Come emerso dal FOIA di Fabio Pietrosanti, migliaia di scuole utilizzano i servizi di Google e Microsoft senza efficaci misure tecniche supplementari che rendano inaccessibili a questi fornitori i dati personali di studenti ed insegnanti.
La maggioranza di queste scuole non si sono nemmeno preoccupate di effettuare le valutazioni d'impatto (DPIA e TIA) previste dal Garante della Privacy laddove le piattaforme selezionate consentano (anche solo alle società che forniscono le piattaforme stesse) un monitoraggio sistematico di minori e il trasferimento di quelle categorie di dati personali protette dall'articolo 9 del GDPR.
La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici).
Le valutazioni di impatto hanno la funzione di individuare le misure tecniche supplementari necessarie ad utilizzare un determinato servizio per trattare i dati personali dei cittadini europei e come chiarito dallo European Data Protection Board nelle raccomandazioni adottate il 17 gennaio 2023, sono spesso necessarie alla Pubblica Amministrazione anche quando non obbligatorie per evitare palesi violazioni del primo comma dell'articolo 28 del GDPR.
Emerge dalle analisi effettuate dalle autorità che il semplice uso di un CSP che sia parte di un gruppo multinazionale soggetto a normative di un Paese terzo può risultare nell’applicazione delle normative in questione anche ai dati conservati nello spazio economico europeo.
Eventuali richieste in tal caso verrebbero direttamente inviate al CSP nel territorio europeo e riguarderebbero dati presenti nel territorio europeo ma non oggetto di trasferimenti già autorizzati. [...]
L’analisi di tutti gli elementi in questione potrebbe portare a differenti situazioni e differenti violazioni [...] da parte della pubblica amministrazione stessa se [...] viene ingaggiato un fornitore che non può fornire una protezione adeguata come richiesto dall’articolo 28 comma 1 del GDPR.
Migliaia di scuole hanno dunque dichiarato pubblicamente di aver violato i diritti di studenti ed insegnanti violando il GDPR senza nemmeno analizzare quali rischi tali piattaforme, nettamente più complesse delle necessità effettive di una scuola, ponessero per le libertà e i diritti degli studenti e senza adottare, di conseguenza, alcuna misura tecnica in grado di proteggerli.
Come vengono usati i dati dei ragazzi?
Al di là della normativa, cosa comporta l'utilizzo degli strumenti di Google?
In estrema sintesi, Google stessa dichiara di utilizzare i dati raccolti
- "se stiamo rispondendo a un procedimento giudiziario o a una richiesta esecutiva del governo"
- per "offrire, mantenere e migliorare i nostri servizi e soddisfare le esigenze degli utenti"
- per "sviluppare nuovi prodotti e funzionalità che siano utili per gli utenti"
- per "capire come le persone utilizzano i nostri servizi al fine di garantire e migliorare il rendimento dei nostri servizi"
- per "personalizzare i nostri servizi per offrire un'esperienza utente migliore"
- per "mostrare pubblicità"
- per "effettuare ricerche che migliorino i nostri servizi per gli utenti"
Per comprendere cosa queste parole significhino bisogna ricordare che i servizi di Google includono software programmati statisticamente (le cosiddette "intelligenze artificiali") progettati per influenzare il comportamento degli utenti non paganti secondo gli interessi degli utenti paganti (e di Google stessa, ovviamente).
I fatturati miliardari di Google sono effetto di questo impercettibile potere coercitivo: attraverso i dati raccolti su ogni singolo studente, Google potrà prevedere automaticamente e con grande precisione come reagirà ad ogni singola informazione che riceverà in futuro, selezionando di conseguenza le informazioni da fornirgli durante una ricerca, mentre guarda un video YouTube etc... per produrre il comportamento desiderato, sia che si tratti di acquistare un certo prodotto sia che si tratti di votare o non votare un certo partito.
Come proteggere i nostri ragazzi (e la Democrazia)?
Impedire che i nostri figli si riducano a burattini nelle mani dei Big Tech è ancora possibile, ma è urgente agire con decisione.
La normativa italiana ed europea, garantisce ancora molti diritti ai genitori degli studenti che facendoli valere possono consentire ai Dirigenti Scolastici (spesso mal consigliati da DPO francamente incompetenti, come si è visto in occasione del FOIA di Fabio) di prendere coscienza dei gravi danni che stanno causando ai propri studenti, nonché dei rischi legali di cui verranno chiamati a rispondere nei prossimi mesi.
Alla luce di questa consapevolezza e con il nostro supporto, Stefano Longagnani, genitore e docente, ha realizzato questa lettera per richiedere alle scuole dei suoi figli l'interruzione dei trasferimenti verso Google ed altri fornitori statunitensi.
Stefano ha generosamente condiviso tale lettera affinché altri genitori possano adattarla al proprio contesto ed inviarla agli Istituti dei propri figli.
Il file è disponibile in formato OpenDocument così che chiunque possa modificarlo facilmente usando software libero.
Oltre ai diversi spazi da compilare con i dati della scuola e del genitore, vi sono diversi punti
che possono essere personalizzati, omessi o estesi a seconda delle circostanze.
Alcuni punti di particolare interesse sono:
- Nell'incipit della lettera Stefano ha menzionato Monitora PA, ma non è assolutamente necessario. Se, conoscendo i vostri interlocutori, ritenete più efficace non nominarci o persino prendere le distanze da noi, saremo felicissimi di aiutarvi comunque: l'importante è il risultato.
- Al termine del punto 1 viene nominata, oltre a Google Classroom, un'ulteriore piattaforma utilizzata da alcune scuole per somministrare verifiche agli studenti: qualora ai vostri figli non sia mai stato richiesto di utilizzare tale piattaforma potete tranquillamente rimuovere tale paragrafo o sostituirlo con altre piattaforme analoghe gestite da diverse società extra-europee.
- Al punto 16 viene richiesta una copia dei dati raccolti in un formato portabile appropriato e su un supporto fisico a scelta
dell'istituto fra DVD, Blu-Ray e disco SSD. L'esercizio di questo diritto è importante per evitare che i dati di vostro figlio
rimangano ostaggio delle piattaforme adottate dalla scuola. La scelta del supporto fisico da utilizzare è lasciata alla scuola
ma è importante che i dati vengano forniti su tale supporto invece che tramite lo scaricamento da un sito web affinché la scuola
si assuma la piena responsabilità della loro completezza e consistenza.
Si noti come l'articolo 15 del GDPR chiarisca che solo le copie successive alla prima di un certo gruppo di dati possono essere sottoposte alla richiesta di un ragionevole rimborso alla scuola sulla base dei costi amministrativi sostenuti. - Il punto 17 preannuncia un reclamo all'Autorità Garante per la Protezione dei Dati Personali nella malaugurata ipotesi che i trasferimenti illeciti di cui vostro figlio è vittima non vengano interrotti entro i 60 giorni dalla ricezione della richiesta.
- Il punto 18 diffida la scuola dal discriminare in qualsiasi modo vostro figlio per aver esercitato i propri diritti, anche solo costringendolo ad un trattamento diverso da quello dei compagni che comporterebbe inevitabilmente una grave sofferenza psicologica da parte dello stesso.
In una società civile, l'ultimo punto non dovrebbe essere necessario, in quanto state esercitando un vostro diritto per proteggere un minore. Tuttavia la lettera è stata scritta da un docente che conosce meglio di noi la complessità delle dinamiche scolastiche.
Data l'enorme varietà di situazioni concrete, prevedere tutti i casi è impossibile, ma la chat Matrix / Telegram del nostro progetto è piena di volontari felicissimi di aiutare i genitori che abbiano dubbi o curiosità su come esercitare i propri diritti o anche solo su come presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali.