Nome e cognome su Zoom: quando la didattica dimentica il GDPR
Indice dei contenuti
Introduzione
Lunedì 1 settembre, prima lezione del semestre filtro di Medicina in un ateneo del Nord-Est: oltre 500 studenti collegati su Zoom.
Indicazione agli studenti: modificare il nome visualizzato nella sessione Zoom in nome.cognome.
Il principio di minimizzazione dei dati
Dal punto di vista del GDPR e del principio di minimizzazione dei dati, viene spontanea una domanda: davvero serviva rendere visibili a tutti i nomi e cognomi completi dei partecipanti?
Gli studenti erano già autenticati con le credenziali istituzionali. Sarebbe bastato il numero di matricola, o al limite una forma più discreta (iniziale del nome + iniziale del cognome + matricola).
Il Regolamento Generale sulla Protezione dei Dati ci ricorda che vanno raccolti e diffusi solo i dati strettamente necessari alla finalità perseguita.
Esporre pubblicamente i nomi completi di centinaia di studenti non aggiunge valore didattico, ma amplifica i rischi: non solo un trattamento eccedente, ma anche possibili abusi. È fin troppo semplice, per un altro studente, leggere un nominativo, cercarlo sui social e dar seguito a comportamenti indesiderati — dal contatto non richiesto fino a forme di vera e propria molestia. Un rischio che sarebbe stato evitabile adottando criteri più rispettosi della privacy.
Privacy by design e Privacy by default
In questo caso sarebbe bastato applicare due principi cardine del GDPR:
privacy by design, progettando la procedura fin dall’inizio con l’obiettivo di ridurre i dati esposti;
privacy by default, configurando le impostazioni in modo che la protezione dei dati fosse garantita senza interventi aggiuntivi da parte degli studenti.
La protezione dei dati non è un ostacolo, ma un modo per progettare processi più snelli e rispettosi.
Il ruolo del DPO
Il DPO dell’ateneo è stato realmente coinvolto in questa scelta organizzativa?
Il dubbio è lecito, perché il suo ruolo – come stabilito dall’art. 38 del GDPR – è proprio quello di essere consultato preventivamente su decisioni di questo tipo, che incidono direttamente sul trattamento dei dati personali degli studenti.
Informativa agli studenti
Un altro aspetto da considerare riguarda l’obbligo di informare preventivamente gli studenti (artt. 12 e 13 GDPR).
Se non fosse stata fornita un’informativa chiara e completa sul fatto che il loro nome.cognome sarebbe stato visibile a tutti i partecipanti alla sessione Zoom, si configurerebbe una violazione degli obblighi di trasparenza e correttezza del trattamento.
Gli studenti avevano già effettuato l’accesso con le credenziali istituzionali, quindi la misura aggiuntiva della visibilità pubblica del nominativo non era né scontata né auto-evidente. Senza una comunicazione specifica, la scelta organizzativa risulta poco coerente con i principi del GDPR.
