Accordo da 17,25 milioni di dollari per PowerSchool sul tracciamento degli studenti con Naviance

Accordo da 17,25 milioni di dollari per PowerSchool sul tracciamento degli studenti con Naviance

Un accordo transattivo collettivo da 17,25 milioni di dollari contro PowerSchool sta riaccendendo l'attenzione su una pratica che molte famiglie non sapevano nemmeno esistesse: la sorveglianza silenziosa e continua degli studenti attraverso le stesse piattaforme che le scuole assegnano loro. La causa verteva su Naviance, un diffuso strumento per l'orientamento al college e alla carriera, e sosteneva che la piattaforma avesse incorporato software di tracciamento di terze parti che raccoglievano sequenze di tasti, clic e comunicazioni private senza consenso dal 2021 al 2026. Questo caso è uno degli esempi più chiari di come i fallimenti nella privacy dei dati degli studenti legati all'edtech possano persistere per anni prima che qualcuno venga chiamato a risponderne.

Cosa raccoglieva realmente Naviance – e per quanto tempo

Naviance non è uno strumento di nicchia. Utilizzato da milioni di studenti delle scuole superiori negli Stati Uniti, funge da hub per il monitoraggio delle domande di ammissione al college, valutazioni professionali e pianificazione accademica. Poiché viene assegnato dalle scuole, gli studenti e le famiglie di solito non hanno altra scelta che usarlo.

Secondo la causa, il tracciamento integrato in Naviance andava ben oltre le normali analisi. Il software di terze parti avrebbe catturato dati a livello di singola battitura, il che significa che ogni carattere digitato da uno studente poteva essere registrato. Sarebbero stati raccolti anche clic, schemi di navigazione e comunicazioni private. Questo tipo di raccolta dati non è passiva. È granulare, comportamentale e, in molti casi, molto più rivelatrice di una semplice registrazione di accesso.

Forse l'aspetto più sorprendente è la tempistica. Il presunto tracciamento è durato dal 2021 al 2026, un arco di cinque anni durante il quale milioni di studenti potrebbero aver visto raccolte informazioni sensibili a loro insaputa o all'insaputa dei loro genitori o tutori. Non è stato ottenuto alcun consenso. Non è stata fornita alcuna informativa chiara. La sorveglianza era, per progettazione, invisibile.

Perché le piattaforme fornite dalle scuole sono un punto cieco per la privacy degli studenti

Quando un'azienda vende un'app per consumatori e vi integra dei tracciatori, gli utenti hanno almeno l'opzione teorica di rifiutare. Quando una scuola impone una piattaforma, questa opzione scompare. Gli studenti devono usare lo strumento per completare compiti, inviare domande o accedere alle risorse. Questo crea un problema fondamentale di consenso che le leggi esistenti hanno faticato ad affrontare pienamente.

Quadri normativi federali come la FERPA (Family Educational Rights and Privacy Act) e il COPPA (Children's Online Privacy Protection Act) forniscono alcune protezioni di base, ma non sono stati concepiti tenendo conto della complessità dei moderni ecosistemi edtech. Una scuola può stipulare un contratto con un fornitore. Quel fornitore può incorporare codice di terze parti. Quelle terze parti possono raccogliere dati. Ogni passaggio può tecnicamente rispettare le norme esistenti, pur facendo comunque fluire i dati degli studenti verso soggetti di cui le famiglie non hanno mai sentito parlare.

Questa dinamica è ciò che rende il caso PowerSchool significativo al di là dell'importo in dollari. È un esempio documentato del divario tra conformità legale e trasparenza effettiva. Il fatto che il tracciamento sarebbe proseguito per cinque anni senza avviso pubblico sottolinea quanto poca visibilità abbiano in genere genitori e studenti su ciò che le piattaforme scolastiche fanno realmente.

Questo problema non si limita al tracciamento passivo. Come ha dimostrato la violazione di Canvas da parte di ShinyHunters, l'esposizione dei dati degli studenti abbraccia sia la sorveglianza occulta sia gli attacchi informatici attivi. Quando quasi 275 milioni di dati studenteschi sono stati messi a rischio in quell'incidente, è stato ribadito che il settore edtech affronta vulnerabilità da più direzioni contemporaneamente.

Come funziona il tracciamento occulto di battiture e comunicazioni

Per i lettori che non hanno familiarità con i meccanismi tecnici, vale la pena capire come opera in pratica questo tipo di tracciamento. Gli script di tracciamento di terze parti sono in genere incorporati dagli sviluppatori della piattaforma durante il processo di costruzione. Quando un utente carica una pagina, quegli script vengono eseguiti automaticamente in background. L'utente non vede nulla di anomalo.

Gli script di keylogging possono registrare l'input in tempo reale, catturando ciò che qualcuno digita ancor prima che prema invio. Gli strumenti di replay della sessione possono registrare i movimenti del mouse, il comportamento di scorrimento e i modelli di clic per ricostruire esattamente ciò che un utente ha fatto durante una sessione. L'intercettazione delle comunicazioni può avvenire quando i messaggi inviati attraverso il sistema interno di una piattaforma transitano attraverso l'infrastruttura di terze parti prima di raggiungere la destinazione.

Tutto ciò non richiede un accesso speciale al dispositivo. Avviene all'interno del browser, nella piattaforma stessa. Il software antivirus standard non lo segnala. I controlli parentali non lo bloccano. Persino le estensioni del browser orientate alla privacy potrebbero non rilevarlo se gli script sono profondamente integrati nel codice della piattaforma.

Ecco perché il consenso e l'informativa a livello contrattuale, tra scuole e fornitori, sono così importanti. Nel momento in cui uno studente apre Naviance, la pipeline dei dati è già stata stabilita.

Cosa possono fare le famiglie per limitare la sorveglianza edtech

L'accordo con PowerSchool non sarà l'ultimo del suo genere. L'adozione dell'edtech continua ad espandersi e gli incentivi economici per monetizzare i dati comportamentali rimangono forti. Detto questo, le famiglie non sono del tutto prive di rimedi.

Chiedere l'inventario dei dati. In base alla FERPA, i genitori di studenti di età inferiore ai 18 anni hanno il diritto di richiedere l'accesso ai registri scolastici. Le scuole dovrebbero anche essere in grado di fornire un elenco dei fornitori terzi con cui condividono i dati degli studenti. Richiedere questo elenco segnala alle scuole che le famiglie stanno prestando attenzione.

Esaminare annualmente le politiche tecnologiche della scuola. Molti distretti aggiornano le loro politiche sull'uso accettabile e sulla privacy dei dati all'inizio di ogni anno scolastico. Leggere questi documenti, anche solo a livello sintetico, può rivelare quali piattaforme sono in uso e quali pratiche sui dati vengono dichiarate.

Utilizzare protezioni a livello di browser dove possibile. Sebbene le famiglie non possano sempre rinunciare alle piattaforme assegnate dalla scuola, gli studenti che usano dispositivi personali per i compiti possono trarre vantaggio da browser o estensioni orientati alla privacy che limitano l'esecuzione di script di terze parti, laddove tali strumenti non interferiscano con le funzionalità richieste dalla piattaforma.

Coinvolgere i consigli scolastici e gli amministratori. La protezione più efficace a lungo termine deriva dalla responsabilità istituzionale. Le domande poste dai genitori durante le riunioni del consiglio scolastico sui contratti con i fornitori e sugli audit dei dati creano pressione per una supervisione più rigorosa.

Tenersi informati sugli incidenti edtech. Il caso PowerSchool e la violazione di Canvas da parte di ShinyHunters fanno parte di uno schema più ampio. Comprendere che le violazioni dei dati degli studenti e la sorveglianza sono problemi ricorrenti, non eventi isolati, è la base per esigere protezioni migliori.

L'accordo da 17,25 milioni di dollari contro PowerSchool è un risultato significativo, ma l'importanza reale sta in ciò che rivela sulle pratiche standard del settore. Se una piattaforma usata da milioni di studenti per cinque anni ha potuto incorporare software di tracciamento non dichiarato, la domanda da porsi non è solo cosa stesse facendo Naviance, ma cosa potrebbero star facendo altre piattaforme edtech proprio ora. Famiglie, educatori e decisori politici hanno tutti un ruolo da svolgere nel pretendere risposte prima del prossimo accordo transattivo, non dopo.