L’Information Commissioner’s Office (ICO) ha emesso un rimprovero al Dipartimento per l’Istruzione (DfE) a seguito dell’abuso prolungato delle informazioni personali di circa 28 milioni di minori.

Un’indagine dell’ICO ha rilevato che la scarsa due diligence del DfE ha permesso che un database dei record di apprendimento degli alunni sia stato utilizzato da Trust Systems Software UK Ltd (operante come Trustopia), una società di screening dell’occupazione, per verificare se le persone che aprivano conti di gioco online avevano 18 anni.

Il DfE ha la responsabilità generale del database del servizio di registrazione dell’apprendimento (LRS), che fornisce un registro delle qualifiche degli alunni a cui gli istituti di istruzione possono accedere. L’ICO ha scoperto che il DfE ha continuato a concedere a Trustopia l’accesso al database nonostante abbia informato il Dipartimento che nome commerciale di Edududes Ltd era cambiatoe non era più un fornitore di formazione.

Trustopia era divenuta infatti una società di screening e utilizzava il database per la verifica dell’età, un servizio offerto a società tra cui GB Group, che aiutava le società di gioco d’azzardo a confermare che i clienti avevano più di 18 anni. Questa condivisione dei dati significava che le informazioni non venivano utilizzate per il loro scopo originale. Questo è contro la legge sulla protezione dei dati.

L’ICO ha emesso un rimprovero al DfE stabilendo misure chiare che devono agire per migliorare le loro pratiche di protezione dei dati in modo che i dati dei bambini siano adeguatamente trattati.

Nel giugno 2022 John Edwards, Commissario britannico per l’informazione, ha annunciato un nuovo approccio nei confronti del settore pubblico con l’obiettivo di ridurre l’impatto delle multe. Se questo nuovo approccio sperimentale non fosse stato in atto, il DfE avrebbe ricevuto una multa di oltre 10 milioni di sterline.

Dettagli dell’incidente

L’ICO ha iniziato la sua indagine dopo aver ricevuto una segnalazione di violazione dal DfE sull’accesso non autorizzato al database LRS. Il DfE era venuto a conoscenza della violazione solo dopo un esposto su un giornale domenicale nazionale.

L’ICO ha scoperto che il database LRS contiene informazioni personali fino a 28 milioni di bambini e giovani di 14 anni. Il database registra nome completo, dati di nascita e sesso, con campi facoltativi per indirizzo e-mail e nazionalità. Registra anche i risultati di apprendimento e formazione di una persona. I dati sono conservati per 66 anni.

Al momento della violazione, 12.600 organizzazioni avevano accesso al database LRS, tra cui scuole, college, istituti di istruzione superiore e altri fornitori di istruzione. In questo modo le organizzazioni possono verificare una serie di funzioni, tra cui le qualifiche accademiche dei potenziali studenti o verificare se sono ammissibili ai finanziamenti.

L’ICO ha rilevato che Trustopia ha avuto accesso al database LRS da settembre 2018 a gennaio 2020 e che aveva effettuato ricerche su 22.000 studenti a scopo di verifica dell’età. Il DfE ha confermato che Trustopia non ha mai fornito alcuna formazione educativa finanziata dal Governo.

Concedendo alla banca dati LRS l’accesso a Trustopia, il DfE è venuto meno ai suoi obblighi di utilizzare e condividere i dati dei minori in modo equo, lecito e trasparente. Inoltre, non ha impedito l’accesso non autorizzato ai dati dei minori, non ha esercitato un’adeguata sorveglianza dei dati o non ha impedito l’utilizzo dei dati per motivi non compatibili con la fornitura di servizi educativi.

L’ICO riconosce che dopo l’incidente, il DfE ha rimosso l’accesso al database LRS da 2.600 organizzazioni e ha rafforzato il suo processo di registrazione. Il DfE controlla inoltre regolarmente la presenza di ricerche eccessive nella banca dati e annulla in modo proattivo la registrazione delle organizzazioni che non la utilizzano più.

La tempistica dell’incidente ha coinciso con l’ICO che ha notificato un avviso di valutazione sul DfE e un audit obbligatorio. Il DfE ha accettato di includere nell’audit le indagini relative all’LRS. Il DfE si è impegnato attivamente con l’ICO dall’audit del 2020 e continua a compiere passi significativi per migliorare le sue pratiche di protezione dei dati.

L’ICO ha condotto un’indagine simultanea su Trustopia, durante la quale la società ha confermato di non avere più accesso al database e la cache dei dati contenuti in file temporanei era stata cancellata. Trustopia è stata sciolta prima della conclusione dell’indagine ICO, pertanto non era disponibile per un’azione normativa.

Articolo precedenteLotto e 10eLotto: ecco i top 10 numeri ritardatari e le vincite del 5 novembre
Articolo successivoGratta e Vinci online, “Multiprice”: approvata l’interfaccia di gioco “Dual Crossword Craze”