ll “Regolamento generale sulla protezione dei dati” dell’Unione Europea (GDPR) sarà pienamente operativo dal 25 maggio 2018 in tutti gli stati dell’Unione Europea. Il nuovo regolamento punta ad aumentare la trasparenza e la responsabilità delle società che trattano dati personali, a promuovere una “cultura della privacy” su Internet e a proteggere gli utenti.

Quali sono le principali linee guida del GDPR e quali sono le sue implicazioni generali e quelle specifiche legate all’eLearning?

A chi è rivolto?
Qualsiasi società (con sede nell’UE o extra UE) che offra servizi ai cittadini dell’UE o che tenga traccia del comportamento dei cittadini dell’UE (attraverso profili online, cookie e altri mezzi simili) è tenuta a rispettare il GDPR.

Perché?
Un’azienda non conforme può essere soggetta a multe fino al 4% del suo fatturato annuale.

Terminologia GDPR

• Elaborazione: tutto ciò che un’azienda può fare con i dati personali (raccolta, organizzazione, conservazione, adattamento, trasmissione, condivisione…).
• Titolare del trattamento: società che raccolgono, archiviano o gestiscono dati di persone per uno scopo particolare (e determinano il modo in cui avviene la raccolta).
• Responsabile dei dati: una società che memorizza o elabora i dati dell’utente per conto di altre società (responsabili del trattamento dei dati). I Data Controller sono società che hanno lo scopo principale di raccogliere dati, e i Data Processor sono aziende che offrono il trattamento dei dati, la memorizzazione, ecc. Il Responsabile del trattamento dei dati non può utilizzare i dati per scopi diversi da quelli per cui il Titolare del trattamento li ha raccolti.
• Soggetto dei dati: una persona fisica – come uno studente o un docente.
• Dati personali: qualsiasi informazione relativa a un soggetto come nome, email …
• Consenso: una chiara indicazione da parte di un interessato che è d’accordo con la raccolta e il trattamento dei propri dati personali.

Cosa fare per essere conformi al GDPR?
Se la tua azienda utilizza un LMS per la formazione, la conformità al GDPR è una responsabilità condivisa tra la tua azienda (il “controllore”) e il tuo fornitore LMS (il “processore”).
In qualità di controller, devi definire gli obiettivi dell’elaborazione, controllare i dati dei discenti, degli amministratori e dei docenti che verranno elaborati.

Innanzitutto, non dovresti raccogliere più dati di quelli necessari per i tuoi scopi o utilizzare i dati per scopi diversi da quelli per cui sono stati raccolti.

Tieni traccia dei dati (fonti, sistemi in cui sono memorizzati, flussi di dati e diritti di accesso) assicurandoti che la privacy sia sempre rispettata.
Definire adeguate politiche di protezione e conservazione dei dati e predisporre controlli può essere molto utile allo scopo. Inoltre, assicurati di mantenere database aggiornati e predisponi mezzi per la correzione.

Limita gli accessi ai dati personali raccolti dalla tua azienda ai dipendenti che hanno effettiva necessità di averli a disposizione per svolgere la propria attività.

Nel caso più specifico dell’eLearning, è necessario esaminare attentamente il programma di conformità GDPR, l’Informativa sulla privacy e le Condizioni d’uso del LMS utilizzato e firmare un DPA (Data Processing Addendum) conforme al GDPR con il provider LMS.
Il DPA deve specificare in modo chiaro le istruzioni che il servizio LMS dovrebbe seguire e obbliga entrambe le parti a rispettare gli obblighi legali relativi al GDPR.