Privacy e tutela dei dati nella comunicazione con le famiglie
Ecco uno dei problemi degli ultimi tempi: “Ragazze, a causa delle mille restrizioni dobbiamo trovare un modo smart per comunicare con le famiglie”.
La soluzione: “Possiamo usare l’app X, si scarica gratis sullo smartphone e funziona bene! Poi ho sentito che anche altre scuole la usano!”.
Problema apparentemente risolto.
Il settore tecnologico è quello che più è cresciuto nell’ultimo decennio ed in questo periodo di emergenza per il COVID-19 la crescita è stata esponenziale. Il lockdown prima, e le restrizioni imposte poi, hanno messo i servizi 0-6 davanti ad un’esigenza pressoché nuova: trovare metodi non convenzionali per tenere vivo il legame con le famiglie. E cosa c’è di meglio di tutti gli strumenti che la tecnologia mette a disposizione e che tutti noi già utilizziamo nel privato?
Ovviamente il poco tempo a disposizione e la molteplicità degli strumenti tecnologici offerti ha fatto sì che la scelta ricadesse sulle applicazioni già conosciute o semplicemente sulle più note… e magari gratuite. Vista l’eccezionalità dell’evento tutto quello che non aveva a che fare con l’obiettivo prefissato è passato in secondo piano. Ed è così che tonnellate di dati di bimbi e collaboratori sono finiti in Rete, sparsi in po’ ovunque.
In questa situazione di totale confusione in pochi si sono posti le seguenti domande: “Lo strumento che uso è sicuro? Come vengono trattati i dati raccolti? Dove vengono salvati? Esiste qualche norma da osservare e, se sì, lo strumento che uso è conforme?”.
Guardandoci indietro e analizzando tutto con un po’ di senso critico possiamo individuare un punto di fondamentale importanza e che spiega il senso dell’intero articolo: per comunicare con le famiglie, nella maggior parte dei casi, stiamo condividendo foto, video e informazioni che riguardano i bimbi e/o i collaboratori. In altri termini, stiamo riversando all’interno di un’app o, più in generale di un servizio, grandi quantitativi di dati personali.
Ma il punto è che lo stiamo facendo non da privati cittadini, ma da gestori e operatori del settore. Quest’ultima “precisazione”, in realtà, cambia completamente la prospettiva e le implicazioni che ne derivano sono molteplici. Non si tratta solo di implicazioni “morali” o professionali, ma di risvolti normativi.
Il GDPR
Quando un’organizzazione (o un suo membro) raccoglie, o tratta dati personali, deve osservare il Regolamento Generale sulla protezione dei dati n. 679 del 27 aprile 2016 (c.d. GDPR), la normativa europea di riferimento per la protezione dei dati personali.
Il GDPR è l’equivalente del codice della strada per chi si mette alla guida di un veicolo: specifica le regole da rispettare e definisce le linee guida affinché si evitino incidenti.
Il GDPR è in vigore da più di due anni e, ad oggi, è l’impianto normativo in ambito privacy più avanzato e severo al mondo. Ne consegue che non possiamo ignorarne l’esistenza e che quando lavoriamo con i dati delle persone dobbiamo farlo con consapevolezza e nei limiti previsti.
Per continuare sul parallelismo con il codice della strada: vi mettereste alla guida di un veicolo senza prima aver conseguito la patente di guida?
Le figure previste dal GDPR
Fermo restando che ogni organizzazione nel suo complesso deve operare rispettando quanto previsto dalla normativa, il GDPR identifica diverse figure e, di conseguenza, diversi ruoli e responsabilità.
Ecco le figure principali e la loro declinazione in ambito 0-6:
- Titolare del trattamento: combacia con la società o l’ente che amministra la scuola, è la figura che raccoglie e tratta i dati delle persone (es. dati delle famiglie e del personale);
- Responsabile del trattamento: sono le organizzazioni (i fornitori) che trattano dati per conto del Titolare. Lo sono per esempio: il consulente paghe, il commercialista, l’azienda che fornisce assistenza informatica e, per l’appunto, le società che gestiscono le applicazioni usate per comunicare con le famiglie;
- Autorizzati al trattamento: l’educatrice o l’insegnante incaricata dal Titolare a trattare i dati.
Il Titolare del trattamento è la figura principale e quella su cui gravano le responsabilità maggiori. Deve supervisionare sull’intero processo affinché sia conforme al GDPR e, qualora affidi i dati (o parte di questi) a terzi, deve individuare i Responsabili in grado di dare garanzie adeguate.
Insomma, se affidate la vostra auto ad un’altra persona, meglio che la conosciate e che vi fidiate ciecamente.
Ma quali sono queste garanzie?
Localizzazione dei dati e misure di sicurezza
Il GDPR, al proprio interno, prevede appositi articoli che disciplinano le misure tecniche e organizzative che devono essere osservate; alcuni di questi articoli hanno un forte impatto quando il trattamento viene svolto per mezzo di applicazioni e supporti informatici.
Ecco alcuni dei requisiti principali:
- Devo sapere dove sono i dati personali. I dati devono rimanere in Europa; in alternativa, serve che sussistano appositi accordi bi-laterali con lo stato in cui i dati vengono trasferiti o il Titolare (e il Responsabile) deve essere in grado di fornire adeguate garanzie;
- Devono essere adottate misure adeguate a mantenerne la riservatezza delle informazioni come ad esempio la cifratura e la pseudonimizzazione;
- Devono essere implementati backup, politiche di disaster recovery e misure tecniche di sicurezza atte a garantire disponibilità e la riservatezza dei dati raccolti.
- Il fornitore del servizio deve fornire garanzie adeguate sulla sicurezza dei sistemi ed essere parte attiva affinché queste siano effettivamente efficaci.
Il punto più critico è sicuramente il primo. La maggior parte delle piattaforme di raccolta e condivisione dati non sono sviluppate in Europa. Ciò ne consegue che spesso le aziende che le sviluppano non osservano (o quantomeno non ancora) quanto dettato dal GDPR (che, tutto sommato, è una normativa ancora recente).
Quindi i dati, nella maggior parte dei casi, vengono salvati in data center al di fuori del territorio europeo senza che vi siano le dovute tutele. Tale circostanza si verifica in special modo se l’applicazione è gratuita: normalmente solo le versioni a pagamento consentono di scegliere in quale zona devono essere salvati i dati.
Scegliere l’applicazione e organizzarsi
Ovviamente non esiste una risposta univoca alla domanda: qual è l’applicazione migliore?
In realtà questa non è nemmeno l’unica domanda che ci si deve porre. Per raccogliere e condividere dati, ad esempio quelli relativi alla documentazione fotografica, è necessario pensare al processo nel suo complesso: l’applicazione utilizzata per condividere il dato è solo uno degli step.
Sicuramente dobbiamo partire da un concetto chiave: ragionare in termini di tutela dei dati raccolti. E chi lo deve fare è il Titolare.
Il Titolare deve conoscere il GDPR o, in alternativa, deve affidarsi ad una figura professionale qualificata. Deve valutare nel dettaglio tutti gli aspetti connessi al trattamento: l’informativa, la raccolta del consenso, la redazione dei registri. Deve affidarsi unicamente a responsabili esterni del trattamento che forniscano garanzie sufficienti a tutelare i dati ad i diritti degli interessati. Deve poi valutare i rischi, le misure organizzative e deve formare adeguatamente il personale.
Si, poi deve anche identificare l’applicazione da usare, ma come dicevamo, questo è solo uno degli step.
In questi mesi molte strutture adottano soluzioni differenti: le educatrici con i propri smartphone catturano immagini o spezzoni di video che vengono inviati via mail o per mezzo dei social (convinti che un gruppo chiuso sia la soluzione a tutti i problemi). Molto spesso tutto viene deciso in completa autonomia dalla singola insegnante e in molti casi non viene nemmeno fatta firmare ai genitori l’informativa necessaria per la raccolta del consenso.
Articolo a cura di:
Ing. Alberto Sbeghen, CEO di Kindertap
https://www.kindertap.com
Dott. Davide Vedelago, pianificazione e controllo, sistemi informativi, sicurezza delle informazioni
https://scuadra.it