GDPR howto: efficaci misure tecniche supplementari per GMail, Google Drive e Google Workspace

Oggi alcune scuole ci hanno chiesto quali misure tecniche supplementari adottare per continuare ad utilizzare i servizi di Google senza violare i diritti di studenti ed insegnanti.

Condividiamo qui la risposta che stiamo inviando, nella speranza che possa essere utile a chi intenda adottare questa soluzione.


Salve,

per essere efficaci, le misure tecniche supplementari che autorizzano il trasferimento di dati personali verso società sottoposte a normative incompatibili con i diritti umani, quali sono quelle statunitensi, russe o cinesi, variano notevolmente a seconda dei servizi utilizzati e delle finalità del trasferimento.

Si tratta di misure concettualmente semplici ma spesso estremamente costose perché devono impedire a chi riceve i dati personali (e i metadati) in questione di accedervi o di identificare con una probabilità non trascurabile i soggetti interessati (nel vostro caso, studenti e docenti).

Inoltre va sottolineato che, come chiarito nelle raccomandazioni 2020 del EDPB, talvolta non è proprio possibile individuare misure efficaci in tal senso e in tal caso tali trasferimenti vanno immediatamente interrotti. [1]


Questo per chiarire che le misure tecniche supplementari che sto per descriverle, se adottate rigorosamente da tutto il personale, da tutti gli studenti e da tutti i genitori, possono comunque garantire una protezione efficace per i dati personali degli interessati, solo per quanto riguarda l'utilizzo dei servizi in questione (Google Classroom, GMail, Google Drive etc...) e solo per quanto riguarda l'uso degli stessi in ambito scolastico.

Inoltre, tali misure tecniche supplementari vanno monitorate costantemente e richiederanno formazione continua di tutto il personale e adattamenti alle varie evoluzioni delle tecnologie utilizzate.


Il principio generale è semplice: bisogna rendere tecnicamente impossibile ad un avversario con la potenza di calcolo e le competenze combinate di Google e governo USA l'accesso ai dati personali degli utenti che ne usano la piattaforma, minimizzandone la diffusione e rendendoli impossibili da ricondurre ai soggetti cui fanno riferimento.


Dovremo dunque far sì che la quantità di dati personali inviati ai server di Google sia la minima tecnicamente possibile, per impedire tecnicamente a tale piattaforma (che effettua un monitoraggio sistematico degli utenti per altri canali) di correlarli con altri dati personali già in suo possesso ed identificarne il proprietario.


Dovrete dunque necessariamente dotarvi di personale tecnico qualificato ovvero sistemisti esperti in sicurezza informatica che possano farsi carico della manutenzione e dell'evoluzione delle misure supplementari che le sto per descrivere. Indicativamente un sistemista ogni 50 persone dovrebbe essere sufficiente.


Il primo passaggio di queste misure minime è ovviamente formare gli interessati, partendo dagli insegnanti per proseguire con studenti e genitori: tutti devono essere pienamente consapevoli del funzionamento del sistema per poter evitare data breach, sanzioni e risarcimenti danno.

In rete (ma non su Google) può trovare molto materiale utilissimo in proposito. Un breve corso introduttivo di cybersecurity che non presuppone alcuna conoscenza pregressa in materia lo può trovare qui:

- https://video.linuxtrent.it/c/cybersecurity@video.resolutions.it/videos?s=1

Una volta fornite competenze adeguate a tutto il personale, agli studenti e ai genitori, il vostro istituto potrà adottare in modo efficace le seguenti misure tecniche e procedurali volte a stabilire un perimetro di sicurezza ben definito:

  1. acquistare per ciascuno studente un laptop da utilizzare esclusivamente per la connessione scolastica ai servizi di Google:
    • tutti i laptop devono essere privi di circuiteria GSM/4G/5G, possibilmente privi di telecamera e microfono (da disabilitare successivamente se presenti), dello stesso identico modello, con la stessa identica configurazione e versione del sistema operativo, perché minime variazioni potrebbero essere utilizzate per identificare gli utenti
    • potreste risparmiare molte migliaia di euro, sia in licenze che in effort erogato dai sistemisti del vostro istituto, utilizzando sistemi operativi liberi basati su GNU/Linux, come
    • tuttavia, se a valle di una approfondita valutazione comparativa [2] riterrete necessario utilizzare software proprietario, sarà sufficiente configurarlo su ciascun laptop in modo da non inviare alcun dato verso aziende extra-europee, disabilitando ogni software o servizio che li possa avviare, dalla telemetria ad ogni software preinstallato non tecnicamente necessario per l'accesso ai servizi in questione (sostanzialmente serve solo un browser web)
  2. acquistare per ciascun docente un laptop da utilizzare esclusivamente per la connessione scolastica ai servizi di Google: i laptop dei docenti possono essere identici a quelli degli studenti o diversi da questi ma assolutamente identici fra loro, tanto Google dovrà necessariamente distinguerli da quelli degli studenti.
  3. configurare una VPN sotto il controllo fisico e amministrativo della scuola che verrà utilizzata come unico punto di accesso ai servizi di Google:
    • tutti i laptop di studenti e insegnanti andranno configurati per accedere ad internet esclusivamente tramite tale VPN
    • la VPN dovrà impedire la connessione a domini e IP diversi da quelli strettamente necessari per l'accesso alla suite di Google
  4. su ogni laptop dovrà essere configurato un singolo account pseudonimico (ovvero con username e password non riconducibili agli assegnatari)
  5. ad ogni studente (e ad ogni insegnante) dovrà essere assegnato un account pseudonimico per accedere ai servizi di Google.
  6. ogni 3 mesi, ogni studente e ogni insegnante dovrà riconsegnare il proprio laptop ai sistemisti che si occuperanno di
    • fornire all'interessato un nuovo laptop (identico al precedente) e nuove credenziali di accesso ai servizi di Google
    • effettuare un backup dei dati eventualmente presenti sull'account pseudonimico di Google e sul PC (da consegnare ovviamente all'interessato su un supporto fisico ed in formato portabile ai sensi dell'articolo 20 GDPR)
    • eliminare l'account Google precedentemente utilizzato dall'interessato
    • eliminare in modo irreversibile tutti i dati personali del precedente assegnatario dal laptop in modo da poterlo riassegnare
    questa procedura serve a garantire che Google non possa utilizzare dati personali descrittivi come identificativi di fatto [3]: è dunque fondamentale garantire che nessuno studente riceva due volte lo stesso laptop nel corso della propria permanenza nell'istituto.
    Per facilitare tale procedura si consiglia di acquistare un numero di laptop superiore a quello degli interessati (un 40% in più dovrebbe essere sufficiente).
    Inoltre, scegliendo sistemi operativi liberi è possibile automatizzare alcune parti del processo riducendo il rischio di errori umani, sulla falsa riga di quanto già fatto anni fa nelle scuole Finlandesi.

ATTENZIONE!

Le procedure e le misure tecniche supplementari fin qui descritte minimizzano i dati personali trasmessi a Google e possono impedire efficacemente la loro riconduzione ai rispettivi soggetti interessati.

Tuttavia possono essere vanificati facilmente da semplici errori: dovrà ad esempio essere chiaro a tutti gli interessati che non possono utilizzare il proprio nome, il proprio cognome o altro identificativo stabile nelle comunicazioni che transitano attraverso i server di Google, ma SOLO l'utenza attualmente assegnata a ciascun utente.

Inoltre non potranno essere scambiate né informazioni relative al nucleo familiare, né informazioni mediche (come certificati di infortunio, malattia, diagnosi di DSA o altre patologie), né informazioni che permettano di identificare univocamente una singola persona. Ad esempio, non potranno essere scambiate scansioni di testi scritti a mano, poiché la grafia permetterebbe l'identificazione dell'interessato e l'attribuzione di tutti i dati precedentemente raccolti su di esso.

Infine le misure di sicurezza in questione verrebbero vanificate dall'utilizzo di telecamera o microfono in una video conferenza su Google Meet: voce e feature facciali permettono infatti un'identificazione globale e permanente dell'interessato. Per questa ragione, non vi è allo stato dell'arte, un modo compatibile con il GDPR di utilizzare sistemi di video conferenza come Google Meet, che andrà sostituito con alternative europee cui connettersi tramite hardware distinto dal laptop in questione.


Naturalmente rimane nettamente più rapido ed economico cambiare fornitore. Software liberi come Moodle o NextCloud possono essere acquistati come servizio chiavi in mano da molti fornitori italiani ed europei.

60 giorni possono sembrare pochi, ma va considerato che la sentenza Schrems II è del luglio 2020 e il FOIA di Fabio Pietrosanti che ha messo tutte le scuole italiane in condizione di comprendere il problema ed iniziare la dismissione dei servizi in questione è stato effettuato ormai quattro mesi fa.

Da un punto di vista strettamente tecnico, si tratta comunque di un tempo più che ragionevole per una migrazione di questo tipo: l'importante è partire subito.


Nello stesso tempo se ritenete di poter adottare misure tecniche supplementari efficaci come quelle qui descritte, vi preghiamo di informarci delle stesse entro i termini indicati, in modo da condividere con gli altri istituti la vostra esperienza in merito e da escludervi dalla segnalazione che invieremo all'Autorità Garante per la Protezione dei Dati Personali.


Speriamo con questo di aver chiarito i suoi dubbi, ma rimaniamo disponibile per qualsiasi ulteriore chiarimento.

Peraltro, può venire a trovarci nella chat Matrix / Telegram del nostro progetto: trova tutte le informazioni necessarie su https://monitora-pa.it/contatti.html

Con i più Cordiali Saluti

[1]: si veda a tal proposito il Caso d'uso 6 a pagina 28 e seguenti di dette Raccomandazioni https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_it.pdf

[2]: https://www.agid.gov.it/it/design-servizi/riuso-open-source/linee-guida-acquisizione-riuso-software-pa

[3]: si veda in proposito https://www.csee.umbc.edu/~kunliu1/p3dm08/proceedings/2.pdf e https://www.cs.utexas.edu/~shmat/shmat_oak08netflix.pdf