Primi chiarimenti sulle alternative a Google Workspace e Microsoft Office 365

Alcune scuole in questi giorni ci hanno posto alcune domande in merito a Google Classroom e Microsoft Office 365.

Condividiamo qui le risposte nella speranza che possano essere utili ad altri Dirigenti Scolastici, fermo restando che siamo sempre felici di aiutare le scuole in difficoltà sulla nostra chat Matrix / Telegram.

I termini del servizio di Google Workspace for Education sono GDPR Compliant?

I termini di servizio di Google Workspace for Education che lei ha linkato permettono di accedere alla Privacy Policy che Google LLC applica ai dati raccolti dagli studenti e dagli insegnanti del Vostro Istituto (nonché da tutti quelli dei molti altri istituti italiani). Dati che può correlare con tutti quelli raccolti sulle stesse persone attraverso innumerevoli altri canali (dai siti web visitati, alle più comuni App Android) operando un monitoraggio sistematico e su larga scala1.

Il percorso di navigazione per arrivare alla parte rilevante della Privacy Policy applicabile di Google a partire dall’indirizzo da lei fornito è:

Giunti alla pagina https://policies.google.com/privacy?hl=it#europeanrequirements nella sezione relativa alle “Basi giuridiche del trattamento” è possibile leggere come, fra le finalità del trattamento dati giustificate sulla base del legittimo interesse di Google, vi siano il miglioramento dei propri servizi per aumentarne il rendimento, lo sviluppo di nuovi prodotti2 nonché ricerche per migliorare i servizi di Google (che includono le AI utilizzate per “personalizzare” i contenuti e gli Ads proposti a ciascun utente) e molto altro; si tratta di trattamenti estremamente complessi, dichiaratamente innovativi ma intrinsecamente rischiosi e incompatibili con le semplici esigenze di comunicazione ed elaborazione documentale di una scuola.

Inoltre al termine di quella stessa sezione è possibile leggere come Google dichiari espressamente di trattare i dati di docenti e studenti quando obbligata legalmente a farlo, specificatamente in occasione di qualsiasi “richiesta esecutiva del governo”.
Purtroppo, come certamente il vostro DPO potrà confermare, è proprio la normativa che Google e le sue filiali sono tenute a rispettare, e in particolare il combinato disposto fra FISA 702, EO 12333 e CLOUD Act, ad aver reso evidente la nullità del Privacy Shield sancita ufficialmente nel luglio 2020 dalla sentenza Schrems II della Corte di Giustizia Europea.

Google stessa, dunque, riconosce di rispettare una normativa statunitense intrinsecamente incompatibile con i diritti dei cittadini europei.

Tuttavia, poiché Google dichiara espressamente questi trattamenti incompatibili con il GDPR (a meno di efficaci misure tecniche supplementari tali che nessun dato o insieme di dati permetta l’identificazione degli interessati, misure che non ci risultano in atto presso la vostra scuola), non è Google a mettere in atto un comportamento illecito, ma il Titolare che gli affida dati personali di terzi in violazione dell’articolo 28 comma 1 del GDPR.

Ma non bastano le clausole contrattuali standard?

Purtroppo no.

Così come non è sufficiente accettare l'Addendum per il trattamento dei dati Cloud o ATDC (in precedenza denominato Emendamento sul trattamento dei dati o ETD).

La ragione è semplice quanto ovvia: poiché la Legge statunitense prevale su qualsiasi contratto sottroscritto con un cliente, Google non potrebbe rispettare i diritti dei cittadini europei nemmeno se volesse.

Tant'è che lo European Data Protection Board, nelle raccomandazioni adottate il 17 gennaio 2023 sugli obblighi della Pubblica Amministrazione nella scelta dei fornitori cloud, ha precisato:

It stems from the analysis made by the authorities that the sole use of a CSP that is part of a multinational group subject to third country laws may result in the concerned third country laws also applying to data stored in the EEA.

Possible requests would in this case be addressed directly to the CSP within the EEA and would concern data present in the EEA and not data already undergoing transfer.

In this context, the controller/CSP would therefore not necessarily have made the assessment of this legal framework with a view to apply the relevant safeguards.

The analysis of all the elements that may lead to different situations and different violations of the aforementioned relevant provisions of the GDPR in respect of the processing carried out by the processor (acting as an autonomous controller under Article 28(10) of the GDPR when it acts in violation of the instructions of the controller) and/or by the public authority itself if appropriate instructions are not provided according to Article 28(3) of the GDPR or a processor not providing appropriate safeguards as required by Article 28(1) of the GDPR is engaged.

E selezionando una region europea?

Di fronte alla confusione di alcuni DPO, Google sta cercando di far passare alcune scuole dal piano PeepToPay (in cui spia gratis) a quelli PeepAndPay (in cui spia a pagamento) nei quali è possibile selezionare la regione del pianeta in cui i dati personali vengono conservati.

Questa strategia di marketing non è finalizzata solo a sottrarre ulteriori risorse finanziarie alla scuola pubblica italiana, bensi a vincolare il maggior numero di istituti possibile con un vero e proprio lock-in contrattuale.

E' però importante osservare come tale modifica contrattuale non interrompa in alcun modo i trasferimenti illeciti: come spiegato dal EDPB, i dati personali di studenti e insegnanti, pur custoditi su data center europei saranno ad un click di distanza dagli Stati Uniti, in quanto tutto il software eseguito in tali datacenter e sotto il completo controllo della casa madre statunitense.

Non riteniamo dunque opportuno consigliare tale approccio che potrebbe comportare il rischio di richieste di risarcimento per danno erariale.

Quali alternative abbiamo?

L’illiceità di questi strumenti ne comporta la dismissione, ma tale dismissione non comporterà, di per sé, alcuna deprivazione per l’organizzazione didattica ed amministrativa del Vostro Istituto.

Non solo per l’ovvia considerazione che il Vostro Istituto esiste da ben prima del 2019 (anno in cui avete adottato tali strumenti): esistono infatti innumerevoli alternative basate su software libero o open source di qualità pari o superiore a quelli segnalati.

Non posso purtroppo farle nomi di aziende specifiche per evitare di dar spazio alle vili accuse di interessi economici nascosti dietro il nostro progetto.

Le posso però nominare diversi software liberi che potreste utilizzare al posto di quelli in dismissione, senza produrre trasferimenti illeciti di dati personali:

e così via.

Si tratta di software liberi che, disponendo di solide competenze sistemistiche, potreste persino installare e manutenere in proprio, senza alcun costo e nel pieno rispetto del Codice di Amministrazione Digitale.

In alternativa potreste rivolgervi alle molte aziende italiane ed europee che li forniscono come servizio (Software as a Service).

La soluzione ideale però consiste nel creare una rete di scopo fra scuole per:

Disaccoppiando server (virtuali) e amministrazione dei servizi, non potrete restare vittime di lock-in mentre i vostri animatori digitali arricchiranno le proprie competenze, mantenendo il polso della situazione in modo da poter far fronte più rapidamente ad eventuali situazioni di emergenza.

Insomma, indipendentemente dal Ministero, le scuole possono fare moltissimo per proteggere la libertà futura degli studenti, senza sacrificare in alcun modo la qualità dell’insegnamento.

Le alternative sono innumerevoli.

Per questo il perdurare dei trasferimenti illeciti non è giustificabile.

Perché scrivete alle PA?

Per aiutarle!

A tal proposito, credo sia opportuno sottolineare come la richiesta di sanare un illecito inizi sempre dalla PA che ne è responsabile, proprio a tutela della PA stessa e dei suoi legali rappresentanti.

Non è mai stata nostra intenzione intimorire nessuno, tanto meno le istituzioni scolastiche che hanno l’onere di educare il futuro del nostro Paese.

Le nostre iniziative sono invece pensate per renderle consapevoli delle gravi violazioni dei diritti di studenti e insegnanti in corso da oltre due anni, in modo che possano sanarle nel minor tempo possibile, evitando così le sanzioni previste per i responsabili3.


  1. si veda in proposito il quinto criterio del WP 248 (pag. 11) che chiarisce come si debba tenere conto, al fine di stabilire se un trattamento sia effettuato su larga scala il numero di soggetti interessati dal trattamento, sia in termini assoluti sia espressi in percentuale della popolazione di riferimento. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236↩︎

  2. si veda ad esempio l’ottima analisi del Professor Ben Williamson dell’Università di Edimburgo su Practice Set, sviluppato da Google proprio a partire dai dati raccolti su studenti ed insegnanti durante la pandemia. https://nepc.colorado.edu/blog/google-magic↩︎

  3. si veda la sentenza n. 246 del 28 maggio 2019 della Corte dei Conti, Sezione Giurisdizionale del Lazio. https://www.eius.it/giurisprudenza/2019/390↩︎