Una scuola privata francese ha deciso che gli studenti dovranno portare con sé un dispositivo con il quale segnalare la loro presenza all’interno dell’istituto. I dispositivi funzioneranno tramite collegamento Bluetooth e trasmetteranno i dati sulla presenza ad un sistema centralizzato gestito da una società privata che si chiama NewSchool Sas e che distribuisce anche la relativa app attraverso la quale docenti e genitori sapranno in tempo reale se gli allievi sono a scuola.
La Newschool pubblicizza questo sistema sul proprio sito affermando che “sarà un piacere fare l’appello” e di aver provveduto alla relativa “declaration” presso il CNIL (l’Autorità Garante per la Protezione dei Dati Personali francese). In effetti, consultando l’elenco delle notificazioni sul sito del CNIL (molto simili a quelle previste dall’art. 37 del vecchio Codice Privacy italiano) si trova quella di Newschool che, tuttavia, con l’entrata in vigore del GDPR, assume un valore relativo.
Infatti, l’art. 35 del GDPR impone che sia la scuola, magari insieme a Newschool, ad effettuare una valutazione d’impatto sui dati personali giacché il contesto, la tecnologia impiegata ed i soggetti interessati (minori) fanno pensare che questo tipo di trattamento presenti un rischio elevato per i diritti e le libertà delle persone.
È vero che il trattamento, data la tecnologia di cui viene dichiarato l’impiego (Bluetooth), non si concretizza in una vera e propria geolocalizzazione ma è pur sempre una forma di raccolta “massiva” che, in caso di violazione dei dati personali, potrebbe incidere sulla vita degli interessati soprattutto se viene mantenuta una storia di tutti gli spostramenti all’interno della scuola.
Una decisione “senza appello” ma, speriamo, preceduta da una idonea valutazione dei rischi.