Inutile negarlo: il FOIA di Fabio, non è andato come previsto.
La lunga premessa era stata attentamente studiata per informare i Dirigenti Scolastici senza spaventarli. Avevamo accuratamente evitato qualsiasi richiesta di interruzione di trattamenti illeciti, pur sapendo che determinate piattaforme adottate durante la pandemia sottopongono studenti e insegnanti ad un controllo sistematico e su larga scala. E avevamo cercato persino di accompagnare le nostre richieste con buone notizie, come i fondi che ciascuna scuola riceverà nel contesto del PNRR.
Come sempre, il nostro obiettivo era anzitutto culturale e politico: non già indirizzare verso una soluzione o l'altra, ma permettere a Dirigenti, spesso oberati e mal consigliati, di prendere coscienza di un enorme problema.
Speravamo che, rileggendo le DPIA e le TIA di strumenti di sorveglianza come Google Workspace o Microsoft 365, comprendessero i gravi danni che stanno procurando ai propri studenti.
Speravamo che rileggendo le valutazioni comparative, comprendessero meglio i vantaggi delle soluzioni basate su software libero (o almeno opensource), come BigBlueButton, Moodle, eduMEET, Jitsi, NextCloud etc...
Speravamo che approfondendo i riferimenti normativi riportati nelle nostre premesse, comprendessero i gravi rischi economici e di carriera cui vengono sottoposti da consulenti incompetenti.
Sapevamo che il nostro F.O.I.A. avrebbe scoperchiato un vaso di pandora.
Avevamo stimato che un 5% delle scuole non ci avrebbe risposto e che un 15-20% ci avrebbe opposto dinieghi con varie scuse per nascondere responsabilità pregresse.
Sapevamo, per stime precedenti, che moltissime scuole erano già vittime di un lock-in fortissimo e ci aspettavamo fantasiose difese degli strumenti di sorveglianza come salvatori della scuola da un 30-40% degli istituti.
Ci aspettavamo di dover pazientemente smontare migliaia di DPIA e TIA che dichiaravano la legittimità dell'utilizzo di strumenti come Google Meet e Microsoft Teams, sulla base di clausole contrattuali standard, consensi liberi ed informati dei genitori o chissà quale altra promessa da marinaio.
Ma speravamo che accanto ai problemi, emergessero anche le soluzioni.
Sapevamo (e sappiamo) che molte scuole non usano strumenti di sorveglianza.
Sapevamo che molte scuole hanno scelto strumenti come Moodle e BigBlueButton sin dall'inizio della pandemia.
Ci aspettavamo che ce lo dicendessero. Magari anche prendendoci un po' in giro, trollandoci, allegando la GPL
come contratto in essere o cose simili.
Inizialmente ci aspettavamo che la maggioranza delle scuole ci rispondesse in massa entro le prime due settimane dal F.O.I.A. in quanto chiedevamo pochi documenti, obbligatori per legge e facilmente reperibili.
Poi ci fu fatto notare che le scuole dovevano contattare anche i contro-interessati e che questo richiedeva tempo, per cui la nostra stima iniziale era semplicemente errata: le scuole avrebbero risposto entro i 30 giorni, ma probabilmente non prima.
Purtroppo non ci aspettavamo che così tanti Presidi finissero per non rispondere entro i termini di Legge (15%) o per rigettare con scuse ridicole le richieste di Fabio (48%).
Le Istanze di Riesame
Questo atteggiamento purtroppo ci costringe a ricorrere ai Responsabili per la Prevenzione della Corruzione e della Trasparenza (RPCT) per ben 5231 scuole, laddove noi ci aspettavamo di doverlo fare per poco più di mille.
Si tratta naturalmente di un atto dovuto: questa sistemica mancanza di trasparenza ci stupisce e ci inquieta e merita sicuramente una approfondita indagine da parte degli enti preposti.
Abbiamo dunque inviato 21 Istanze di Riesame ad altrettanti RPCT di competenza, presso:
- Uffici Scolastici della Regione Abruzzo
- Uffici Scolastici della Regione Basilicata
- Uffici Scolastici della Regione Calabria
- Uffici Scolastici della Regione Campania
- Uffici Scolastici della Regione Emilia Romagna
- Uffici Scolastici della Regione Friuli Venezia Giulia
- Uffici Scolastici della Regione Lazio
- Uffici Scolastici della Regione Liguria
- Uffici Scolastici della Regione Lombardia
- Uffici Scolastici della Regione Marche
- Uffici Scolastici della Regione Molise
- Uffici Scolastici della Regione Piemonte
- Uffici Scolastici della Regione Puglia
- Uffici Scolastici della Regione Sardegna
- Uffici Scolastici della Regione Sicilia
- Uffici Scolastici della Regione Toscana
- Uffici Scolastici della Regione Umbria
- Uffici Scolastici della Regione Valle d'Aosta
- Uffici Scolastici della Regione Veneto
- Uffici Scolastici della Provincia Autonoma di Trento
- Uffici Scolastici della Provincia Autonoma di Bolzano
Per la massima trasparenza e per favorire il loro lavoro di riesame, abbiamo inviato a ciascun RPCT tutte le email di diniego (totale o parziale) ricevute dalle scuole oggetto della rispettiva richiesta di riesame, in modo che possano valutarne personalmente le argomentazioni.
In ottica di assoluta collaborazione, avevamo inoltre preallertato i RPCT del nostro invio e abbiamo avuto cura di telefonare agli uffici prima di inviare le segnalazioni che superavano complessivamente i 300 megabyte, in modo da preparare il protocollo alla gestione delle istanze ed evitare problemi di ricezione.
I prossimi passi
Dal punto di vista legale, ora la palla passa ai Responsabili per la Prevenzione della Corruzione e per la Trasparenza, cui abbiamo offerto massima collaborazione.
Noi intanto ci occuperemo della pubblicazione delle risposte, tanto attesa dalla nostra comunità. Si tratta di una sfida tecnica interessante cui ci dedicheremo nei prossimi giorni perché le risposte sono state inviate in innumerevoli formati (HTML, docx, doc, pdf...), in archivi Zip e Rar, con parti censurate in modo efficace e non e così via.
Cercheremo di normalizzare, per quanto possibile, questi documenti in un unico formato e rimuovere automaticamente i dati personali che i mittenti hanno purtroppo omesso di oscurare.
Inoltre stiamo studiando come portare all'attenzione del Garante l'uso, così diffuso nelle scuole, di piattaforme che permettono un monitoraggio sistematico e su larga scala di studenti ed insegnanti senza nemmeno una analisi di impatto.
Purtroppo molti Dirigenti Scolastici non hanno compreso bene il GDPR: come Titolari del Trattamento rispondono in prima persona di tutti i trattamenti effettuati o effettuabili da un qualunque fornitore.
E sebbene ogni singola scuola non richieda a Google o Microsoft di effettuare un monitoraggio sistematico di ciascun utente, il fatto che questi possano farlo (e il fatto che possano essere costretti dalla legge USA a violare il contratto con la scuola) rendeva necessaria sia la DPIA che la TIA. Analisi dalle quali l'inadeguatezza di questi Data Processor sarebbe risultata evidente alla luce della sentenza Schrems II.
Poiché questa illegalità diffusa perdura, dovremo chiedere al Garante di occuparsene.
Infine stiamo cercando il modo di valorizzare la dozzina (ahinoi) di Scuole che hanno avuto il coraggio di andare controcorrente, evitando il capitalismo di sorveglianza e proteggendo i propri studenti.
Stay tuned! ;-)