Privacy per informatici: introduzione
A cura di Lisa Frassinelli
1. Perché la privacy a scuola
La tematica privacy, a livello scolastico, si inserisce nel contesto della Cittadinanza digitale, ambito previsto dalle Linee guida per l’educazione civica. È importante per tutti gli indirizzi di studio, ma assume particolare rilievo nell’articolazione Informatica degli ITT, poiché oggi il trattamento dei dati personali avviene soprattutto tramite strumenti tecnologici, ai quali il GDPR, il Regolamento europeo attualmente di riferimento, dà ampio spazio.
Da qui è nata l’idea di affrontare la privacy e la relativa normativa secondo un percorso che porti gli studenti ad acquisire conoscenze, abilità e competenze via via crescenti nel corso del triennio di specializzazione informatico, parallelamente a quanto viene studiato nelle diverse discipline di indirizzo.
Dato che l’argomento in sé risulta trasversale alle varie materie, si presta ad essere affrontato in modo interdisciplinare, con il coinvolgimento non solo dei docenti di indirizzo tecnico, ma anche di altri insegnanti, in un’ottica di orientamento alle competenze spendibile in futuri contesti lavorativi. La tematica proposta si presta infatti non solo a essere inserita nell’ambito dell’Educazione Civica, ma anche a essere considerata come strumento per l’orientamento e il rafforzamento del legame con il mondo del lavoro.
Risulta utile osservare che, oltre agli aspetti tecnici e pratici che si possono proporre riguardo alla privacy, l’integrazione di spunti che derivano da altri ambiti, quali cinema, letteratura o altri, può contribuire a stimolare negli studenti curiosità e partecipazione verso temi che, di per sé, potrebbero risultare astratti e complicati.
Da qui è nata l’idea di affrontare la privacy e la relativa normativa secondo un percorso che porti gli studenti ad acquisire conoscenze, abilità e competenze via via crescenti nel corso del triennio di specializzazione informatico, parallelamente a quanto viene studiato nelle diverse discipline di indirizzo.
Dato che l’argomento in sé risulta trasversale alle varie materie, si presta ad essere affrontato in modo interdisciplinare, con il coinvolgimento non solo dei docenti di indirizzo tecnico, ma anche di altri insegnanti, in un’ottica di orientamento alle competenze spendibile in futuri contesti lavorativi. La tematica proposta si presta infatti non solo a essere inserita nell’ambito dell’Educazione Civica, ma anche a essere considerata come strumento per l’orientamento e il rafforzamento del legame con il mondo del lavoro.
Risulta utile osservare che, oltre agli aspetti tecnici e pratici che si possono proporre riguardo alla privacy, l’integrazione di spunti che derivano da altri ambiti, quali cinema, letteratura o altri, può contribuire a stimolare negli studenti curiosità e partecipazione verso temi che, di per sé, potrebbero risultare astratti e complicati.
2. Cenni storici e importanza della normativa europea
La storia della privacy è un percorso complesso e in continua evoluzione, che, da una semplice nozione di riservatezza, presente già nell’antica Grecia, è diventata oggi un diritto fondamentale, riconosciuto a livello internazionale, che mira a tutelare l'individuo in tutte le sue dimensioni, anche digitali.
In questa ottica si pone la principale normativa di riferimento a livello europeo: il Regolamento UE 2016/679, meglio conosciuto come GDPR (‘General Data Protection Regulation’). Questo Regolamento è entrato in vigore nel maggio 2018 con l’obiettivo di uniformare la protezione dei dati in tutta l'Unione Europea, in considerazione della precedente frammentazione a livello dei singoli Stati e della necessità di un adeguamento normativo che tenesse conto del veloce e sempre più diffuso sviluppo tecnologico.
La portata del GDPR è molto ampia, si applica infatti a qualsiasi organizzazione che offra beni o servizi a cittadini dell’UE, trattandone di conseguenza i dati personali: questo vale sia che l’organizzazione abbia sede all’interno dell’Unione sia che la abbia in altri paesi.
La protezione dei dati personali nell’Unione Europea è garantita da un sistema di autorità che operano sia a livello nazionale che sovranazionale. In Italia è presente il Garante per la protezione dei dati personali (detto anche Garante Privacy), un'autorità amministrativa indipendente, che rappresenta il punto di riferimento nazionale per tutte le questioni che riguardano la privacy e vigila sul rispetto delle norme che tutelano i dati personali, assicurandosi che vengano trattati in modo lecito e corretto e applicando eventuali sanzioni (che col GDPR possono essere anche molto elevate) laddove riscontri violazioni. Si possono rivolgere al Garante Privacy tutti i cittadini che ritengono di aver subito un trattamento illecito dei propri dati.
Il sito del Garante Privacy, a cui faremo spesso riferimento per reperire varie informazioni fra cui, per esempio, il testo del Regolamento è https://www.garanteprivacy.it/home.
Per introdurre la privacy in classe, può essere utile fare riferimento a fatti eclatanti, come per esempio il caso Cambridge Analytica. Inoltre, coinvolgendo docenti di discipline non tecniche nell’ottica dell’interdisciplinarità, si potrebbe approfondire la struttura istituzionale dell'Unione Europea.
In questa ottica si pone la principale normativa di riferimento a livello europeo: il Regolamento UE 2016/679, meglio conosciuto come GDPR (‘General Data Protection Regulation’). Questo Regolamento è entrato in vigore nel maggio 2018 con l’obiettivo di uniformare la protezione dei dati in tutta l'Unione Europea, in considerazione della precedente frammentazione a livello dei singoli Stati e della necessità di un adeguamento normativo che tenesse conto del veloce e sempre più diffuso sviluppo tecnologico.
La portata del GDPR è molto ampia, si applica infatti a qualsiasi organizzazione che offra beni o servizi a cittadini dell’UE, trattandone di conseguenza i dati personali: questo vale sia che l’organizzazione abbia sede all’interno dell’Unione sia che la abbia in altri paesi.
La protezione dei dati personali nell’Unione Europea è garantita da un sistema di autorità che operano sia a livello nazionale che sovranazionale. In Italia è presente il Garante per la protezione dei dati personali (detto anche Garante Privacy), un'autorità amministrativa indipendente, che rappresenta il punto di riferimento nazionale per tutte le questioni che riguardano la privacy e vigila sul rispetto delle norme che tutelano i dati personali, assicurandosi che vengano trattati in modo lecito e corretto e applicando eventuali sanzioni (che col GDPR possono essere anche molto elevate) laddove riscontri violazioni. Si possono rivolgere al Garante Privacy tutti i cittadini che ritengono di aver subito un trattamento illecito dei propri dati.
Il sito del Garante Privacy, a cui faremo spesso riferimento per reperire varie informazioni fra cui, per esempio, il testo del Regolamento è https://www.garanteprivacy.it/home.
Per introdurre la privacy in classe, può essere utile fare riferimento a fatti eclatanti, come per esempio il caso Cambridge Analytica. Inoltre, coinvolgendo docenti di discipline non tecniche nell’ottica dell’interdisciplinarità, si potrebbe approfondire la struttura istituzionale dell'Unione Europea.
3. I principi del GDPR
Il GDPR si basa su alcuni principi basilari che devono guidare le organizzazioni nel trattare dati personali: sono stati concepiti per garantire una tutela adeguata a ogni individuo e possono essere considerati come il fulcro intorno al quale si sviluppano i vari punti del Regolamento.
Fra questi si hanno: liceità (ogni trattamento di dati personali deve avere una base giuridica valida), trasparenza, limitazione della finalità e della conservazione, minimizzazione dei dati (questi tre comportano che i dati personali debbano essere trattati solo per scopi specifici e ben chiari, solo nella misura strettamente necessaria per tali scopi, senza eccessi e solo per il tempo strettamente necessario a raggiungere lo scopo per cui sono stati raccolti), riservatezza e integrità.
Già da una prima panoramica, si può notare quanto sia importante l’apporto informatico, affinché un’azienda possa essere in grado di rispettare molti di questi principi.
Già da una prima panoramica, si può notare quanto sia importante l’apporto informatico, affinché un’azienda possa essere in grado di rispettare molti di questi principi.
4. Dati e trattamenti
Al centro del GDPR si ha il dato personale, definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); […], con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (Art. 4 del Regolamento UE 2016/679 - GDPR). In pratica, vi rientrano tutte le informazioni che, direttamente o indirettamente, possono condurre all'identificazione di un individuo.
Il GDPR tratta poi in modo specifico le “categorie particolari di dati personali […] che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona” (art. 9 del GDPR). Questa tipologia di dati comprende informazioni particolarmente “delicate” sull’individuo, che necessitano di un grado di protezione molto elevato.
Un altro concetto chiave del GDPR è quello di trattamento, che arriva a comprendere ogni singola operazione che può essere fatta con i dati personali. Si tratta di un concetto di particolare rilievo in quanto l'intero Regolamento si applica proprio a ciò che viene definito come trattamento. Inoltre, non tutti i trattamenti o tutti i tipi di dati sono analoghi per quanto riguarda l’applicazione del GDPR: le misure di protezione che devono essere effettivamente implementate variano in base al contesto, applicando il principio di accountability (responsabilizzazione): spetta a chi tratta i dati individuare e adottare le misure tecniche e organizzative appropriate, che siano proporzionate al tipo di dati e alla natura, all’ambito, al contesto e alle finalità del trattamento stesso.
Il GDPR tratta poi in modo specifico le “categorie particolari di dati personali […] che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona” (art. 9 del GDPR). Questa tipologia di dati comprende informazioni particolarmente “delicate” sull’individuo, che necessitano di un grado di protezione molto elevato.
Un altro concetto chiave del GDPR è quello di trattamento, che arriva a comprendere ogni singola operazione che può essere fatta con i dati personali. Si tratta di un concetto di particolare rilievo in quanto l'intero Regolamento si applica proprio a ciò che viene definito come trattamento. Inoltre, non tutti i trattamenti o tutti i tipi di dati sono analoghi per quanto riguarda l’applicazione del GDPR: le misure di protezione che devono essere effettivamente implementate variano in base al contesto, applicando il principio di accountability (responsabilizzazione): spetta a chi tratta i dati individuare e adottare le misure tecniche e organizzative appropriate, che siano proporzionate al tipo di dati e alla natura, all’ambito, al contesto e alle finalità del trattamento stesso.
5. Ruoli e figure in ambito privacy
Nel GDPR, si individuano i ruoli chiave per la privacy, per ciascuno sono delineati responsabilità, compiti e obblighi specifici riguardo al trattamento dei dati personali. Oltre all’interessato (cioè la “persona fisica identificata o identificabile”), il Regolamento presenta il Titolare del trattamento come “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e il Responsabile del trattamento come “la persona fisica o giuridica, […] che tratta dati personali per conto del titolare del trattamento”. Inoltre, emerge la figura dell’Autorizzato al trattamento, ossia un soggetto interno all’organizzazione, che effettua materialmente le operazioni di trattamento sui dati personali, lavorando alle dipendenze del titolare o del responsabile, secondo le istruzioni ricevute da questi.
Infine, di particolare importanza è il DPO (Data Protection Officer o in italiano, Responsabile della Protezione dei Dati), che, se presente, ha il compito di “informare e fornire consulenza […] in merito agli obblighi derivanti dal presente regolamento”, “sorvegliare l'osservanza del presente regolamento […] compresi la formazione del personale […]”, “cooperare con l'autorità di controllo”, “fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento […]”.
Parlando di ruoli e figure, si può pensare, in ottica interdisciplinare, di collegarsi alla letteratura. Vari autori, infatti, possono fornire spunti di riflessione in questa direzione; uno fra tanti, per esempio, Luigi Pirandello.
Infine, di particolare importanza è il DPO (Data Protection Officer o in italiano, Responsabile della Protezione dei Dati), che, se presente, ha il compito di “informare e fornire consulenza […] in merito agli obblighi derivanti dal presente regolamento”, “sorvegliare l'osservanza del presente regolamento […] compresi la formazione del personale […]”, “cooperare con l'autorità di controllo”, “fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento […]”.
Parlando di ruoli e figure, si può pensare, in ottica interdisciplinare, di collegarsi alla letteratura. Vari autori, infatti, possono fornire spunti di riflessione in questa direzione; uno fra tanti, per esempio, Luigi Pirandello.
6. I diritti degli interessati (ossia… delle persone)
Il GDPR dedica un’attenzione particolare ai diritti dell’interessato, ponendoli, insieme ai principi, come elemento cardine del Regolamento stesso: di fatto, il rispetto di questi ultimi porta a garantire i diritti dell’interessato e ciò costituisce il nucleo su cui il GDPR stesso si fonda e si sviluppa, attuandosi in primis attraverso il principio di accountability, che approfondiremo nel successivo articolo e webinar.
I diritti sono, in sostanza, gli strumenti indispensabili per garantire una piena tutela della privacy dell’individuo e che gli consentono di mantenere un controllo effettivo sui propri dati personali, attraverso una serie di attività che vanno dall’informazione chiara e trasparente che il titolare è obbligato a fornirgli riguardo ai trattamenti effettuati, fino ad azioni che l’interessato può richiedere, e ottenere riguardo ai propri dati. Tutto questo si può rilevare analizzando i principi stessi direttamente dal sito del Garante:
https://www.garanteprivacy.it/i-miei-diritti
Inoltre, il GDPR stabilisce che l’esercizio dei diritti da parte dell’interessato deve essere reso agevole e che il titolare deve fornire risposte chiare, trasparenti, semplici, accessibili e tempestive.
Infine, in questo ambito rientrano le informative, che i titolari sono obbligati a fornire agli individui per renderli edotti sui trattamenti riguardanti i loro dati, e che contengono tutte le principali informazioni su di essi.
I diritti sono, in sostanza, gli strumenti indispensabili per garantire una piena tutela della privacy dell’individuo e che gli consentono di mantenere un controllo effettivo sui propri dati personali, attraverso una serie di attività che vanno dall’informazione chiara e trasparente che il titolare è obbligato a fornirgli riguardo ai trattamenti effettuati, fino ad azioni che l’interessato può richiedere, e ottenere riguardo ai propri dati. Tutto questo si può rilevare analizzando i principi stessi direttamente dal sito del Garante:
https://www.garanteprivacy.it/i-miei-diritti
Inoltre, il GDPR stabilisce che l’esercizio dei diritti da parte dell’interessato deve essere reso agevole e che il titolare deve fornire risposte chiare, trasparenti, semplici, accessibili e tempestive.
Infine, in questo ambito rientrano le informative, che i titolari sono obbligati a fornire agli individui per renderli edotti sui trattamenti riguardanti i loro dati, e che contengono tutte le principali informazioni su di essi.
7. Cenni ad altri aspetti importanti
Vale la pena accennare ad altri due aspetti trattati nel GDPR, particolarmente rilevanti per chi si occupa di informatica: prima di tutto il trasferimento di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo, sul quale il Regolamento pone delle forti limitazioni, ammettendolo solo in particolari situazioni. Questo è un tema di grande rilevanza ed attualità, considerando che i servizi in cloud, così diffusi oggi, comportano che il trattamento dei dati avvenga nella ‘nuvola’ e la dislocazione fisica dei data center che la ospitano potrebbe rientrare in questa casistica.
L’altro aspetto riguarda il data breach, la violazione dei dati personali, cioè qualsiasi evento che comprometta la riservatezza, l’integrità o la disponibilità dei dati, indipendentemente dalle cause che l’hanno generato: lo sono furti di dati o attacchi hacker sofisticati e su larga scala, ma possono esserlo anche eventi meno eclatanti, che avvengono per cause più semplici e comuni, spesso legate a errori umani, a scarsa attenzione o a processi interni non adeguati, come lo smarrimento o il furto di un dispositivo non protetto.
Il GDPR pone l'obbligo per il Titolare di notificare i data breach al Garante per la Protezione dei Dati entro 72 ore dal momento in cui ne è venuto a conoscenza, fornendo anche ulteriori informazioni di dettaglio.
Per proteggersi da possibili violazioni dei dati, le aziende devono implementare misure di sicurezza tecniche e organizzative adeguate, in piena applicazione del principio di accountability: nel successivo articolo e webinar riprenderemo questo aspetto.
Infine, per concludere una prima panoramica sul GDPR, è importante considerare che il titolare, in piena applicazione del concetto di accountability, deve anche tenere un registro delle operazioni di trattamento dei dati personali in essere presso la propria organizzazione (con poche eccezioni): questo deve essere dettagliato (deve contenere tutte le principali informazioni sui dati e relativi trattamenti), chiaro, esaustivo e aggiornato. Il registro dei trattamenti può inoltre essere considerato come la base da cui vengono estratte le informazioni per vari documenti relativi alla protezione dei dati personali, come le informative da fornire agli interessati e le nomine degli autorizzati al trattamento.
La compilazione del registro dei trattamenti potrebbe essere un’attività da proporre in classe, dividendola in gruppi e facendo analizzare in dettaglio ad ognuno di questi un tipo di trattamento che potrebbe venire loro in mente. Questo può anche costituire il punto di partenza per attività più specifiche, che saranno affrontate nel successivo articolo e webinar.
Sul sito del Garante privacy è disponibile un’ampia sezione sul registro dei trattamenti, con anche FAQ e un modello semplificato:
https://www.garanteprivacy.it/registro-delle-attivita-di-trattamento
L’altro aspetto riguarda il data breach, la violazione dei dati personali, cioè qualsiasi evento che comprometta la riservatezza, l’integrità o la disponibilità dei dati, indipendentemente dalle cause che l’hanno generato: lo sono furti di dati o attacchi hacker sofisticati e su larga scala, ma possono esserlo anche eventi meno eclatanti, che avvengono per cause più semplici e comuni, spesso legate a errori umani, a scarsa attenzione o a processi interni non adeguati, come lo smarrimento o il furto di un dispositivo non protetto.
Il GDPR pone l'obbligo per il Titolare di notificare i data breach al Garante per la Protezione dei Dati entro 72 ore dal momento in cui ne è venuto a conoscenza, fornendo anche ulteriori informazioni di dettaglio.
Per proteggersi da possibili violazioni dei dati, le aziende devono implementare misure di sicurezza tecniche e organizzative adeguate, in piena applicazione del principio di accountability: nel successivo articolo e webinar riprenderemo questo aspetto.
Infine, per concludere una prima panoramica sul GDPR, è importante considerare che il titolare, in piena applicazione del concetto di accountability, deve anche tenere un registro delle operazioni di trattamento dei dati personali in essere presso la propria organizzazione (con poche eccezioni): questo deve essere dettagliato (deve contenere tutte le principali informazioni sui dati e relativi trattamenti), chiaro, esaustivo e aggiornato. Il registro dei trattamenti può inoltre essere considerato come la base da cui vengono estratte le informazioni per vari documenti relativi alla protezione dei dati personali, come le informative da fornire agli interessati e le nomine degli autorizzati al trattamento.
La compilazione del registro dei trattamenti potrebbe essere un’attività da proporre in classe, dividendola in gruppi e facendo analizzare in dettaglio ad ognuno di questi un tipo di trattamento che potrebbe venire loro in mente. Questo può anche costituire il punto di partenza per attività più specifiche, che saranno affrontate nel successivo articolo e webinar.
Sul sito del Garante privacy è disponibile un’ampia sezione sul registro dei trattamenti, con anche FAQ e un modello semplificato:
https://www.garanteprivacy.it/registro-delle-attivita-di-trattamento
8. Prima attività pratica: un Compito di realtà sulla privacy
Come semplice applicazione pratica, proponiamo un Compito di realtà che consiste in un gioco di ruolo da svolgere a gruppi, che riguarda i ruoli privacy e i principali concetti visti sul GDPR: oltre ai numerosi aspetti positivi che questa tecnica presenta, l’attività ludica risulta molto efficace per consolidare quanto appreso applicandolo direttamente a una situazione reale, utile considerando che gli argomenti in esame risultano spesso astratti per gli studenti.
In pratica, l’attività consiste nel suddividere la classe in gruppi e far mettere in scena a ciascun gruppo una situazione reale (pensata dal gruppo stesso) in cui ci sia un trattamento di dati personali ed emerga una qualche problematica; per esempio, il mancato rispetto di principi del GDPR o di diritti dell’interessato o anche, considerando aspetti più particolari, il verificarsi di un data breach (che comporta la notifica al Garante Privacy da parte del titolare con intervento anche del DPO e possibile comunicazione agli interessati) o l’utilizzo di servizi in cloud con trasferimento dati verso paesi terzi. Ogni studente del gruppo dovrà interpretare uno dei principali ruoli privacy visti e mettere in scena ciò che potrebbe realmente accadere, immedesimandosi nel ruolo.
In pratica, l’attività consiste nel suddividere la classe in gruppi e far mettere in scena a ciascun gruppo una situazione reale (pensata dal gruppo stesso) in cui ci sia un trattamento di dati personali ed emerga una qualche problematica; per esempio, il mancato rispetto di principi del GDPR o di diritti dell’interessato o anche, considerando aspetti più particolari, il verificarsi di un data breach (che comporta la notifica al Garante Privacy da parte del titolare con intervento anche del DPO e possibile comunicazione agli interessati) o l’utilizzo di servizi in cloud con trasferimento dati verso paesi terzi. Ogni studente del gruppo dovrà interpretare uno dei principali ruoli privacy visti e mettere in scena ciò che potrebbe realmente accadere, immedesimandosi nel ruolo.
Fasi del compito di realtà:
- Introduzione: spiegare agli alunni l’attività da svolgere e l’importanza di immaginarsi un contesto reale, che può essere vicino alla loro vita di tutti i giorni, cercando di coinvolgerli e motivarli.
- Formazione dei gruppi: suddividere la classe in gruppi di 4-5 studenti ciascuno.
- Individuazione degli scenari: chiedere a ciascun gruppo di individuare uno scenario, cioè il contesto reale in cui si svolgerà l’attività (per esempio, una palestra, un negozio di vestiti, un sito di e-commerce, …), controllando possibilmente che ogni gruppo ne abbia individuato uno diverso, in modo da evitare duplicazioni.
- Assegnazione dei ruoli: chiedere che gli studenti in ogni gruppo si assegnino i vari ruoli privacy: ci dovranno essere almeno un interessato, un titolare, un autorizzato e un DPO.
- Creazione della situazione: ogni gruppo pensa a una situazione da mettere in scena, in cui sia evidente una possibile violazione in termini di privacy; gli studenti dovranno prepararla interpretando ciascuno il proprio ruolo e difendendo le posizioni che questo comporta (per esempio, l’interessato cercherà di proteggere i propri dati, il titolare del trattamento potrebbe pensarla diversamente, e così via).
- Messa in scena: ogni gruppo presenta la propria situazione alla classe, interpretandola. Può essere utile un momento di feedback alla fine di ogni presentazione.
- Conclusioni: alla fine di tutte le presentazioni, si può stimolare la classe a discutere e riflettere criticamente sull'esperienza svolta. In questo modo, il gioco di ruolo si trasforma, da semplice attività ludica, in un potente strumento di apprendimento.
9. Seconda attività pratica: un’app sotto la lente
Proponiamo una seconda semplice attività pratica, che consiste nella verifica delle impostazioni privacy di un’app, attività che risulta coinvolgente per gli studenti in quanto li aiuta a rendere concreti i concetti del GDPR applicandoli a servizi che utilizzano quotidianamente.
A questo proposito, è utile sapere che il sito del Garante Privacy mette a disposizione una pagina di contenuti e suggerimenti relativi alle app, in continuo aggiornamento: https://www.garanteprivacy.it/temi/internet-e-nuove-tecnologie/app.
Per lo svolgimento dell’attività, che può essere fatto in classe o a casa, si richiede a ogni studente di scegliere un’app o un servizio web a cui siano registrati e con i quali pertanto si configuri un trattamento di dati personali dello studente stesso: il lavoro consiste nel verificare le impostazioni relative alla privacy, preferibilmente compilando un’apposita checklist guidata, contenente alcuni punti chiave relativi ad esse.
L’obiettivo è quello di far comprendere agli studenti l’importanza di porre attenzione a tali impostazioni e quanto queste influenzino la gestione dei loro dati personali.
Come introduzione all’attività, è opportuno riprendere i concetti del GDPR che si intendono verificare, spiegando agli studenti che ogni app o servizio che contiene dati personali presenta delle impostazioni di privacy che permettono di controllare quali dati vengono raccolti, come vengono usati, chi può vederli, eccetera e sottolineando l’importanza di controllare queste impostazioni e di non fidarsi ciecamente di quelle predefinite, che possono non garantire un livello adeguato di protezione sui dati.
Come esempio di questa attività, consideriamo WhatsApp, sia come app sia nella versione on-line (sono riportati screenshot relativi a entrambe).
Si può iniziare verificando impostazioni semplici, alla portata degli studenti, in modo da coinvolgerli nell’attività, per poi andare ad affrontare aspetti più complessi.
Primo esempio semplice: verificare se è possibile disabilitare la rilevazione della posizione in tempo reale
Dalle impostazioni (le immagini sono riferite all’app), si raggiunge la sezione Privacy:
In questa pagina si possono visualizzare e configurare le varie impostazioni relative alla privacy, fra cui Posizione in tempo reale, in cui si vede che è consentito scegliere fra varie opzioni, per cui si può effettivamente disabilitarne la rilevazione:
A questo proposito, è utile sapere che il sito del Garante Privacy mette a disposizione una pagina di contenuti e suggerimenti relativi alle app, in continuo aggiornamento: https://www.garanteprivacy.it/temi/internet-e-nuove-tecnologie/app.
Per lo svolgimento dell’attività, che può essere fatto in classe o a casa, si richiede a ogni studente di scegliere un’app o un servizio web a cui siano registrati e con i quali pertanto si configuri un trattamento di dati personali dello studente stesso: il lavoro consiste nel verificare le impostazioni relative alla privacy, preferibilmente compilando un’apposita checklist guidata, contenente alcuni punti chiave relativi ad esse.
L’obiettivo è quello di far comprendere agli studenti l’importanza di porre attenzione a tali impostazioni e quanto queste influenzino la gestione dei loro dati personali.
Come introduzione all’attività, è opportuno riprendere i concetti del GDPR che si intendono verificare, spiegando agli studenti che ogni app o servizio che contiene dati personali presenta delle impostazioni di privacy che permettono di controllare quali dati vengono raccolti, come vengono usati, chi può vederli, eccetera e sottolineando l’importanza di controllare queste impostazioni e di non fidarsi ciecamente di quelle predefinite, che possono non garantire un livello adeguato di protezione sui dati.
Come esempio di questa attività, consideriamo WhatsApp, sia come app sia nella versione on-line (sono riportati screenshot relativi a entrambe).
Si può iniziare verificando impostazioni semplici, alla portata degli studenti, in modo da coinvolgerli nell’attività, per poi andare ad affrontare aspetti più complessi.
Primo esempio semplice: verificare se è possibile disabilitare la rilevazione della posizione in tempo reale
Dalle impostazioni (le immagini sono riferite all’app), si raggiunge la sezione Privacy:
In questa pagina si possono visualizzare e configurare le varie impostazioni relative alla privacy, fra cui Posizione in tempo reale, in cui si vede che è consentito scegliere fra varie opzioni, per cui si può effettivamente disabilitarne la rilevazione:
Esempi più complessi: analizzando l’Informativa privacy, verificare come vengono gestiti vari aspetti del GDPR, come i dati trattati, i diritti degli interessati, i principi
Dalle impostazioni (le immagini sono riferite alla versione web), si raggiunge la sezione Assistenza e feedback, da cui si può accedere alla parte relativa a Termini e Informativa sulla privacy, da cui si entra nella pagina relativa alle Informazioni legali su WhatsApp, in cui si trovano molti aspetti importanti per la protezione dei dati personali. Qui, in particolare, analizziamo l’Informativa sulla privacy:
Nell’Informativa, si possono esaminare alcuni punti che sono stati trattati riguardo al GDPR, per esempio, si può vedere (si riporta solo l’estratto iniziale della pagina relativa):
- quali informazioni sono raccolte:
- come sono gestiti i diritti degli interessati:
- dettagli e basi giuridiche per il trattamento (legati ai principi del GDPR):
A conclusione dell’attività, si possono fare alcune considerazioni confrontando i risultati emersi su una stessa app esaminata da più studenti oppure quelli relativi ad app diverse e in questo caso, analizzando i risultati, arrivare a stilare una classifica di queste in base alla loro conformità al GDPR.
È importante tener presente che in questo lavoro il focus è sulla consapevolezza, non sulla “soluzione perfetta”. Non si intende rendere gli studenti esperti di privacy, ma far maturare in loro la sensibilità verso la protezione dei dati personali: oggi solo i propri, ma in futuro, da professionisti, anche quelli altrui che si potrebbero trovare a trattare.
Dalle impostazioni (le immagini sono riferite alla versione web), si raggiunge la sezione Assistenza e feedback, da cui si può accedere alla parte relativa a Termini e Informativa sulla privacy, da cui si entra nella pagina relativa alle Informazioni legali su WhatsApp, in cui si trovano molti aspetti importanti per la protezione dei dati personali. Qui, in particolare, analizziamo l’Informativa sulla privacy:
Nell’Informativa, si possono esaminare alcuni punti che sono stati trattati riguardo al GDPR, per esempio, si può vedere (si riporta solo l’estratto iniziale della pagina relativa):
- quali informazioni sono raccolte:
- come sono gestiti i diritti degli interessati:
- dettagli e basi giuridiche per il trattamento (legati ai principi del GDPR):
A conclusione dell’attività, si possono fare alcune considerazioni confrontando i risultati emersi su una stessa app esaminata da più studenti oppure quelli relativi ad app diverse e in questo caso, analizzando i risultati, arrivare a stilare una classifica di queste in base alla loro conformità al GDPR.
È importante tener presente che in questo lavoro il focus è sulla consapevolezza, non sulla “soluzione perfetta”. Non si intende rendere gli studenti esperti di privacy, ma far maturare in loro la sensibilità verso la protezione dei dati personali: oggi solo i propri, ma in futuro, da professionisti, anche quelli altrui che si potrebbero trovare a trattare.
10. Conclusioni
In sintesi, il GDPR ha introdotto un cambiamento radicale nell'approccio alla protezione dei dati, ponendo il focus sulla responsabilizzazione delle organizzazioni e sul rafforzamento dei diritti degli individui, con l'obiettivo di garantire una maggiore trasparenza e un maggior controllo sul trattamento delle informazioni personali nell'era digitale. Pertanto, la conoscenza del GDPR risulta essere una base fondamentale per chiunque voglia diventare un professionista nell'ambito informatico e sistemistico.
Risorse e strumenti utilizzati
Immagine del gioco di ruolo: generata con Gemini ed elaborata con Photoshop.
App: WhatsApp per android e web.
Sito del Garante privacy
Risorse e strumenti utilizzati
Immagine del gioco di ruolo: generata con Gemini ed elaborata con Photoshop.
App: WhatsApp per android e web.
Sito del Garante privacy
