Autore: Dottoressa Marinzia Pagliaro (DPO, consulente privacy e cofondatrice di Wp2privacy)
“Gentile Signore/a, il nostro Istituto ha deciso di adottare strumenti informatici, tra quelli suggeriti dal Ministero dell’Istruzione, adatti all’obiettivo di fornire e garantire un adeguato servizio di didattica e formazione a distanza (DAD / FAD) agli alunni iscritti. L’adozione di tali strumenti informatici, pur scaturendo dalla pressante esigenza contingente inerente l’epidemia da COVID-19 (e decretata in ambito scolastico nazionale con DPCM 4 marzo 2020), potrà costituire – anche successivamente al superamento della fase emergenziale – l’avvio di metodologie didattiche online da affiancare a quelle consuete”: è così che cominciano molte delle missive inviate ai genitori dei figli di questa scuola italiana che non ha vergogna nel mostrare tutte le sue carenze in materia di inadeguatezza verso il rispetto delle norme stabilite dal GDPR, in primis, e, a seguire, da CAD, AGID, sentenze note e notevoli come la SCHREMS II del luglio 2020 e così via.
L’informativa #GSUITE4EDUCATION, nota piattaforma fra le più utilizzate per l’erogazione dei servizi di didattica a distanza, reperibile online all’indirizzo https://gsuite.google.com/terms/education_privacy.html. è interamente scritta in inglese, disattendendo per questo i principi di liceità, correttezza e trasparenza stabiliti dal GDPR. I principi citati non sono rispettati, così come di conseguenza l’esercizio dei diritti da parte dell’interessato, perché l’erogazione di un servizio cui è sottesa un’informativa di rimando interamente scritta in inglese, si pone in pieno contrasto e con l’art.3 della nostra Carta fondamentale, del principio di accountability (art.5 par. II GDPR) e dell’art.12 par. I GDPR secondo cui, oltretutto, l’informativa deve essere “concisa, trasparente, intellegibile e facilmente accessibile, con linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.
Quanto a “contenuti personalizzati” viene esplicitato come “nei servizi principali di G Suite for Education, Google utilizzi le informazioni personali degli studenti per fornire, gestire e proteggere i servizi. Google non pubblica annunci pubblicitari nei Servizi principali e non utilizza a scopi pubblicitari le informazioni personali raccolte nei Servizi principali. Nei Servizi aggiuntivi, Google utilizza le informazioni raccolte in tutti i Servizi aggiuntivi per fornire, gestire, proteggere e migliorare i servizi, per svilupparne di nuovi e per proteggere Google e i suoi utenti. Google può inoltre utilizzare tali informazioni per offrire contenuti personalizzati, ad esempio risultati di ricerca più pertinenti”. L’utilizzo di essi implica attività di profilazione per finalità di marketing in pieno contrasto col GDPR (art.22) ed eccedente sia rispetto allo scopo per il quale la piattaforma G-suite viene adoperata (finalità didattico educative) sia rispetto al “consenso” occorso che, deve essere granulare (art.7, par. II GDPR) e oltremodo pertinente.
Molti istituti, nella missiva di cui si discute, sogliono specificare che “Nella didattica e formazione a distanza l’istituto non effettuerà alcun trattamento di categorie particolari di dati personali”. Il concetto di dato particolare lo rinveniamo nell’art.9 GDPR, par. I: “Trattamento di categorie particolari di dati personali: è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.”. Si nega l’evidenza, a parere di chi scrive, disconoscendo il trattamento dei dati particolari, biometrici nel caso di specie (art. 4 par. XIV GDPR), quando si predispone un servizio che, volto all’erogazione ed alla fruizione della didattica a distanza, lo gestisce attraverso la comunicazione visiva dei volti e delle fattezze dei soggetti interessati coinvolti e, pertanto, univocamente riconoscibili. Si ricorda inoltre che, per trattamento si intendono tutte quelle attività volte a raccogliere, registrare, conservare, organizzare, modificare, estrarre, consultare, trasmettere, diffondere, raffrontare, interconnettere, mettere a disposizione, distruggere, cancellare, etc. il dato personale (art.4 par. II, GDPR).
Durante la pandemia sono nate svariate iniziative volte a mettere a disposizione di studenti, insegnanti e comuni cittadini, piattaforme di videoconferenza basate su architetture aperte. Alcune di queste piattaforme sono addirittura gestite direttamente da enti pubblici. Tuttavia, la maggior parte delle scuole di ogni ordine e grado ha preferito affidarsi ai pacchetti commerciali offerti principalmente da Microsoft e da Google.
Con la sentenza Shrems II (pronuncia della CGUE del 16/07/2020), ciò che prima conclamava una violazione del buon senso concretizza, in seguito all’invalidazione del Privacy Shield (accordo USA-UE per il trattamento-trasferimento dei dati europei negli Stati Uniti) da parte della Corte di Giustizia Europea, una questione di rispetto della legalità: le scuole non possono utilizzare strumenti tecnologici che gestiscono i dati personali fuori dal perimetro di tutela che le leggi europee hanno stabilito.
Chi scrive è sufficientemente consapevole del fatto che l’emergenza trascorsa ed in atto abbia imposto ai DS il dovere di assumersi responsabilità che vanno ben oltre le specifiche competenze dei singoli soggetti titolari del trattamento; chi scrive, sa che i DS hanno agito e agiscono in un clima di totale abbandono da parte del Ministero dell’istruzione che – dimentico della lettera indirizzata dal Garante privacy nazionale, datata 26-03-2020- suggerisce le piattaforme “big brand made” cui affidarsi per l’erogazione dei servizi.
Il Presidente del Garante privacy nazionale, infatti, ha adottato, con atto del 26 marzo 2016, ai sensi dell’art. 57, par. 1, lett. b) e d), del Regolamento, il documento denominato “Didattica a distanza: prime indicazioni” (all. n. 1):
In esso si specifica come scuole ed università, in questo particolarissimo contesto emergenziale senza precedenti, siano autorizzate a trattare i dati di studenti ed insegnanti secondo quanto previsto dal GDPR, anche attraverso meccanismi di erogazione della dad senza che venga richiesto alcun ulteriore consenso per la fruizione del servizio, essendo lo stesso riconducibile alle f.ni istituzionalmente assegnate a scuole ed atenei, seppur sotto una nuova veste. Le istituzioni scolastiche sono invece tenute, qualora non lo abbiano già fatto, ad informare gli interessati del trattamento secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679. E’ demandata agli istituti (nell’ottica della gestione privacy by design e by default) la regolamentazione e la scelta dei presidii più idonei per poter realizzare il proposito educativo/didattico da perseguire. Il Miur ha fornito indicazioni (https://www.istruzione.it/coronavirus/didattica-a-distanza.html) caldeggiando l’utilizzo di piattaforme gestite dai grandi colossi del web: Google drive, Google Suite, Office 365, Weschool, Amazon, Facebook, Whatsupp, Zoom, Skype, etc., un po’ per le “garanzie” offerte dalla lucentezza dei grandi brand, un po’ per la consuetudine, unita alla diffusione di utilizzo, degli strumenti in questione: ha così avuto inizio lo scivolone verso il baratro…, consegna (regalo!) ai privati web big brand, di un mare di dati acquisiti per gestire l’erogazione di servizi pertinenti alla cosa pubblica.
Mi preme sottolineare come l’AGID, Agenzia per l’Italia Digitale, nelle sue “Linee guida su acquisizione e riuso di software per le pubbliche amministrazioni” abbia, al p.to 2.3 “Valutazione comparativa” e specificamente al p.to 2.3.1 “Descrizione delle soluzioni”, dichiarato testualmente che: “L’articolo 68 comma 1 del CAD indica le tipologie di soluzione oggetto dell’analisi comparativa per tipologia di software: «Le pubbliche amministrazioni acquisiscono programmi informatici o parti di essi nel rispetto dei princìpi di economicità e di efficienza, tutela degli investimenti, riuso e neutralità tecnologica, a seguito di una valutazione comparativa di tipo tecnico ed economico tra le seguenti soluzioni disponibili sul mercato: a) software sviluppato per conto della pubblica amministrazione; b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione; c) software libero o a codice sorgente aperto; d)software fruibile in modalità cloud computing; e) software di tipo proprietario mediante ricorso a licenza d’uso; f) software combinazione delle precedenti soluzioni.»”.
Oltre a ciò (se non bastasse!) a seguire, sul sito istituzionale del Garante privacy nazionale, in riferimento al provvedimento “Coronavirus: didattica on line, dal Garante privacy prime istruzioni per l’uso” leggiamo e apprendiamo, quanto al “Ruolo dei fornitori dei servizi on line e delle piattaforme” che, relativamente all’utilizzo di una determinata piattaforma adottata dall’istituzione scolastica, il rapporto col fornitore (come nel caso del registro elettronico), regolato da contratto o altro atto giuridico (art. 28 GDPR) inquadra, ipso facto, lo stesso quale responsabile del trattamento. Diversamente, qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non dover designare ulteriori responsabili del trattamento- utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato. Alcuni di questi servizi sono, peraltro, facilmente utilizzabili anche senza la necessaria creazione di un account da parte degli utenti ((https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9302778).
Diffidiamo da ciò che è gratis perché, più probabilmente, il prodotto siamo noi!
Qui alcuni link interessanti per orientare genitori, insegnanti e personale amministrativo delle scuole.
Indicazioni del Garante Privacy per la didattica a distanza: www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9302778
Le linee guida dell’AgID per la scelta del software da parte della PA (Pubblica Amministrazione): https://www.agid.gov.it/sites/default/files/repository_files/lg-acquisizione-e-riuso-software-per-pa-docs_pubblicata.pdf
Per una panoramica generale su un progetto open source: https://opendidattica.org/wordpress/il-progetto/
http://www.wiildos.it/
Riproduzione riservata.