Nel caso dell'utilizzo di Google Workspace nelle scuole primarie e secondarie inferiori, l'Agenzia danese per la protezione dei dati ritiene che non vi sia una base giuridica che legittimi l'invio dei dati personali a Google per tutti gli scopi per cui vengono attualmente divulgati. Pertanto, l'Agenzia danese per la protezione dei dati emette ora un ordine ai comuni per rendere il trattamento conforme alle norme e indica vari modi per farlo.
Dall'estate, l'Agenzia danese per la protezione dei dati ha esaminato l'ampio materiale presentato da KL per conto di 53 comuni nella causa sull'uso di Google Workspace nelle scuole, e su questa base ha preso una decisione che viene pubblicata oggi.
Il materiale ha ora fornito una descrizione approfondita degli aspetti chiave dell'uso del servizio da parte delle scuole e dell'uso dei dati da parte del fornitore. Si trattava di un prerequisito originale per l'avvio dell'elaborazione dei dati da parte dei comuni in Google Workspace, e le relative analisi avrebbero dovuto quindi essere disponibili prima dell'adozione degli strumenti. Questa mancanza di chiarimenti e le analisi incomplete sono state valutate e sanzionate nelle precedenti decisioni dell'Agenzia danese per la protezione dei dati contro i 53 comuni.
Nel materiale ora presentato, i comuni riconoscono che vengono divulgati dati personali che Google utilizza per i propri scopi. L'Agenzia danese per la protezione dei dati ha quindi valutato la legalità di queste divulgazioni e ha preso una decisione in merito a questa parte del caso, poiché il chiarimento di questo aspetto è un prerequisito per poter trattare i dati in generale. Allo stesso tempo, questo chiarimento pone le basi per una soluzione in cui i dati personali degli alunni possano essere trattati in futuro.
"Prima di iniziare a utilizzare uno strumento, in qualità di responsabile del trattamento dei dati, è necessario avere una visione d'insieme del modo in cui vengono trattati i dati personali in esso e documentarlo.Questo requisito si applica a tutte le organizzazioni.Ma quando si tratta di autorità pubbliche - dove noi cittadini non possiamo scegliere di non trattare i nostri dati - l'Agenzia danese per la protezione dei dati si aspetta in modo particolare che le analisi necessarie siano effettuate e documentate", afferma Allan Frank, specialista di sicurezza informatica e avvocato presso l'Agenzia danese per la protezione dei dati, e continua "La maggior parte dei prodotti IT standard oggi ha una base contrattuale molto complessa, che non solo offre molte possibilità di variazioni nel trattamento dei dati personali, ma ha anche una frequenza di modifica relativamente elevata.Ciò rende più difficile del necessario la conformità al GDPR per i responsabili del trattamento e le autorità, perché è facile perdere traccia di ciò che accade ai dati.Noi dell'Agenzia danese per la protezione dei dati chiediamo quindi che i contratti siano resi più trasparenti - non solo in relazione alla struttura del trattamento, ma anche alle conseguenze in caso di cambiamento delle circostanze relative alla consegna".
Ordine di legalizzazione della divulgazione
La conclusione della decisione dell'Agenzia danese per la protezione dei dati è che esiste una base legale per la divulgazione dei dati degli alunni allo scopo di fornire i servizi, migliorare la sicurezza e l'affidabilità dei servizi, comunicare con, tra gli altri, i comuni e rispettare gli obblighi di legge.
Tuttavia, emerge anche chiaramente come la normativa scolastica vigente non autorizzi i comuni a divulgare i dati degli alunni per la manutenzione e il miglioramento del servizio Google Workspace for Education, di ChromeOS e del browser Chrome, o per misurare le prestazioni e lo sviluppo di nuove funzionalità e servizi in ChromeOS e nel browser Chrome.
Pertanto, il Datatilsynet emette un ordine ai comuni per rendere il trattamento conforme alle norme, assicurando che vi sia una base giuridica per tutti i trattamenti effettivamente attuati. Ciò può essere fatto, ad esempio, mediante
- Che i comuni non forniscano più dati personali a Google per questi scopi. Ciò richiederà probabilmente che Google sviluppi una qualche soluzione tecnologica per evitare completamente l'invio ai propri server dei dati in questione.
- Google stessa si astiene dal trattare i dati per questi scopi.
- Che il Parlamento fornisca una solida base giuridica alla divulgazione per tali fini.
I Comuni devono conformarsi all'ordinanza a partire dal 1° agosto 2024, ma devono indicare come intendono conformarsi entro il 1° marzo.
"I servizi informatici oggi funzionano spesso in modo tale che la divulgazione dei dati personali è incorporata nel prodotto e che l'uso dei dati è spesso un prerequisito per realizzare il pieno beneficio delle funzionalità dei prodotti. Tuttavia, non sempre ciò avviene con sufficiente attenzione alla protezione dei cittadini i cui dati vengono utilizzati. Ma né la funzionalità delle soluzioni che si vogliono utilizzare, né la posizione di mercato del fornitore, né la struttura standardizzata o il semplice utilizzo di un prodotto standard possono giustificare il mancato rispetto delle norme sulla protezione dei dati che abbiamo deciso di adottare in Europa", afferma Allan Frank.
Quali parti della decisione sono in sospeso?
Sulla base del feedback dei comuni il 1° marzo 2024, l'Agenzia danese per la protezione dei dati informerà i comuni su quali ulteriori questioni specifiche - oltre alle modifiche già apportate e descritte nel materiale presentato - devono essere gestite prima della scadenza del 1° agosto 2024. Questa decisione parziale dipende dal modo in cui i comuni si conformeranno all'ordine sulla base per il trattamento delle suddette informazioni, e pertanto si tratta di un processo graduale.