Rispetto GDPR , violazione regolamento Europeo 2016/697

Buongiorno,
vorrei sapere se il modello di sito scolastico proposto da Designers Italia rispetta le direttive del GDPR. Negli ultimi tempi le scuole sono bersagliate da avvisi provenienti da monitoraPA (che si autodichiara come gruppo di attivisti per i diritti digitali) secondo i quali siti realizzati con WordPress invierebbero a Google, Amazon e altre organizzazioni extra-europee i dati dei visitatori, violando la privacy e tracciando gli utenti.
Grazie

Salve Francesca,

visto che nessuno ti ha risposto, provo io.

Immagino tu faccia riferimento a GitHub - italia/design-scuole-wordpress-theme: Tema Wordpress dedicato al progetto per i siti delle scuole

Ad una rapidissima analisi della prima demo, riscontro trasferimenti verso Google Analytics (Google LLC), Gravatar (Automattic Inc) e i server statunitensi di OpenStreetMaps (ottimo progetto, infinitamente migliore di Google Maps, ma da un punto di vista strettamente legale, per non violare il GDPR, dovrebbe utilizzare tile server europei, come viene mostrato ad esempio qui).

Non ho trovato video per verificare se vengano incorporati sul sito da fonti esterne extra-europee (ad esempio YouTube o Vimeo) o se vengano propriamente linkati attraverso exit pages dedicate che informino l’utente dei rischi della piattaforma di destinazione e offrano canali alternativi (ad esempio Invidious + Tor).
Inoltre mi risulta che l’inclusione di video PeerTube non sia al momento supportata.

Analogo discorso, nella pagina di singolo evento, per il link “+ Aggiungi a Google Calendar” e i link di condivisione verso LinkedIn, Twitter e Facebook che mancano di appropriata exit page.

Infine, dando uno sguardo al codice ho notato anche un link verso Google Maps privo di exit page qui.

Sia chiaro: una exit page non rimuove, di per sé, la violazione dell’articolo 28 comma 1 del GDPR da parte del Titolare. Se fatta bene, può però far passare l’azienda USA da Data Processor a Joint Controller: ad esempio, se all’utente viene spiegato perché usare un’istanza Invidious + Tor (niente pubblicità e più privacy) e lui comunque sceglie di andare su YouTube, a quel punto la sua scelta è libera ed informata e (se maggiorenne), decide liberamente di fornire i propri dati personali a Google.

Se poi il link a YouTube tramite exit page è solo una cortesia all’utente che proprio vuole farsi manipolare, ma non costituisce il canale principale per accedere al contenuto, è ragionevole sostenere che Google sia un titolare autonomo del trattamento cui il navigatore si rivolge intenzionalmente e per propria scelta.
Questa condizione però si verifica solo se l’eventuale video viene proposto al navigatore ANZITUTTO attraverso un canale alternativo non sorvegliato, come un mp4 incorporato con un tag <video> in locale oppure via PeerTube (tramite un’istanza europea, ovviamente).

Una exit page comunque riduce i danni subiti da studenti e insegnanti che non scelgono di usare comunque YouTube e preferiscono le alternative fornite.

Per approfondire gli aspetti giuridici ti posso suggerire la lettura di queste recenti raccomandazioni del EDPB:

Troverai particolarmente interessanti in ambito scolastico, pagina 18, 19 e 30, anche al di là del sito web: pensa ad esempio a Google Classroom, Google Drive etc…

1 Mi Piace

Ho spostato la risposta qui, in sintesi vedi la sentenza Schrems (ECJ 2020).