GSuite for Education

Liberiamo la Scuola dai servizi cloud Usa: lettera aperta ai Presidi

La decisione degli Organi Collegiali di attivare i servizi della piattaforma G Suite for Education per tutti gli alunni e docenti è illecito. E non è vero che non ci sono alternative. C’è un problema. Proviamo allora a demolire le convinzioni più frequenti che lo hanno generato

13 Ott 2020
Walter Vannini

informatico, auditor GDPR certificato ISDP10003 e > docente di matematica


I fornitori di servizi cloud USA sono off-limits per la scuola. Senza se e senza ma.

L’uso di G Suite for Education nella scuola, come evidenzierò di seguito, è illecito. Vorrei chiarire che non è un articolo specifico su Google, che utilizzo come antonomasia, ma riguarda tutti i cloud provider statunitensi. Le identiche argomentazioni si applicano senza modifiche a Office 365 di Microsoft, ai servizi Amazon e a quelli di Apple.

Lettera aperta a un Preside italiano

Egregio Signor Preside,

apprendo che gli Organi Collegiali hanno deliberato e, in linea con il Piano Nazionale Scuola Digitale, la scuola ha attivato i servizi della piattaforma G Suite for Education per tutti gli alunni e docenti dell’intero Istituto.

Prendo atto che ora Lei mi chiede di acconsentire all’uso di tali servizi.

C’è un un problema.

Il problema è che, dal 16 luglio, la scelta che gli Organi Collegiali hanno deliberato è illecita. Proprio nel senso di “al di fuori della legge”. La sentenza C-311/18 (“Schrems II”) della Corte Europea di Giustizia non ammette dubbi al riguardo.

Il fatto che la sua circolare sottolinei che la proprietà dei dati rimane in capo all’utente “con totale protezione e privacy”, quest’ultima garantita dalle “Clausole Contrattuali Standard” è solo un tentativo di depistaggio.

Ma andiamo per gradi.

Cosa dice la sentenza C-311/18 (“Schrems II”)

Mi permetta di riassumere in italiano corrente le 34 pagine di sentenza della Corte Europea di Giustizia:

  1. la legislazione sulla sicurezza nazionale degli USA consente agli apparati di intelligence di esigere da qualsiasi azienda USA pieno accesso ai dati personali di americani e non americani, anche qualora tali dati siano conservati al di fuori del territorio statunitense,
  2. questa legislazione non pone limitazioni alla portata e alla durata della raccolta, né garantisce a cittadini stranieri alcun diritto nei confronti delle autorità statunitensi “azionabili dinanzi ai giudici”,
  3. il GDPR prevede invece che la raccolta e il trattamento siano esplicitamente definiti e limitati nello scopo e nel tempo, e che l’interessato possa reclamare, richiedere la correzione o la cancellazione dei dati, e opporsi al loro trattamento,
  4. quindi gli USA non garantiscono ai dati personali europei le stesse garanzie che il GDPR impone,
  5. le Clausole Contrattuali Standard sono un mezzo lecito per garantire la protezione dei dati personali con fornitori extra-UE, ma solo in un contesto in cui la legislazione estera garantisca già protezioni “sostanzialmente equivalenti al GDPR”; la Corte ha stabilito che questo non è il caso degli USA,
  6. ergo, i dati personali europei non possono essere trasferiti negli USA, né venire trattati da aziende che fanno capo agli USA.

Il consenso è inutile (ma necessario ai GAFAM)

Lei mi chiede di dare il mio consenso a che mia figlia utilizzi l’account GSuite che le avete preparato.

Ma il mio consenso non le serve: come il Garante Privacy ha avuto modo di ribadire più volte negli scorsi mesi, la scuola non ha bisogno di alcun consenso per adottare strumenti per assolvere ai propri compiti istituzionali. Alcun bisogno.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

E allora a chi serve il consenso? Serve a Google, e in due modi: in primo luogo per dare a lei la sensazione di avere le spalle coperte, addebitando la responsabilità ai genitori; e, in secondo luogo, Google sa benissimo che dopo la sentenza Schrems II e la cancellazione del “Privacy Shield” solo il consenso può essere la base giuridica per il trattamento dei dati personali negli USA. Ma naturalmente questo consenso vale solo per trattamenti di dati di tipo “occasionale”; considerando che l’account GSuite dura per l’intero anno scolastico, escluderei l’occasionalità.

Inoltre il consenso (ai sensi del GDPR) deve essere libero, informato, ed esplicito.

Consenso libero significa che io posso negarlo senza incorrere in alcun pregiudizio, come ad esempio quello per il quale mia figlia non disporrebbe dei materiali di studio che la scuola eroga via GSuite. Consenso che quindi nego, invitando la scuola a comunicarmi le modalità alternative di fruizione dei medesimi contenuti. Per esempio (ma il mio è solo un suggerimento) sotto forma di documenti PDF distribuiti tramite il Registro Elettronico.

La proprietà dei dati non è proprietà

Caro preside, forse la rassicura leggere sui documenti di Google che la proprietà dei dati rimane all’utente, ma in realtà è una dicitura inutile: per legge i dati personali sono inalienabili, la loro proprietà è sempre della persona cui appartengono. Quindi che rassicurazione è? O forse qualcuno cerca di sviare la sua e la mia attenzione? Parrebbe, perché:

Le Clausole Contrattuali Standard non servono a nulla

Lei mi dice che, decaduto il Privacy Shield, le Clausole Contrattuali Standard garantiscono comunque la protezione dei dati personali.

Questo è falso.

La Clausole Contrattuali Standard sono un contratto, con un fornitore extra-UE, che ha rango inferiore rispetto alle leggi nazionali. La Corte Europea di Giustizia ha stabilito che la legislazione statunitense non garantisce ai dati europei protezioni “sostanzialmente equivalenti” a quelle del GDPR, quindi non c’è Clausola Contrattuale che tenga. Altrimenti tutti potremmo decidere per contratto che l’IVA è allo 0% e la Ritenuta d’Acconto è a carico esclusivo dello Stato.

Google fa l’indiano

A me sembra che Google voglia fare un po’ l’indiano. Parla di consenso sapendo che non serve, di proprietà dei dati sapendo che non cambia, e di Clausole Contrattuali Standard sapendo che non funzionano. La stupirebbe scoprire che Google sta cercando di usarla come scudo, e come scusa?

Perché, vede, Google è quello che, nel GDPR, si chiama “Responsabile”; ossia un fornitore, che ai sensi del GDPR deve (non “può”, ma “deve”) operare secondo le istruzioni del Titolare (lei, Preside, che risponde delle sue scelte di fronte alla legge). E Google questo lo sa. Infatti, nel documento “Emendamento al Trattamento dei dati, versione 2.3” dice proprio questo:

5.2.1: il Cliente istruisce Google per il trattamento dei Dati Personali del Cliente, solo in ottemperanza alle leggi applicabili

5.2.2: …Google ottempererà alle istruzioni di cui alla sezione 5.2.1…

Questo, va detto, risponde a quanto richiede il GDPR. E ha il piacevole effetto (piacevole per Google) di fare ricadere su di lei (il Cliente) ogni responsabilità riguardo alla liceità del trattamento di dati. Google, da Responsabile del trattamento, si limita a eseguire le sue istruzioni. Lei vuole usare GSuite, e Google gliela fa usare. Lei vuole creare documenti in Google Docs, moduli Google in Moduli, elenchi di studenti in Google Classroom e Google glielo fa fare.

Non c’è via più veloce per il potere che prestarsi a qualsiasi volere di un padrone…

Mi spiace, signor Preside, Lei non ha più scuse

Credo che le serva qualche altro incentivo per abbandonare il cloud made in USA, perciò mi permetta di demolire anche le motivazioni più ricorrenti fra i suoi colleghi:

  • La sentenza della Corte Europea di Giustizia deve essere recepita: no. La Corte è l’ultimo appello. Ciò che decide, è eseguibile. Peraltro, la Corte ha deciso che il Privacy Shield dovesse decadere immediatamente; altrettanto immediata è la conseguenza che il cloud USA è off-limits per il trattamento di dati personali.
  • Il Ministero dell’Istruzione consiglia GSuite e Office365 (e WeSchool): no. Il MI non “consiglia”, ha solo siglato dei protocolli la scorsa primavera, quando il Privacy Shield era ancora operante; forse sarebbe il caso che il Ministero dichiarasse decaduti i protocolli; incidentalmente, anche WeSchool (partecipata di TIM) non è utilizzabile, visto che appoggia i propri servizi sulle piattaforme di Google e Amazon
  • Il Garante Privacy non si è ancora espresso: non è compito del Garante ribadire l’ovvio. Nel caso, il Garante dovrebbe ordinare l’immediato blocco dei trattamenti in violazione di legge, come è suo dovere (non “facoltà, ma ”dovere”). Per la cronaca, il Garante francese ha fatto proprio questo, nel caso dei dati sanitari dello Health Hub sviluppato in Francia da Microsoft. In Germania, già da prima della sentenza della Corte, il Garante aveva ripetutamente invitato le scuole ad abbandonare i cloud provider statunitensi
  • Non ci sono alternative: non è vero. Ogni funzione presente in GSuite è replicabile senza sforzo direttamente con il Registro Elettronico e altri software, tipicamente liberi, per le videoconferenze; con il vantaggio di investire sulle competenze specifiche dei docenti, di produrre materiali didattici riutilizzabili, e di evitare il lock-in tipico dei software commerciali. (Dice che Gsuite non mira al lock-in? Provi a esportare un modulo da Google Moduli anche solo in PDF…)
  • Il vantaggio (e quindi l’attrattiva) di Gsuite sta solo in due aspetti privi di qualsiasi valore educativo (se lei, come me, crede ancora che quello educativo sia il ruolo della scuola) ma di grande valore psicologico:
    1. il senso di attualità, esemplificato dalla frase “è tutto integrato”; dimenticando che la frase implica che “tutto”, materiale didattico e organizzazione, s’ha da fare come ha deciso qualche bell’anima a Menlo Park, con buona pace dell’autonomia didattica
    2. lo scarico di responsabilità: come sa qualsiasi responsabile acquisti, nessuno può dire niente se scegli il leader di mercato, no? Con l’aggiunta che, grazie al cloud, la sua responsabilità, Preside, si ferma quando i PC dell’istituto si accendono; se la rete non va, è colpa di Telecom, e se non va GSuite, è colpa di Google. Ma davvero lei è arrivato dove è arrivato per fare come un qualunque responsabile acquisti?

Liberiamo la scuola

Caro Preside, non creda che io non sia cosciente dei suoi problemi. Nella scuola italiana da decenni si spende per software e hardware (preferibilmente a rapidissima obsolescenza, tablet e LIM docent) e ancora nelle scuole non c’è l’ombra di informatica, intesa tanto come professionalità che come disciplina (quella cosa che si insegna con quel nome è il motivo per cui insegno matematica). Le si chiede di offrire agli studenti l’infrastruttura informatica di un campus americano, ma di farlo senza personale addetto.

Il Ministro di turno si sveglia la mattina e lancia la moda del semestre (LIM! Tablet! Internet! Coding!) e le si chiede di adeguarsi, indipendentemente dal senso dello slogan, della sua durata (ricorda le tablet school? Hammurabi pare più moderno) e, soprattutto della sua effettiva utilità didattica.

È ora di smetterla di trattare la scuola come l’ultima ruota del carro, come un comodo centro di costo cui assegnare le spese politicamente di moda al momento. Si ribelli, signor Preside. è la cosa giusta; ed è la cosa conveniente.

Perché i signori del cloud vogliono i dati dei nostri figli a scuola, come se non ne avessero già abbastanza. Presenze, assenze, voti, commenti dei docenti, comunicazioni scuola-famiglia. Quanto basta per fare un profilo completo di un futuro consumatore. Google dice che non rivende i dati personali raccolti con GSuite for Education. E non mente, peccato che il suo business sia affittare l’accesso ai profili costruiti su quei dati.

Profili che graveranno, invisibili, sulle spalle dei nostri figli per decenni, che avranno un peso quando si vorranno iscrivere a un corso, cercheranno lavoro, chiederanno un prestito.

Mi creda se le dico che nemmeno il genitore più tecnofilo può accettare che suo figlio sia discriminato fra vent’anni perché in quarta elementare ha avuto difficoltà di lettura o un accenno di balbuzie.

La Corte Europea di Giustizia ha ribadito l’ovvio: la protezione dei dati personali è un diritto garantito a chiunque in Europa. Non così negli Stati Uniti, con buona pace dei loro modelli di business.

Io, e molti altri genitori italiani, non lasceremo perdere.

In questa battaglia lei può essere in prima linea con noi. O essere il primo contro il muro, come si diceva in altri tempi. Può decidere se essere uomo, mezzo uomo, ominicchio o quaqquaraqquà. Anche se donna, preside, perché “gli attributi” sono ontologici, non fisiologici, come appunto Sciascia intendeva.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 4