La Danimarca bandisce Gmail e Co dalle scuole per problemi di privacy.
L'autorità danese per la protezione dei dati segue le autorità olandesi e tedesche sollevando dubbi sulla conformità di Google al GDPR.
La posta elettronica e il cloud di Google “non soddisfano i requisiti”.
La privacy degli alunni deve essere protetta
In una dichiarazione pubblicata a metà luglio, l’agenzia danese per la protezione dei dati esprime “serie critiche e vieta … l’uso di Google Workspace”.
Sulla base di una valutazione dei rischi per il Comune di Helsingør, l’autorità per la protezione dei dati ha concluso che il trattamento dei dati personali degli alunni non soddisfa i requisiti del GDPR e deve quindi cessare.
Il divieto ha effetto immediato. Helsingør ha tempo fino al 3 agosto per cancellare i dati degli alunni e iniziare a utilizzare una soluzione cloud alternativa.
”Il Comune di Helsingør ha fatto un ottimo e competente lavoro per mappare l’utilizzo dei dati personali nella scuola primaria, ma evidenzia anche i problemi legali di protezione dei dati che possono esserci con i modi di risolvere il compito delle grandi aziende tecnologiche”, afferma Allan Frank, specialista di sicurezza informatica e avvocato presso l’Autorità danese per la protezione dei dati.
Scudo per la privacy invalidato
Questa decisione segue quelle analoghe delle autorità olandesi e tedesche.
I problemi che le istituzioni governative si trovano ad affrontare sono iniziati con l’invalidazione del Privacy Shield nel 2020.
Il Privacy Shield è stato un accordo per il trasferimento di dati tra gli Stati Uniti e l’Unione Europea che avrebbe dovuto rendere legalmente possibile il trasferimento di dati tra i due paesi. Tuttavia, l’accordo è stato dichiarato nullo dalla Corte di giustizia europea (CGE) nel 2020 a causa di problemi di privacy.
Uno dei problemi principali evidenziati dalla Corte europea è che i dati degli stranieri non sono protetti negli Stati Uniti. Le protezioni esistenti - anche se limitate - si applicano solo ai cittadini statunitensi. La NSA può avere pieno accesso a tutti i dati di cittadini non statunitensi provenienti da aziende statunitensi in qualsiasi momento. Inoltre, le persone interessate non statunitensi non hanno diritti azionabili in tribunale contro le autorità statunitensi, il che viola l‘“essenza” di alcuni diritti fondamentali dell’UE, ha rilevato la Corte di giustizia europea.
L’accordo sul trattamento dei dati non è sufficiente
Dopo l’invalidazione del Privacy Shield, i servizi cloud americani hanno deciso di affidarsi ad accordi di trattamento dei dati con i loro clienti europei.
Tuttavia, questa pratica è molto contestata dagli esperti di privacy, soprattutto per quanto riguarda la sua legalità.
La dichiarazione rilasciata dall’autorità danese per la protezione dei dati lo dimostra ancora una volta. Il documento denuncia, tra le altre cose, che
”l’accordo sul trattamento dei dati stabilisce che le informazioni possono essere trasferite a Paesi terzi in situazioni di supporto senza il livello di sicurezza richiesto”.
La decisione riassume quattro questioni principali:
- Sospensione dell’elaborazione delle informazioni da parte del Comune di Helsingør nel caso in cui queste vengano trasferite a Paesi terzi senza il necessario livello di protezione.
- Un divieto generale di trattamento con Google Workspace fino a quando non sarà stata realizzata un’adeguata documentazione e un’analisi d’impatto e fino a quando il trattamento non sarà reso conforme al GDPR.
- Gravi critiche al trattamento dei dati personali da parte del Comune.
- Molte delle conclusioni di questa decisione si applicheranno probabilmente ad altri comuni che utilizzano la stessa struttura di trattamento. Ci si aspetta che questi comuni adottino le misure necessarie sulla base della decisione.
Google Analytics illegale anche in Europa
Quest’ultima decisione arriva dopo che gli organi di controllo della privacy in Francia e in Austria hanno stabilito che è illegale per i siti web europei utilizzare Google Analytics per tracciare i visitatori, a causa della violazione delle norme europee sulla privacy dei dati.
Anche in questo caso il problema è che i dati personali vengono trasferiti negli Stati Uniti per essere elaborati senza il consenso dei visitatori del sito web.
Conseguenze per le scuole danesi, olandesi e tedesche
In base alle dichiarazioni dei garanti della privacy danesi, olandesi e tedeschi, le scuole in Danimarca, nei Paesi Bassi e in Germania non possono utilizzare i servizi di posta elettronica o cloud di Google.
Sebbene le dichiarazioni dei garanti della privacy danesi, olandesi e tedeschi servano soprattutto a spingere le aziende tecnologiche americane ad aderire finalmente alle rigide normative europee sulla privacy, sarebbe molto preferibile avere una vera alternativa a Microsoft, Google e Apple. Questo è ciò che Tutanota sta costruendo in questo momento. Iniziata con le e-mail sicure, Tutanota offre oggi anche una rubrica criptata, un calendario criptato e il modulo di contatto criptato Secure Connect. Sono previste molte altre funzionalità, come un Drive criptato, e stimiamo che in pochi anni potremo offrire un Groupware criptato nel massimo rispetto della privacy degli utenti.
Alternativa europea
Le scuole europee possono ora aspettare che le Big Tech risolvano i loro problemi di privacy. Oppure possono iniziare a cercare alternative europee. Quest’ultima soluzione avrà un grande impatto positivo sull’Europa e sui cittadini europei nel loro complesso:
- Le imprese tecnologiche europee si rafforzano e possono creare un’alternativa alle Big Tech.
- I dati dei cittadini europei sono protetti in base al GDRP.
- I dati sono conservati in Europa e non vengono trasferiti.
Tutanota, ad esempio, ha tutte le carte in regola per proteggere i dati sensibili di alunni, insegnanti e genitori in una scuola europea. Molte scuole, soprattutto in Germania, utilizzano già Tutanota.
”In un ambiente aziendale molto sensibile, abbiamo scelto Tutanota tra vari programmi di crittografia. Tutanota colpisce per la sua estrema semplicità di applicazione. Anche i colleghi non tecnici possono crittografare gli allegati e i testi sensibili in conformità alle norme sulla protezione dei dati. Spiccano inoltre la semplicità di gestione, gli esperti immediatamente accessibili e sempre cordiali e il prezzo equo”, afferma Dietmar Kopp, Scuola Maria-Montessori.
Oltre a rispettare le severe norme sulla protezione dei dati, in Tutanota tutti i dati sono memorizzati in modo criptato su server tedeschi. In questo modo, Tutanota è in piena conformità con il GDPR.