La Danimarca mette al bando Google nelle scuole per timori di un rischio di trasferimento illecito di dati degli studenti. In particolare, saranno messi al bando Chromebooks e il Google Workspace, dopo un monitoraggio da parte delle autorità scolastiche di Helsingør che ha riscontrato rischi concreti nella gestione dei dati da parte delle soluzioni fornite da Google.
Lo scrive il sito specializzato TechCrunch, precisando che una sentenza della scorsa settimana da parte del Garante Privacy locale (Datatilsynet), ha reso noto che l’analisi dei dati degli studenti che usano la suite software della piattaforma Workspace, basata su cloud – che comprende Gmail, Google Docs, Calendar e Google Drive – “non risponde alle richieste” del GDPR.
Dati possono essere trasferiti in paesi extra Ue
In particolare, l’autorità danese ha riscontrato che il contratto per il trattamento dei dati – o i termini e le condizioni di Google – apparentemente consente il trasferimento dei dati ad altri paesi allo scopo di fornire supporto, anche se i dati sono normalmente archiviati in uno dei data center dell’UE di Google.
I laptop Chromebook di Google e, per estensione, Google Workspace, sono utilizzati nelle scuole di tutta la Danimarca. Ma Datatilsynet si è concentrata specificamente su Helsingør per la valutazione del rischio dopo che il comune ha segnalato una “violazione della sicurezza dei dati personali” nel 2020. Sebbene questa ultima sentenza si applichi tecnicamente solo alle scuole di Helsingør, per ora, Datatilsynet osserva che molte delle conclusioni a cui è giunta “probabilmente si applicherà ad altri comuni” che utilizzano Google Chromebook e Workspace. Ha aggiunto che si aspetta che questi altri comuni “prendano misure pertinenti” sulla base della decisione raggiunta a Helsingør.
Il divieto ha effetto immediato, ma Helsingør ha tempo fino al 3 agosto per cancellare i dati degli utenti.
Flussi di dati
Al centro della questione c’è l’ormai defunto scudo UE-USA per la privacy che regolamentava il modo in cui i dati possono essere condivisi tra l’UE e gli Stati Uniti. Sebbene in linea di principio sia stato concordato un nuovo accordo sul flusso di dati, non è ancora in vigore, il che ha lasciato molte organizzazioni nel limbo. Di conseguenza, le aziende Big Tech si affidano a clausole contrattuali standard per le loro pratiche di trattamento dei dati.
Un portavoce di Google ha detto a TechCrunch:
Sappiamo che gli studenti e le scuole si aspettano che la tecnologia che utilizzano sia legalmente conforme, responsabile e sicura. Ecco perché per anni Google ha investito in best practice sulla privacy e valutazioni diligenti dei rischi e ha reso la nostra documentazione ampiamente disponibile in modo che chiunque possa vedere come aiutiamo le organizzazioni a conformarsi al GDPR.
Le scuole possiedono i propri dati. Trattiamo i loro dati solo in conformità con i nostri contratti con loro. In Workspace for Education, i dati degli studenti non vengono mai utilizzati per scopi pubblicitari o altri scopi commerciali. Organizzazioni indipendenti hanno verificato i nostri servizi e manteniamo le nostre pratiche sotto costante revisione per mantenere i più alti standard possibili di sicurezza e conformità.
Altri prodotti di Google nel mirino in Europa
Quest’ultimo annuncio arriva dopo che i garanti locali in Francia, Italia e Austria hanno stabilito che i siti web che utilizzano Google Analytics per tracciare i visitatori violano le norme europee sulla privacy dei dati, dato che i dati personali vengono trasferiti negli Stati Uniti per l’elaborazione. E la Commissione irlandese per la protezione dei dati (DPC), nel frattempo, sta attualmente riflettendo su come la società madre di Facebook Meta stia trasferendo dati tra l’Europa e gli Stati Uniti, il che potrebbe influire sul modo in cui gli europei sono in grado di accedere a servizi come WhatsApp e Instagram.
Google ha rafforzato la privacy
Con i legislatori europei desiderosi di stabilire un maggiore grado di sovranità digitale, Google ha rafforzato la sua piattaforma e infrastruttura per garantire che le organizzazioni pubbliche e private rimangano con l’azienda. Alcuni mesi fa, Google ha annunciato che avrebbe lanciato nuovi “controlli sovrani” per gli utenti di Workspace in Europa, consentendo loro di “controllare, limitare e monitorare i trasferimenti di dati da e verso l’UE”.
Tuttavia, questi controlli non saranno resi disponibili fino alla fine di quest’anno, con ulteriori strumenti di controllo dei dati in arrivo per tutto il 2023. E in questa fase iniziale non è ancora chiaro se questi nuovi strumenti saranno a tenuta stagna in termini di conformità al GDPR.