Gestione dei dati con strumenti informatici che prevedano o meno il trasferimento dei dati extra UE (Google, Microsoft, ecc.)

l’uso delle piattaforme all’interno degli istituti scolastici ha avuto un’accelerazione notevole a seguito dell’emergenza Covid19. Sempre più spesso se ne è appreso l’utilità e l’indispensabilità, ma alcune volte la facilità d’uso e la possibilità di fare nuove attività in modalità digitale, che prima si potevano svolgere solo in modalità analogica, ha fatto trascurare la sicurezza dei dati.

Nella platea dei docenti e ATA crescono le competenze digitali e si aprono nuovi scenari. E’ il momento però di sensibilizzare le persone sulla sicurezza e sulle relative problematiche.

Ci preme ricordare la definizione di dato personale: “informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica” quindi anche semplicemente nome e cognome. Aggiungiamo la definizione di dato particolare (ex sensibile): qui che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale, ai quali oggi possiamo aggiungere, in alcuni casi la mail, il numero di telefono, l’indirizzo IP, il MAC Address (un numero di identificazione univoco che ti aiuta a rintracciare il tuo dispositivo in una rete).

Ogni qualvolta trattiamo queste informazioni in modalità analogica (carta, voce, ecc.) o in modalità digitale (piattaforme, mail, ecc.) stiamo effettuando un trattamento dati e pertanto siamo soggetti alla privacy GDPR 679/2016 e Dlgs 196/2003.

Quando trattiamo dati dobbiamo rispettare tutte le misure di sicurezza prescritte. Tra queste vogliamo dare evidenza in particolare a due: Nomina a Responsabile Esterno del Trattamento Dati e Divieto di Trasferimento Dati Extra UE (in realtà SEE Spazio Economico Europeo).

Un serie di accordi per trasferire dati di cittadini europei negli Stati Uniti ed altri paesi, è stato fatto decadere attraverso la sentenza “Shrems II” del 27/04/21 della Corte Europea (vedi anche Privacy Shield), ponendo il divieto al trasferimento dei dati. La sentenza è fortemente limitante verso il trasferimento negli USA.  Non basta che i dati siano in Europa considerato che le società statunitensi sottostanno a controlli che consentono di acquisire informazioni anche in altri paesi (vedi CIA ed FBI).

Nell’aprile 2021 eravamo in pandemia e c’era lo stato di emergenza, quindi di fronte alla situazione questo divieto è stato disatteso. Ora che non siamo più in emergenza alcune “cattive abitudini” sul trattamento dati non sono più tollerabili. Per questo vogliamo porre attenzione sulla questione, solo così possiamo avere sicurezza sui dati senza incorrere in eventi lesivi della privacy.

Piattaforme come Google Workspace (ex GSuite), Microsoft Office 365 / Teams ed altre possiamo continuare ad utilizzarle se attuiamo stringenti misure di sicurezza ed evitiamo di effettuare trattamenti dati. In alternativa dovremo smettere di utilizzarle.

Quale sono le azioni che possiamo mettere in atto per aumentare la sicurezza:

  • Pseudonimizzare gli account (non più Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.)
  • Utilizzare solo finestre di navigazione in incognito quando si usano le piattaforme;
  • non usare Forms (moduli) per attività diverse dalla didattica (es. no uso per censire scioperanti)
  • non usare Google Drive per condividere PEI, PDP, altri documenti riportanti dati personali, foto, video;
  • non usare youtube per pubblicare video di alunni;
  • non usare facebook, Instagram, ed altre piattaforme per condividere foto e video;
  • non usare Canva per stampare attestati;
  • non usare WhatsApp per condividere documenti e foto e video di alunni;
  • non utilizzare piattaforme tipo “I love PDF” per manipolare PDF contenenti dati;

Questi ovviamente sono degli esempi non esaustivi che danno le opportune indicazioni.

Con questo non vogliamo limitare la tecnologia, ma solo farne un uso consapevole ricordando che SIAMO SOGGETTI A QUESTE REGOLE SOLO SE TRATTIAMO DATI PERSONALI. La strategia per fare ciò a cui siamo abituati è quella di pseudonimizzare. Esempio pratico: ho alunni per cui ho redatto i PEI? Inserendo al posto del nome e cognome gli pseudonimi Pippo, Pluto e Paperino, non ho inserito dati personali che possano consentire ai non titolati di identificare le persone fisiche, quindi posso salvarli su Google Drive e Whatsapp.

 A volte con semplici accorgimenti e qualche attenzione in più è possibile l’uso della tecnologia per le esigenze della scuola senza violare i diritti sanciti nel GDPR 679/2016.