Liberatoria, Informativa e Servizi Aggiuntivi Piattaforme Didattiche

Con questo articolo vogliamo fare chiarezza sulle liberatorie, sui servizi aggiuntivi e sulle app di terze parti, alla luce dell’ultimo avviso inviato da Google agli amministratori Google Workspace for Education.

I servizi delle piattaforme si differenziamo in tre macroaree:

1. Servizi e app base
2. Servizi aggiuntivi o supplementari della piattaforma
3. Applicazioni e siti web terze parti

Queste tre macroaree devono essere gestite in modo particolareggiato e soprattutto le famiglie devono essere sempre informate sui servizi attivi.

Ciò che tratteremo in questo articolo si applica a tutte le versioni di Google Workspace for Education e di Microsoft 365 for Education.

Informativa per i genitori

L’informativa deve essere sempre presente e contenere al suo interno tutte le applicazioni ed i servizi utilizzabili.

Al link un modello d’informativa di Google con modello di consenso per i genitori, anche se non è sufficiente, è una buona base per iniziare:
https://support.google.com/a/answer/7391849

All’interno dell’informativa va sempre specificata la lista dei servizi base, aggiuntivi e di terze parti.
Per ogni aggiunta va fatta firmare una nuova liberatoria, quindi valuta bene, a quali applicazioni vuoi concedere l’accesso.

Servizi Base	La lista dei servizi base attivi nella piattaforma (già attivi anche senza aver fatto l’accesso)
Servizi Aggiuntivi/Supplementari	La lista dei servizi aggiuntivi attivabili dall’utente (si attiveranno al primo utilizzo da parte dell’utente)
Applicazioni e siti web di terze parti	Le piattaforme ed i siti web in cui è concesso utilizzare “Login con Google” o “Login con Microsoft” (si attiveranno al primo utilizzo da parte dell’utente)

Liberatoria

Nel documento di Google:
https://support.google.com/a/answer/7391849

Autorizzo [inserisci il nome della scuola o del distretto scolastico] a creare/gestire un account Google Workspace for Education per mio figlio. Autorizzo inoltre Google a raccogliere, utilizzare e divulgare le informazioni relative a mio figlio esclusivamente per gli scopi descritti nell’informativa che segue.

Significa che senza la liberatoria non si può creare un account google workspace, nemmeno per i servizi base.

Il nostro consiglio è quello di creare due liberatorie, una per i servizi base ed una per i servizi aggiuntivi, così da dare ai genitori che ne fanno richiesta la possibilità di utilizzare le applicazioni base senza le applicazioni aggiuntive e di terze parti.

Gli Account vanno creati dopo la firma della liberatoria, mai prima.

1 – Servizi e app base

Sono i servizi e le applicazioni di base della piattaforma (es. Google Drive, Google Gmail ecc.).
A volte definiti come “i soli servizi strettamente necessari alla formazione”, sempre con le opportune configurazioni in modo da minimizzare il trattamento dei dati personali.

Questi servizi sono inclusi nel contratto firmato con il fornitore di servizi e possono essere attivati per tutti gli utenti con informativa e, nel caso, con liberatoria per i servizi di base.

Sono servizi che hanno il massimo livello di sicurezza, di riservatezza e soprattutto di controllo degli utenti.

Utilizzabili anche da minori di 14 anni con le opportune configurazioni e limitazioni.

Obbligatoria l’informativa sul trattamento dei dati ed il regolamento per l’utilizzo della piattaforma.

2 – Servizi aggiuntivi o supplementari della piattaforma

Ad esempio, i servizi Google come YouTube, Blogger ecc.

Sono servizi aggiuntivi offerti gratuitamente da Google / Microsoft nel loro pannello di gestione.

Sono aggiuntivi perché non rientrano nel contratto di base ed hanno meno controlli su ciò che può essere visto o aperto. Spesso contengono anche pubblicità e traccianti.

Hanno comunque delle limitazioni applicabili ed è possibile controllarli.

In questi casi essendo i servizi supplementari “non strettamente necessari alla formazioni” abbiamo delle limitazioni e degli accorgimenti da dover adottare per il loro utilizzo.

• OBBLIGATORIA una liberatoria dedicata ai servizi aggiuntivi.
• Il consenso deve essere chiesto esplicitamente per i servizi supplementari.
• E’ possibile chiedere il consenso anche per un gruppo di servizi (es. un unico consenso per Blogger, YouTube e Socratis), ma al genitore/docente deve essere data la lista dei servizi ed il genitore deve poter decidere, anche a posteriori, di far abilitare o disabilitare solo uno o alcuni di questi servizi aggiuntivi.
• L’informativa deve riportare chiaramente che i dati inseriti in questi servizi non verranno trattati dalla scuola, ma dal servizio e deve indicare la politica sulla privacy dei servizi così il genitore o il docente possono esprimere il loro consenso in maniera oculata.
• L’aggiunta di uno o più servizi successivamente obbliga a firmare una nuova liberatoria per i servizi aggiunti prima della loro attivazione e la conseguente attivazione solo agli utenti che effettivamente l’hanno firmata.
• Per questioni di sicurezza non è possibile attivare tutte le applicazioni aggiuntive da subito, ma vanno attivate solo quelle per cui c’è una reale necessità dato che non tutti i servizi sono adatti ad una scuola (come ad esempio Google ADS, Google Merchant, Google Domains ecc.)

Vengono trattati molti più dati personali rispetto ai servizi base (IP, cookie per profilazione pubblicitaria ecc.).

Questi servizi, senza limitazioni tecniche aggiuntive, non possono essere utilizzati da studenti minori di 14 anni.

3 – Applicazioni e siti web di terze parti

Le applicazioni di terze parte sono tutte quelle applicazioni, siti web e portali che non sono parte di Google Workspace / Microsoft 365.

Rientrano in questo ventaglio tantissime applicazioni anche di uso comune come:

• Microsoft Outlook, Mozilla Thunderbird, l’app posta di Windows
• L’app posta di iPhone, Mac o iPad
• Tutte le applicazioni con il tasto “Login con Google/Microsoft”
• Tutti i siti web con il tasto “Login con Google/Microsoft”

Queste applicazioni permettono il login utilizzando le credenziali della piattaforma, ma allo stesso tempo danno al proprietario dell’applicazione / sito web i dati dell’account.

L’utilizzo delle applicazioni di terze parti può risultare molto pericoloso e difficile da gestire, vanno valutate TUTTE le applicazioni in quanto quel clic “Login con Google/Microsoft” invia automaticamente i dati dell’utente al sito web.

La scuola non ha più alcun controllo dei dati e l’utente, inconsapevolmente, potrebbe inviare i propri dati anche a Società fuori dello Spazio Economico Europeo senza esserne pienamente consapevole.

Per questo motivo, se la scuola non ha messo in atto misure di controllo e Data Loss Prevention molto forti, l’utilizzo delle applicazioni di terze parti deve essere:

• Bloccato per tutti gli utenti al di sotto dei 18 anni.
• Creata una blacklist di siti e applicazioni comunque non utilizzabili.
• Richiesta liberatoria esplicita specifica per la singola applicazione ai genitori nel caso di studenti tra i 14 ed i 18 anni indicando la politica sulla privacy dell’applicazione e che la scuola non tratterà e non potrà controllare i dati trattati dalla singola applicazione.
• I minori di 14 anni non possono utilizzare le applicazioni di terze parti nemmeno con una liberatoria ad hoc (non possono per legge registrarsi con la propria email a questi servizi).

Come scelgo i servizi aggiuntivi e di terze parti?

Fai attenzione ai servizi aggiuntivi e di terze parti che si vogliono attivare, non tutti i servizi sono utilizzabili dagli studenti e molti di questi servizi hanno un età minima.

Quando stili la lista dei servizi che vuoi attivare puoi seguire queste semplici domande e chiedere un parere al tuo amministratore di sistema ed al DPO, ricordati che ogni servizio ha i suoi termini di servizi e le sue politiche sul trattamento dei dati, se queste politiche non sono in linea con il GDPR l’applicazione non può essere attivata.

• Come si chiama l’azienda proprietaria del servizio?
• Dove ha la sede?
• Il paese dove risiedono i server è all’interno della comunità europea?
• I server sono in un paese con accordo sulla circolazione dei dati con la Comunità Europea?
• Qual’è l’età minima per usufruire del servizio? Molti servizi non consentono neanche con una liberatoria l’utilizzo ai minori di 14 anni, leggi bene.
• Quali sono i termini di utilizzo?
• Qual’è la politica sulla privacy?
• È opportuno stilare una DPIA per il servizio aggiuntivo o di terze parti?

NB. Il parere del DPO è fondamentale se l’applicazione non rispetta i requisiti di trattamento dei dati essenziali per trattare i dati dei minori non puoi attivare l’applicazione.

NB2. Se l’applicazione ha i server in un paese al di fuori della comunità europea, oppure in un paese che non è alcun accordo di circolazione dei dati con la Comunità Europea è obbligatorio fare anche la TIA.

Limitazioni tecniche aggiuntive come pseudonimizzazione, anonimizzazione, controllo dei dati (DLP o altre tecniche di controllo dei dati) o customizzazione della piattaforma

Nel caso di una customizzazione forte della piattaforma con anonimizzazione/pseudonimizzazione e controllo dei dati forte (es. DLP, IDP, blocco traccianti o altre tecniche di controllo, limitazione e anonimizzazione dei dati inviati) anche valutare, l’attivazione di un “recinto di applicazioni terze parti autorizzate”

Misure come pseudonimizzazione, DLP, IDP, Browser gestito ecc. permettono di inviare all’applicazione di terze parti dati anonimizzati non riconducibili all’utente (dati di registrazione, ma soprattutto dati di traccianti).

Questo permette di creare una lista di applicazioni terze parti e di gestire i dati a cui hanno accesso in maniera profonda andando a quindi:

• Ad abbassare il rischio dovuto all’utilizzo di queste applicazioni.
• Ad alzare il controllo sui dati pubblicati anche su siti e applicazioni che normalmente non sarebbero controllabili.
• A permettere l’utilizzo, con le opportune limitazioni, di siti web ed applicazioni normalmente non utilizzabili anche per compliance GDPR (es. un sito web con sede in uno Stato che non ha un adeguato livello di sicurezza dei dati rispetto all’ UE sarebbe utilizzabile se la scuola può ridurre i dati inviati a questi siti a livelli accettabili)

Una soluzione del genere permette, previa valutazione del Titolare del trattamento e del DPO, di semplificare informative, liberatorie ed attivazione utilizzando un recinto virtuale di applicazioni terze parti controllabili autorizzate con una liberatoria singola.

Le piattaforme Microsoft e Google non permettono queste limitazioni in modo “classico” sono limitazioni e controlli che conviene valutare insieme ad un partner tecnico certificato della piattaforma (partner Google in caso di Google Workspace, partner Microsoft in caso di Microsoft 365).