Moodle e GDPR
Moodle è un sistema di gestione dell’apprendimento (LMS) progettato per supportare in modo efficace l’insegnamento online (e-learning).
Si tratta di un software open source che è stato sviluppato attraverso la collaborazione di varie università, di aziende, di organizzazioni e di individui secondo un modello in cui gli autori rendono pubblico il codice sorgente, favorendone il libero studio e permettendo a programmatori indipendenti di apportarvi modifiche ed estensioni.
Moodle è allo stesso tempo una piattaforma di e-learning ma anche di authoring che può essere adattata a progetti educativi o professionali, infatti durante la creazione / modifica di un corso il docente può:
- Importare o creare documenti (audio, video, immagini) e pubblicarli
- Costruire test ed esami
- Costruire o importare corsi conformi agli standard
- Impostare e ricevere compiti (elaborati) virtuali
- Descrivere i componenti del corso attraverso sezioni di descrizione
- Comunicare attraverso forum o chat
- Pubblicare annunci
- Aggiungere link
- Creare gruppi di lavoro o gruppi di laboratorio
- Creare una classe virtuale (attraverso l’estensione di videoconferenza);Gestire i punteggi attraverso lo strumento valutazioni
- Creare sondaggi
- Aggiungere un wiki per creare documenti in modo collaborativo
- Utilizzare un glossario
- Utilizzare un ordine del giorno
- Gestire un progetto condiviso
- Consentire il monitoraggio degli studenti
- Registrare le presenze
- Elaborare un diario di classe.
La piattaforma Moodle è estremamente flessibile. Tutti i suoi strumenti possono essere personalizzati secondo le esigenze di ogni corso. Fornisce un’interfaccia user friendly e full responsive che non richiede alcuna speciale conoscenza tecnica o abilità.
Siccome è molto documentata non ci soffermeremo sulla descrizione delle varie funzionalità elencate, peraltro complesse e che richiedono un certo tempo per l’apprendimento dell’uso di tutte le sue funzioni, ma affronteremo un argomento di grande attualità, ovvero la sua adesione ai dettami del Regolamento Europeo 679/2019 meglio noto come GDPR.
Prima di entrare nel dettaglio della gestione delle politiche dei consensi degli utenti facciamo un piccolo ripasso sul GDPR.
Cos’è il GDPR?
Rilasciato a maggio del 2016 ma entrato ufficialmente in vigore in Italia in il 25 maggio 2018 quando il GDPR. Il tema della direttiva è diventato da subito un elemento stringente per gli adempimenti sul tema Privacy per le aziende che utilizzano piattaforme di gestione delle informazioni personali degli utenti, come nel caso di Moodle.
Quali esigenze soddisfa il GDPR?
Il General Data Protection Regulation è un documento realizzato in forma strutturata e discorsiva per offrire alle aziende e a chi tratta dati personali dei cittadini della UE le corrette indicazioni per una gestione a norma e nel rispetto della privacy di tali dati. I principi cardini, noti e ormai diffusi, sono il conetto di Accountability (Responsabilizzazione e Rendicontazione) e Privacy by Default e By Design (la privacy come situazione standard e di partenza per qualsiasi processo di registrazione dati).
- Armonizza la legislazione in materia di privacy a livello nazionale;
- Stabilisce le regole relative all’uso dei dati e ai diritti degli utenti;
- Definisce le sanzioni per la gestione impropria dei dati degli utenti da parte delle imprese.
Moodle è conforme al GDPR?
Dalla versione 3.5 Moodle è conforme al trattamento dei dati a norma GDPR mettendo a disposizione tutta una serie di strumenti (plugin) per la gestione del consenso ed il trattamento dei dati (gestione dei log e dati degli utenti).
Quali informazioni rientrano tra i dati personali in un sito Moodle?
Ne fanno parte tutte le informazioni associate ad una persona fisica. Ad esempio, tutti gli account degli utenti registrati sulla piattaforma Moodle e tutte le attività ad essi collegati, come la memorizzazione dei dati per eventuali riutilizzi successivi.
Cos’ha fatto Moodle per favorire i suoi utenti della gestione del GDPR?
Fin da subito la piattaforma si è attrezzata per essere a norma: “Abbiamo ricevuto input diretti da un certo numero di istituzioni Moodle, dalla nostra rete di Moodle e dagli sviluppatori.” – ha dichiarato il CEO di Moodle – “Ora abbiamo un piano per soddisfare tali esigenze”.
Il piano per l’adeguamento al GDPR ha portato all’inserimento di nuove funzioni, consultabili al link ufficiale del servizio (https://docs.moodle.org/35/it/GDPR), al quale è possibile reperire tutte le informazioni in materia di privacy e protezione di dati personali su Moodle.
Dalla versione Moodle 3.5 la piattaforma è stata aggiornata in materia di GDPR. Offre un supporto nativo in tema di privacy e protezione dei dati personali, attraverso una serie di plugin che facilitano l’inserimento e la gestione del consenso. In questo modo favoriscono la conformità delle aziende alla nuova normativa e implementano i processi organizzativi interni.
Moodle rilascia a step regolari versioni LTS (Long Term Support), ossia prevede un supporto per un periodo più lungo (fino a tre anni) rispetto alle versioni precedenti.
La conformità di Moodle al GDPR
Moodle ha inserito per soddisfare questo requisito molte nuove features per aiutare gli amministratori dei siti web a trattare i dati personali degli utenti.
Le aree coperte da queste nuove funzionalità sono almeno tre:
- Inserimento dei nuovi utenti attraverso il controllo dell’età e della posizione per identificare i minori;
- Controllo della versione delle politiche sulla privacy e monitoraggio dei consensi dell’utente;
- Gestione delle richieste di accesso, eliminazione dei dati personali e gestione della conservazione dei dati.
Anche la procedura d’inserimento dei nuovi utenti prevede delle funzionalità interessanti sotto il punto di vista del GDPR:
- Visualizzazione di tutte le informazioni richieste sulla privacy;
- Elenco e richiesta di consenso per siti di terze parti che potrebbero ricevere i dati dell’utente;
- Una procedura per consentire l’identificazione dei minori;
- Registrazione di ogni specifico consenso dato da un utente.
Sono inoltre disponibili dei processi specifici per soddisfare tutte le eventuali richieste di un utente (docente o studente), come, ad esempio, il “Diritto alla cancellazione dei propri dati”. Questi processi sono:
- Il recupero di tutti i dati dell’utente dal pannello di gestione di amministrazione di Moodle;
- La cancellazione di tutti i dati personali dell’utente dal pannello di gestione di amministrazione di Moodle;
- La modifica in qualsiasi momento dei dati dell’utente dal proprio pannello di controllo (Profilo).
I requisiti di conformità devono essere validi anche a tutti i plugin, inclusi quelli di terze parti. I plugin devono segnalare quali informazioni gestiscono e devono riuscire a fornirli o eliminarli su richiesta dell’utente.
Per questo Moodle ha introdotto delle nuove API (Application Programming Interface) che devono essere utilizzate da tutti i plugin per diventare conformi alla normativa GDPR.
Dall’area “Registro privacy del plugin” nelle “Impostazioni di sicurezza del sito” puoi controllare dove sono conservate le informazioni personali dei plugin installati e se i plugin stessi sono conformi al GDPR.
Moodle offre sotto il suo pannello di amministrazione, nella scheda “Utenti” sotto “Amministrazione del sito” la nuova voce “Privacy e policy”. Da questa area è possibile controllare le funzionalità appena discusse, dall’inserimento dei nuovi utenti, alle politiche sulla privacy e la gestione delle richieste di consenso. Nello specifico le funzioni disponibili sono:
- L’inserimento degli utenti e il controllo dell’età
- Nelle impostazioni della privacy di Moodle, l’amministratore può chiedere il controllo dell’età prima che l’utente (studente) possa accedere a Moodle.
- Inoltre, come alternativa alla richiesta dell’età, è possibile specificare un link per consentire all’utente di contattare il responsabile della protezione dei dati oppure l’amministratore deputato a gestire le richieste degli utenti.
- Le politiche sulla privacy
- L’area che prima si chiamava “Policy del sito” ora è stata rinominata in “Impostazioni di sicurezza del sito”.
- L’amministratore può specificare il componente per la gestione delle politiche e dei consensi per gli utenti e come intende gestire gli accordi tra l’utente e le norme sulla privacy presenti sul sito Moodle.
La gestione dei dati personali in Moodle
La sezione “Privacy e policy” offre molte altre funzionalità essenziali per la corretta gestione dei dati degli utenti, tra cui:
- Gestione delle richieste dei dati;
- Definizione e gestione del registro dati;
- Esame dei dati per una eventuale rimozione;
- Traccia delle politiche e degli accordi con l’utente.
L’area denominata “Registro dei dati” permettono all’amministratore, o al Responsabile del Trattamento dei Dati, di stabilire:
- Categorie di dati;
- La finalità per la quale vengono richiesti;
- Il tempo di conservazione;
Inoltre, l’amministratore, tramite la sezione “Eliminazione dati”, è in grado di capire quando i dati hanno superato il limite di conservazione.
Dal punto di vista degli studenti (utenti), il profilo dà accesso a funzionalità molto importanti:
- Contattare il responsabile del trattamento dei dati;
- Consultare le politiche a cui si è dato il consenso;
- Chiedere l’eliminazione dei dati personali;
- Richiedere una copia dei dati (esportazione dei dati).
Moodle: la gestione dei consensi per l’amministratore e l’utente
Dopo aver elencato le funzioni e il modo con cui Moodle si è adeguato alle norme GDPR, vediamo qualche aspetto tecnico specifico, ipotizzando di configurare il proprio ambiente di E-Learning.
Partiamo dall’abilitazione del Plugin Privacy, che dalla versione 3.5 è ormai disponibile di default. Accedendo come amministratore alla scheda:
[Amministrazione del sito]>>[Utenti]>>[Privacy e Politiche]
Sotto la voce [Gestore Politiche del Sito] selezionare [Politiche (tool_policy].Questo ci permette di impostare la richiesta dei consensi per gli utenti che si collegheranno alla nostra piattaforma Moodle. Dopo l’accesso, l’eventuale cambio di password e solo per la prima volta sarà obbligatorio prestare attenzione all’informativa e dare l’apposito consenso.
Per creare la propria richiesta di consenso o anche più di una, tutte quelle reputate necessaria alla propria organizzazione sotto la voce:
[Privacy e politiche]>>[Gestione politiche]>>[Nuova Politica]
Inserire il testo della propria politica, con tutti i riferimenti necessari. E’ possibile inserire elementi di formattazione, link ed immagini. A questo punto l’utente normale (studente) che accede alla piattaforma si troverà “costretto” se vuole usufruire dei servizi, a dare il proprio consenso.
A questo punto l’utente può accadere alla piattaforma , ai corsi e a tutti i materiali messi a disposizione dal docente ed eventualmente gestire le proprie informazioni dal pannello di controllo utente.
L’amministratore di sistema può a questo punto visualizzare lo stato dei consensi forniti ed eventualmente esportarne l’elenco in vari formati (PDF,xsls, csv, etc).
[Privacy e politiche]>>[Consensi Utente], impostando il filtro di ricerca “Stato: consenso dato”.
Ovviamente è nelle facoltà dell’ammi8nistratore revocare il consenso dell’utente, di fatto escludendolo dall’uso dall’accesso alla piattaforma. Raccogliere il consenso in questo modo è pratico e permette un’archiviazione di tipo digitale con la possibilità di consultare ed esportare i dati in qualsiasi momento.
Allo stesso modo l’utente ha il pieno controllo dei propri dati e del consenso fornito, esattamente come il GDPR impone relativamente ai diritti dell’interessato al trattamento. Sotto il profilo dell’utente esiste una sezione [Privacy e Politiche] che permette il controllo completo di questi dati. Nel dettaglio vediamo che un utente iscritto può esercitare i propri diritti attraverso queste funzioni:
- Contatta il responsabile del trattamento dei dati: permette di compilare un form e mandare un messaggio all’amministratore si sistema o a chi si occupa della gestione del Trattamento dei dati, chiedendo informazioni
- Richieste di dati: permette di richiedere l’esportazione (trasferimento) o l’eliminazione dati personali
- Riepilogo della conservazione dei dati: il riepilogo visualizza le categorie le finalità di default relative alla conservazione dei dati degli utenti. Da notare che alcune aree del sistema possono avere categorie e finalità più specifiche di quelle elencate.
- Politiche e consensi: visualizza lo stato dei consensi dati.
Documentazione
Per maggiori informazioni, una nutrita sezione di documenti è messa disposizione dal progetto Moodle:
Adeguamento di Moodle al GDPR
https://docs.moodle.org/35/it/GDPR
Per maggiori informazioni le FAQ sul GDPR e Moodle
https://docs.moodle.org/37/en/GDPR_FAQ
Informazioni sul Plugin per la gestione del GDPR
https://moodle.org/plugins/browse.php?list=set&id=90
GDPR per Amministratori di Moodle
https://docs.moodle.org/37/en/GDPR_for_administrators
Moodle Informativa sulla Privacy
https://moodle.com/privacy-notice/