica nei contesti scolastici significa muoversi in un terreno minato tra l’importanza del diritto alla sfera privata e gli obblighi di sorveglianza della scuola. Una raccomandazione pratica ed etica ribadisce la responsabilità comune di tutte le persone coinvolte. Si consiglia di creare degli spazi di riflessione e di partecipazione dove le bambine e i bambini possono essere coinvolti nell’elaborazione e valutazione delle regole scolastiche concernenti i media digitali.
I principi etici fondamentali devono fungere da bussola, che indica la direzione su come procedere quando il diritto non è chiaro, non specifico o soggetto a interpretazione. In questo contesto bisogna dare la priorità al benessere delle bambine e dei bambini. Ciò significa che il benessere dell’infanzia deve sempre essere preso in considerazione e tenuto presente nel prendere delle decisioni.
Diritti dell’infanzia durante la ricreazione
L'altra parte della guida tratta i diritti dell’infanzia durante la ricreazione.