Il Ministero dell’Istruzione rassicura i dirigenti in merito all’utilizzo dei servizi di Google e Microsoft nelle scuole e ricorda che le Istituzioni scolastiche, in qualità di titolari del trattamento, hanno la responsabilità di verificare la conformità al GDPR delle garanzie contrattuali assicurate dai loro fornitori di servizi IT, con particolare riferimento al trasferimento dei dati extra UE. Una presa di posizione accolta con favore dai dirigenti scolastici, ma di certo non risolutiva.
Google Analytics, possiamo usarlo ancora: ecco come, nel rispetto della privacy
I fatti
Con nota n. 706 del 20 Marzo 2023, riscontrando le richieste di supporto inviate da diversi Uffici scolastici, Il Ministero dell’Istruzione e del Merito ha ritenuto utile fornire delle linee di azione generali in merito alla valutazione di conformità al GDPR del trattamento e del trasferimento extra UE (in particolare verso gli USA) di dati personali degli utenti (quindi anche minori di età) delle Istituzioni scolastiche determinato potenzialmente dall’utilizzo di alcuni servizi di posta elettronica e di altre piattaforme ICT.
Da mesi, infatti, i dirigenti scolastici si trovano ad affrontare le segnalazioni e le richieste di accesso civico di Monitora PA, un collettivo di hacker che, provando a imporre un’interpretazione estremamente rigida della sentenza Schrems II[1], ha ripetutamente bersagliato le scuole italiane e tante altre PA con richieste automatizzate inoltrate a mezzo PEC, aventi a oggetto la richiesta perentoria di dismissione dei servizi IT, facenti capo ad alcuni big player soggetti alla normativa statunitense.
Le indicazioni del Ministero
La circolare denominata “Approfondimenti tecnici di supporto agli istituti scolastici”, a firma del Direttore Generale per i sistemi informativi e la statistica, ricorda che gli istituti scolastici – nella loro qualità di titolari del trattamento – sono tenuti “a condurre un’analisi del rischio o una valutazione d’impatto e una verifica di adeguatezza circa le modalità, le garanzie ed i limiti del trattamento dei dati personali nel rispetto della normativa vigente”. Il Ministero, pertanto, evidenzia che deve essere, appunto, il titolare del trattamento a valutare con attenzione l’adeguatezza delle garanzie presentate dal responsabile del trattamento e – in ossequio al principio cardine dell’accountability – dovrebbe essere anche in grado di dimostrare di aver preso in seria considerazione tutti gli elementi previsti al capo V del GDPR, al fine di assicurare che il livello di protezione delle persone fisiche garantito dal Regolamento non sia pregiudicato in caso di trasferimento transfrontaliero dei dati.
Richiamando tali disposizioni, la circolare sottolinea che, in caso di trasferimenti di dati extra UE, i titolari sono tenuti a verificare la sede legale dei loro fornitori ICT e, in particolare, la localizzazione dei server coinvolti nel trattamento dei dati. Qualora i data center si trovino negli Stati Uniti, il Ministero ricorda appunto che la Corte di Giustizia dell’Unione Europea, nella già citata sentenza Schrems II, ha stabilito che, in assenza di una nuova decisione di adeguatezza dell’UE, il titolare o il responsabile può comunque trasferire dati personali verso gli USA, purché fornisca “garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi”. In tale eventualità, il titolare, inoltre, è responsabile di verificare, caso per caso, i singoli flussi transfrontalieri.
Il Ministero, pertanto, invita gli istituti scolastici, coadiuvati dai propri referenti IT e dai DPO, a verificare la compliance al GDPR delle misure di sicurezza e delle diverse garanzie contrattualmente assicurate dai provider IT e, nello specifico, qualora gli accordi ex art. 28 GDPR prevedano e autorizzino trasferimenti internazionali dei dati, a sincerarsi che avvengano sulla base delle garanzie indicate all’art 46 GDPR.
Google e Microsoft: la dichiarata conformità al GDPR e la qualificazione di AGID
In particolare, i servizi e gli strumenti offerti da Google e Microsoft agli istituti scolastici sono utilizzati dalla stragrande maggioranza delle scuole, in assenza di alternative equiparabili, in termini di costi e capacità di integrazione con più servizi IT (posta elettronica, drive, funzionalità per la condivisione e l’interazione nelle attività didattiche, etc.).
Tanto considerato, con l’intento di facilitare la verifica di conformità del trattamento dei dati personali al GDPR, il Ministero segnala alcuni documenti ufficiali in cui i due provider IT si dichiarano compliant alla normativa europea. In particolare, il Ministero cita il DPA di Microsoft aggiornato al 1° gennaio 2023, in cui il colosso statunitense dichiara che eventuali trasferimenti di dati extra UE sono disciplinati dalle Standard Contractual Clauses (SCC) adottate dalla Commissione europea nel 2021 ai sensi dell’art. 46 del GDPR e che, in relazione ai “servizi online”, si applica la soluzione “EU Data Boundaries”, per cui i dati trattati dagli Istituti scolastici saranno archiviati in UE.
Per quanto riguarda invece l’altro gigante del web, Google, la circolare riporta il “Google Cloud Data Processing Addendum (CDPA)”, che disciplina i trattamenti di dati effettuati per l’erogazione dei servizi “Google Cloud Platform, Google Workspace e Cloud Identity”, in cui, in egual modo, il big provider dichiara che, in caso di trasferimento extra UE, si applicano le SCC previste dall’art. 46 GDPR.
Infine, sotto diverso profilo, la circolare evidenzia opportunamente che sia Google sia Microsoft hanno superato il percorso di qualificazione per la fornitura dei servizi Cloud alla Pubblica Amministrazione, come disciplinato dal Piano Triennale per l’informatica nella PA 2017-2019 e, pertanto, secondo i requisiti definiti dalle Circolari AgID n. 2 e n. 3 del 9 aprile 2018, entrambi sono presenti nel Cloud Marketplace per la PA, ora sotto l’egida dell’Agenzia per la Cyber Sicurezza Nazionale.
In attesa di una soluzione politica
La circolare è stata accolta con favore dall’Associazione nazionale dei dirigenti scolastici, ma non altrettanto dai DPO degli istituti scolastici, poiché ravvisano nella stessa il permanere di una posizione ambigua, che di fatto non si tradurrebbe in una presa di posizione risolutiva da parte del Ministero, che – nonostante il richiamo agli impegni contrattualmente assunti da questi provider – starebbe sostanzialmente ribadendo la responsabilità per gli istituti scolastici di effettuare di volta in volta, e caso per caso, tali valutazioni.
Il Ministero dell’Istruzione, in effetti, come sottolineato dall’EDPB nelle linee guida relative all’utilizzo dei servizi cloud nelle PA, ha giustamente ricordato il dovere delle Istituzioniscolastiche – in qualità di titolari – di effettuare una valutazione d’impatto, ma – non possiamo non sottolinearlo – in relazione al trasferimento di dati extra UE ha omesso di considerare le conclusioni tratte dall’EDPB[2] in merito alle misure supplementari che dovrebbero essere previste nelle Standard Contractual Clauses, al fine di garantire il livello di protezione richiesto dal GDPR.
Come dichiara il Comitato, infatti, se il potere delle autorità pubbliche del paese destinatario di accedere ai dati personali trasferiti nel proprio territorio non è soggetto a limitazioni e trasgredisce, quindi, i principi di necessità e proporzionalità, difficilmente le garanzie contenute nelle clausole contrattuali tipo di cui all’art 46 del GDPR riescono a impedire del tutto che tale accesso avvenga. Di qui il paradosso: anche laddove gli istituti scolastici fossero in grado di negoziare con i colossi tecnologici misure di sicurezza supplementari efficaci, tali garanzie verrebbero sempre neutralizzate dal potere (quanto meno teorico) delle autorità statunitensi di accedere, in modo massivo e indiscriminato, ai dati trasferiti dall’UE. E, se poi si considerano le criticità derivanti dall’efficacia extraterritoriale del Cloud Act, che conferisce alle autorità federali statunitensi il potere di acquisire i dati detenuti dai provider USA, anche se ospitati su server in UE e senza supervisione alcuna, risulta evidente che l’unica soluzione definitiva alle problematiche sollevate – che di fatto mettono in discussione l’intera architettura web di cui disponiamo oggi – non potrà che scaturire da un accordo politico tra l’Unione Europea e gli Stati Uniti. E questo anche alla luce del silenzio attuale dell’Autorità nazionale, (come anche dell’EDPB) al riguardo, nonostante le sollecitazioni in tal senso da parte di numerosi giuristi.
Condizione imprescindibile per una nuova valutazione di adeguatezza – attualmente in discussione a Bruxelles – è che il Trans Atlantic Data Privacy Framework garantisca trasparenza e proporzionalità dei controlli eseguiti dalle autorità statunitensi per finalità di sicurezza, riconoscendo agli interessati strumenti di ricorso effettivi di tutela in sede amministrativa e giudiziaria.
Non possiamo non ricordare, comunque, che il Comitato dei Garanti ha espresso dubbi sul progetto di decisione di adeguatezza relativa al nuovo accordo, rilevando che permangono alcune delle criticità già sollevate in relazione al Privacy Shield, in particolare per quanto concerne sia l’effettivo esercizio dei diritti degli interessati, sia l’ampia esclusione delle informazioni disponibili al pubblico e sia il meccanismo pratico di ricorso.
Una palude tutta italiana
In senso diametralmente opposto rispetto alle indicazioni date, invece, alle scuole dal Governo francese[3], quindi, il Ministero dell’Istruzione italiano ritiene i due colossi del Big tech potenzialmente conformi al capo V del GDPR. E non si può non ricordare che la stessa Agenzia per l’Italia Digitale – sotto diverso profilo – ha rassicurato in passato le PA in merito alla sicurezza e all’affidabilità dei servizi forniti come cloud provider.
In tale palude tecnico-giuridico -politica, il silenzio del Garante denota un certo imbarazzo nel prendere decisioni complesse, probabilmente in attesa di un agognato coordinamento europeo su un problema oggettivamente complesso e dagli impatti devastanti.
Sta di fatto che gli istituti scolastici, come tutte le PA italiane, trovano sponda in merito all’avvenuta adozione delle soluzioni cloud oriented nelle stesse strategie del PNRR. Non si può non ricordare, in poche parole, che certe scelte si sono fondate proprio su piuttosto recenti strategie di digitalizzazione del nostro Sistema Paese.
Va benissimo, insomma, sognare una sovranità digitale europea e una gestione dei nostri affari digitali libera dalla schiavitù di soluzioni proprietarie oggi poggiate su un’oligarchia digitale in atto. Ma ricordiamoci anche che questa oligarchia è stata favorita dal nostro silenzio perdurato negli ultimi vent’anni, salvo svegliarci solo adesso, confidando in una normativa europea più attenta a protezione dei nostri diritti e libertà fondamentali[4].
Purtroppo, si ha l’amara sensazione che questo torpore sia durato troppi anni e, forse, se non vogliamo rischiare un totale isolamento dalla “digitalità” mondiale che ci riguarda, dobbiamo pensare a soluzioni di compromesso che possano puntare oggi a delimitare certi strapoteri causati da nostre reiterate disattenzioni, per poi concedersi il lusso in futuro di inseguire i sogni di libertà digitali in un anno che verrà.
- Come è noto, la sentenza C-311/18 (c.d. Schrems II) della Corte di Giustizia UE ha invalidato la decisione di adeguatezza relativa al Privacy Shield, su cui si basava la legittimità dei trasferimenti di dati personali dall’UE verso gli USA. Ad avviso della Corte, la normativa degli Stati Uniti (nello specifico, la Sezione 102 FISA e l’Executive Order 12333) non garantisce un livello adeguato di protezione dei dati, nella misura in cui consente un ampio accesso alle autorità statunitensi, per finalità di sicurezza nazionale, di dati personali di cittadini europei, a prescindere dal fatto che tali dati siano effettivamente trasferiti dall’Unione europea agli Stati Uniti. ↑
- Raccomandazione n. 1/2020 dell’EDPB relativa alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE. ↑
- Il Ministero della Pubblica Istruzione francese ha infatti raccomandato alle scuole di interrompere qualsiasi implementazione o estensione delle soluzioni gratuite di Google e Microsoft, poiché non compatibili con il GDPR. ↑
- Si fa riferimento ovviamente non solo al GDPR, ma anche e soprattutto ai regolamenti UE DSA e DMA. ↑
