Close
Cerca
Filters

IoStudio: come NON fare un sito privacy compliance

IoStudio: come NON fare un sito privacy compliance

Avendo un figlio iscritto alle superiori, mi sono imbattuto nell'iniziativa del ministero dell'istruzione "IoStudio".

Un bell'opuscolo colorato in cui fa bella mostra di sè una carta prepagata di PostaMat:

opuscolo carta dello studente

Naturalmente, non entro nel merito sull'UTILITA' della carta stessa, sono sicuro che i responsabili ne hanno seguito bene lo sviluppo e le convenzioni associate.

La cosa che mi ha colpito maggiormente è CHE COSA CI FANNO NOME, COGNOME e DATA DI NASCITA di mio figlio su una carta di Poste Italiane ! Nota, sia nella preiscrizione presso il ministero, sia in quella scolastica all'istituto, NON ho dato il consenso al trattamento dei dati per scopi commerciali e di marketing !

Non contento, vado sul sito web specificato nell'opuscolo, cercando l'informativa del progetto: nessuna traccia, nessun riferimento: solo nelle FAQ, cercando tra le varie domande trovo:

Molto specifica come informativa...

Ok, vado avanti, clicco, come da istruzioni sulla registrazione come "studente", penso, magari l'informativa è nel modulo:

Qui si chiedono dati personali (di ragazzi MINORENNI) senza alcuna richiesta di consenso dei dati trattati e senza uno straccio di informativa su come, quando e dove questi dati vengano trattati !

Procedo con la registrazione... nota... considerando che parliamo di ragazzi MINORENNI mi aspetto che ci sia un minimo di sicurezza, ma scopro che il sito non è nemmeno certificato:

(ho scritto un articolo sull'importanza dei certificati SSL, lo trovate QUI)

Completando l'iscrizione noto questo avviso:

Qui si parla di "sottoscrizioni mailing list" ! Non è che mi hai iscritto SENZA una mia specifica richiesta, vero ?

Ehm, sì... il sistema, contro ogni regola privacy, mi ha iscritto ad una mailing list in cui verranno notificate "offerte e concorsi" (marketing) nella casella di posta di mio figlio.

Ricapitolando, il progetto "iostudio" del ministero dell'istruzione, è riuscito nell'intento di:

  • Cedere dati personali, senza consenso preventivo, a terzi (Poste Italiane, ma anche l'azienda che si è occupata della stampa della carta prepagata e dell'opuscolo).
  • Realizzare un sito web SENZA informativa privacy (e se l'ha nascosta bene, non serve a tanto)
  • Raccogliere mediante modulo dati personali SENZA consenso e SENZA idonea informativa
  • Gestire un sito web senza connessione crittografata con certificato
  • Iscrivere gli utenti ad una non specificata mailing list SENZA consenso preventivo

Dimentico qualcosa ?

E poi parliamo di GDPR, di privacy by desing, di privacy by default, andiamo per l'italia a formare il personale ad occuparsi seriamente di privacy e di regolamento europeo...

Lascia un commento