Il Garante della privacy danese, il Datatilsynet, lo scorso 14 luglio ha pubblicato una decisione in merito all’utilizzo della Suite Workspace di Google nelle scuole del comune di Helsingør – noto ai più per l’ambientazione dell’Amleto di Shakespeare – in quello che, mi si perdoni il gioco di parole, potrebbe ben presto configurarsi come un caso di scuola.
In particolare, l’Autorità ha rilevato che il Data Processing Agreement (DPA) – l’accordo per il trattamento dei dati personali ovverosia i termini e le condizioni di Google – apparentemente consente il trasferimento dei dati in altri paesi allo scopo di fornire supporto, sebbene i dati siano normalmente archiviati in uno dei data center europei di proprietà di Google e tutto questo non è conforme alla normativa del GDPR.
La vicenda ha avuto inizio nel 2020 con una valutazione del rischio sollecitata ai funzionari del comune di Helsingør in seguito alla segnalazione di una “violazione della sicurezza dei dati personali”.
Giacché i laptop Chromebook di Google e l’intera suite di Google Workspace, che include Gmail, Google Drive, Google Docs, traduttore, Google Calendar…sono utilizzati in tutte le scuole della Danimarca, anche se il provvedimento in esame ha valenza esclusivamente nel caso di specie, lo stesso Datatilsynet ha specificato che ben presto la decisione troverà applicazione in tutti gli istituti scolastici danesi.
Nel frattempo la decisione ha obbligato il comune di Helsingør di cancellare i dati degli utenti entro il prossimo 3 agosto.
Al portale TechCrunch un portavoce di Google ha dichiarato che dopo che la Corte di Giustizia dell’UE, con la sentenza C-311/18 (Schrems II), ha invalidato nel 2020 lo scudo privacy UE-USA, il famigerato “EU-US Privacy Shield”, non essendo ancora valido il nuovo accordo, le BigTech hanno gioco forza dovuto ricorrere a clausole contrattuali standard.
In particolare, egli ha puntualizzato “Sappiamo che gli studenti e le scuole si aspettano che la tecnologia che usano sia legalmente conforme, responsabile e sicura. Ecco perché per anni Google ha investito in best practice sulla privacy e valutazioni del rischio…le scuole possiedono i propri dati. Trattiamo i loro dati solo in conformità con i nostri contratti con loro. In Workspace for Education, i dati degli studenti non vengono mai utilizzati per scopi pubblicitari o altri scopi commerciali”.
Contro il crescente desiderio degli Stati di tentare – purtroppo sovente invano – di ristabilire una sorta di sovranità digitale dei dati, Google ha avviato un piano di rafforzamento della propria piattaforma e dell’infrastruttura allo scopo di permettere agli utenti, privati o aziendali che siano, di poter controllare, limitare e monitorare costantemente i trasferimenti di dati da e verso l’Unione Europea. Tutto questo però vedrà la luce tra la fine del 2022 e l’inizio del 2023 e non vi sono oggigiorno garanzie di conformità ai dettami del GDPR.
