6FiJiU8eHAs_80_RG_DX592_DY592Introduzione

Ripartiamo da dove eravamo rimasti, cioé dalle insidie derivanti dal binomio e-learning/Privacy. Anche oggi intervistiamo Stefano Posti, IT e Multimedia Manager di Projit, società di consulenza e formazione specializzata negli ambiti di Compliance aziendale, nostra  cliente e partner; Stefano si occupa di e-learning da anni, ma ha soprattutto esperienza negli ambiti relativi alla Sicurezza sul lavoro e alla Privacy.

Massimiliano:

Tornando agli aspetti di Privacy e report di dettaglio degli accessi dei quali avevi parlato nel forum, spesso i clienti che usano piattaforme LMS vorrebbero avere un report dettagliato di tutti gli accessi fatti da un utente a tutti gli oggetti. Come si concilia questa richiesta con la normativa sulla privacy, quella presente e quella futura?

Stefano:

Il fatto che non esista un report di dettaglio degli accessi, e che si deve semmai accedere al singolo oggetto e singolo utente, è in linea col principio di pertinenza, non eccedenza e necessità del trattamento di dati personali, fondamento espresso nel codice Privacy.

Chi dovesse usare tale funzione, infatti,  può essere soltanto un “Amministratore di Sistema” che va a verificare ad esempio date e orari di collegamento di un utente; lo dovrebbe fare soltanto sulla base di input di organi ispettivi che assumono il ruolo di polizia giudiziaria, oppure per finalità prettamente tecniche (es. risoluzione di un’anomalia specifica occorsa in un certo momento, che può vedere e controllare in quanto amministratore di sistema).

Un HR Manager, oppure i Fondi per i corsi finanziati, che spesso chiedono report con le date e ore di collegamento, NON possono ricevere tali dati, perchè in violazione dell’Art. 4 dello Statuto dei lavoratori (il c.d. controllo del personale con strumenti tecnologici) e del principio di base di cui sopra della normativa sul trattamento di dati personali.

Lo stesso Garante Privacy, nell’unico Provvedimento sulla formazione in modalità elearning, è stato molto duro nei confronti delle attività di tracciamento possibili con una piattaforma elearning.

Massimiliano:

hai qualche consiglio su buone pratiche di gestione della piattaforma rispetto alla conformità con le normative sulla privacy?

Stefano:

Ne avrei proprio tanti… molto dipende dal ruolo del Gestore della piattaforma… Titolare o Responsabile del trattamento dei dati personali?

L’individuazione corretta degli attori nei processi di trattamento che attengono alla formazione è infatti molto spesso sottovalutata.

Tengo a ricordare che nella formazione aziendale l’ente formativo, infatti, è tipicamente Responsabile del Trattamento, per conto dell’Azienda Cliente (Titolare del trattamento dei dati del proprio personale); quindi i maggiori oneri in capo al Titolare del trattamento sono dunque delle Aziende clienti, che spesso dimenticano tale aspetto fondamentale.

Massimiliano: Potresti farci un esempio chiarire meglio questo punto?

Stefano: certo, provo con il classico esempio della scuola di lingue:

Se io, Stefano, vado in una scuola di lingue a chiedere informazioni e poi ad iscrivermi al corso, la Scuola di Lingue è il Titolare del trattamento dei miei dati personali che gli conferirò direttamente.

Sta alla scuola, dunque, informarmi su come verranno trattati i miei dati, a chi verranno comunicati (es. una società di erogazione di servizi online, se i corsi lo prevedono), etc. etc.

Se invece un’azienda vuole iscrivere i propri dipendenti alla Scuola di Lingue, in questo processo il Titolare dei dati personali degli interessati (i dipendenti) è l’Azienda; Sta all’azienda informare il proprio personale che i loro dati verranno forniti alla scuola di lingue.Sempre l’azienda, nel caso di formazione elearning, dovrà ricordare che il monitoraggio della formazione avviene nel rispetto dell’Art. 4 dello Statuto dei lavoratori.

L’azienda deve inoltre designare la Scuola di lingue Responsabile del trattamento dei dati personali dei propri dipendenti, istruendola opportunamente sul rispetto delle previsioni normative e delle misure di sicurezza; L’azienda deve quindi assicurarsi contrattualmente che la Scuola di lingue non violi i principi di eccedenza e proporzionalità, che designi i propri incaricati, e gli amministratori di sistema.

Moti si staranno chiedendo…”Cosa? a noi le aziende Clienti non hanno mai dato tali istruzioni o nomine”…. Beh, capita molto, troppo spesso..

Massimiliano:

Temo proprio di si, Stefano…

Stefano:

Mi permetto di fornire alcuni consigli importanti per la Community, anche dal punto di vista consulenziale:

I progetti formativi che prevedono l’utilizzo dell’elearning, proprio per il possibile controllo e monitoraggio del personale, vanno condivisi con le Rappresentanze sindacali; inoltre, se si tratta di formazione in materia di salute e sicurezza, serve la consultazione degli RLS. SEMPRE; secondo alcuni, servirebbe addirittura la comunicazione alla Direzione Provinciale del Lavoro o alle Questure, alla stregua di quando si utilizza la Videosorveglianza in azienda nei locali con presenza di personale; per la mia esperienza di Consulente Privacy, non consiglierei di realizzare tale adempimento, anche perchè non esiste modulistica idonea e si perderebbe soltanto tempo con pratiche burocratiche inattuabili.

E’ invece fondamentale chiarire quanto espresso sopra in un’idonea Informativa Privacy, che spieghi le responsabilità nei processi formativi. Guardate ad esempio il punto 3 di questa informativa: https://www.openlearningbox.com/InformativaPrivacy.html

Se la piattaforma consente la registrazione degli utenti, anche mediante le funzioni “social”, l’Informativa Privacy dovrà essere ancora più dettagliata. 

Non serve scervellarsi con il banner informativa privacy per i cookies: nel caso della piattaforma da noi utilizzata (Forma Lms), Forma utilizza un unico cookie di sessione “tecnico” e quindi basta dire questa cosa nell’Informativa Privacy. Se però si usano dei codici Google Analytics, allora il banner per i cookies ci vuole.

E’ inoltre necessario ricordarsi, invece che trattandosi di un sito che tratta dati personali, seppur di natura identificativa (è difficile che contengano dati sensibili…) una piattaforma elearning deve prevedere le misure minime di sicurezza:

  • password con almeno 8 caratteri
  • salvataggi almeno settimanali
  • infine, se aperta su Internet, prevedere l’uso di SSL (mediante il protocollo https e non il semplice http); va messo quindi a budget l’acquisto di un certificato SSL, aspetto che spesso viene tralasciato.

Con l’entrata in vigore del nuovo Regolamento UE sulla Privacy, altri adempimenti e obblighi arriveranno presto… ma prima serviranno alcune puntualizzazioni che noi addetti ai lavori stiamo aspettando da tempo (es. i tempi di conservazione prima dell’anonimizzazione o cancellazione dei dati degli utenti in piattaforma, ecc.).

Sicuramente sarò lieto di fornire opportuni aggiornamenti sul tema; per il momento, spero di aver contribuito a chiarire alcuni aspetti importanti… senza fare del terrorismo, però!

L’Elearning è fantastico e in Italia va assolutamente incentivato, però nel rispetto delle regole, sia per rafforzare il taglio professionale del servizio, sia per non incorrere in spiacevoli sorprese….

Massimiliano:

Stefano, grazie molte per queste preziose indicazioni.. che dire, ci aggiorniamo!