L’autorità di regolamentazione della protezione dei dati del Regno Unito ha rimproverato il Dipartimento per l’istruzione per aver concesso un accesso improprio alle informazioni di identificazione su un massimo di 28 milioni di bambini, che è stato utilizzato per condurre controlli di verifica dell’età per le società di gioco d’azzardo.

Il DfE ha concesso a una società di screening dell’occupazione che opera come Trustopia l’accesso a un database governativo sui bambini di età pari o superiore a 14 anni noto come Learning Records Service tra il 2018 e il 2020, in violazione della legge sulla protezione dei dati, ha rilevato l’Ufficio del Commissario per le informazioni in un rapporto pubblicato domenica .

“Nessuno ha bisogno di convincere che un database di registri di apprendimento degli alunni utilizzato per aiutare le società di gioco d’azzardo è inaccettabile”, ha affermato John Edwards, commissario per l’informazione. Ha descritto i processi del dipartimento relativi all’accesso ai dati in quel momento come “dolorosi”.

La “grave violazione della legge” avrebbe comportato una multa di 10 milioni di sterline se non fosse stato per la riluttanza dell’ICO a esercitare pressioni sul flusso di cassa degli enti pubblici, ha affermato Edwards.

La domenica segna dieci anni da quando il segretario all’istruzione Michael Gove ha annunciato che avrebbe consentito al DfE di condividere i dati per una più ampia varietà di scopi rispetto al passato. Ma da allora il dipartimento non ha rispettato le aspettative legali, secondo gli audit ufficiali.

Nel 2020 un audit dell’ICO ha rilevato che il DfE non aveva rispettato le regole sulla protezione dei dati nella gestione dei dati di milioni di bambini, concludendo che non aveva “alcuna supervisione proattiva formale” della governance delle informazioni, della protezione dei dati e della gestione del rischio. Ha formulato 139 raccomandazioni per il miglioramento del dipartimento.

La società di screening dell’occupazione Trust Systems Software Limited, un ex fornitore di formazione, ha utilizzato i dati DfE per vendere servizi, ha affermato venerdì l’ICO. Uno dei suoi clienti era la società di intelligence dei dati GB Group, che ha utilizzato i dati per verificare se le persone che aprivano conti di gioco online avevano 18 anni, ha affermato l’ICO. GB Group ha rifiutato di commentare.

Dall’incidente nel 2020, il dipartimento dell’istruzione ha revocato l’accesso a 2.600 delle 12.600 organizzazioni che avevano accesso al database. Registra il nome completo, la data di nascita, il sesso e i risultati formativi dei bambini a partire dai 14 anni, con campi facoltativi per l’indirizzo e-mail e la nazionalità.

Sebbene l’ICO abbia riconosciuto che il DfE ha agito per affrontare le sue carenze sulla protezione dei dati, ha richiesto al dipartimento di apportare ulteriori modifiche per migliorare la sua governance delle informazioni. Hanno incluso la revisione della sicurezza interna, la formazione del personale e il miglioramento della trasparenza in modo che le famiglie capissero come sarebbero stati utilizzati i loro dati.

Il DfE ha affermato che il dipartimento ha preso la sicurezza dei dati “estremamente sul serio” e ha lavorato a stretto contatto con l’ICO per garantire che il controllo dell’accesso ai dati fosse migliorato. Entro la fine dell’anno indicherà i progressi dettagliati sulle raccomandazioni dell’ICO.

Ma l’organizzazione benefica per i diritti dei bambini Defend Digital Me questo mese ha minacciato un’azione legale contro il DfE, sostenendo che il dipartimento non aveva dimostrato che stava prendendo le misure appropriate per soddisfare le richieste dell’ICO.

Il direttore Jen Persson ha affermato che il governo “non si è assunto la responsabilità del suo ruolo nella commercializzazione sconsiderata” dei dati.

“Le famiglie affidano la sicurezza dei nostri figli alle scuole per ottenere un’istruzione, ma il governo ha trasformato una generazione di registri degli studenti in un prodotto senza il nostro permesso e senza pensare al prezzo che potremmo pagare in furto di identità, rischio di utilizzo per ricatto , stalking o dare o vendere l’accesso a terzi come le società di gioco d’azzardo”, ha affermato.

Persson ha anche espresso preoccupazioni sul fatto che il DfE stia portando avanti un nuovo tracker delle presenze giornaliere. È stato introdotto quest’anno per raccogliere informazioni più complete e aggiornate su quando i bambini vanno a scuola, nonostante l’ICO abbia espresso preoccupazioni sulle sue valutazioni del rischio.

Il DfE ha affermato di aver “intraprese tutte le azioni richieste dalle leggi sulla protezione dei dati in relazione al pilota e di essersi impegnato volontariamente con l’ICO per . . . intraprendere qualsiasi azione per affrontare le aree limitate in cui sono state sollevate preoccupazioni”.

Non è stato possibile raggiungere gli ex direttori di Trustopia per un commento.