
WordPress tutorial
6 Aprile 2023
Slide efficaci: consigli per studenti
17 Aprile 2023In quest’ultimo periodo alcune iniziative portate avanti dalla comunità MonitoraPA hanno messo a dura prova l’assetto digitale delle scuole italiane in riferimento al GDPR, ponendo al centro del dibattito il rispetto della privacy nella didattica digitale integrata.
Ma andiamo per gradi.
MonitoraPA è un progetto nato come semplice gruppo di discussione e trasformatosi in poco tempo in uno dei più grandi collettivi di c.d. “hacker civici” mai visto in Italia.
Negli ultimi anni il diritto, ma soprattutto il quadro normativo italiano ed europeo in materia di privacy, ha subito molti cambiamenti, dettati principalmente dalla continua e veloce evoluzione tecnologica.
Se da un lato dunque la fonte primaria del diritto attualmente è il Regolamento UE conosciuto come GDPR, dall’altro, anche a seguito della sentenza “Schrems II”, diverse pubbliche amministrazioni si sono ritrovate nell’irregolarità perseverando su tale strada e facendo leva sui pochi controlli fino ad ora esercitati dalla PA.
Al centro del dibattito oggi c’è la scuola che da diversi anni, ma soprattutto grazie alla spinta data dalla didattica a distanza durante la pandemia, ha integrato nella didattica alcune tecnologie digitali e piattaforme. Tra le più famose ed utilizzate ci sono sicuramente Google Workspace for Education e Microsoft 365.
La denuncia degli attivisti di MonitoraPA dunque vede proprio protagonisti questi due grandi colossi del Web. Secondo gli hacker civici infatti, che chiedono di bloccare l’utilizzo a scuola delle piattaforme, entrambe le aziende non starebbero trattando i dati delle suite educational in maniera conforme a quanto previsto dal GDPR, trasferendo dunque i dati da server europei ad altri extra-UE.
Ma se migliaia di scuole italiane utilizzano queste piattaforme, è in pericolo la didattica digitale?
Negli ultimi giorni si è discusso a lungo nelle scuole e non solo della problematica emersa e, tra la grande incertezza delle istituzioni scolastiche e dei DPO, finalmente è arrivato un chiarimento da parte del Ministero dell’Istruzione e del Merito.
Il Dipartimento per le risorse umane, finanziarie e strumentali del MIM ha diffuso una nota di tipo tecnico a tutte le istituzioni scolastiche. La nota n. 706 del 20 marzo 2023, a firma del dott. Jacopo Greco, Capo del Dipartimento appena citato, ha ad oggetto il “Riscontro alle richieste di supporto in merito alla valutazione di conformità al GDPR del trattamento e trasferimento extra UE di dati personali degli utenti delle Istituzioni scolastiche attraverso determinati servizi PEO e piattaforme ICT”.
Tale nota presenta un allegato molto importante per tutti i Dirigenti Scolastici, i responsabili tecnici informatici delle scuole e i DPO, in quanto attraverso un documento tecnico elaborato dall’Ing. Davide D’Amico, indica le linee d’azione da intraprendere come scuola per tutelarsi legalmente e consentire dunque a tutti i dirigenti e docenti di operare con maggiore serenità.
Il documento chiarisce innanzitutto che “In mancanza di una nuova decisione di adeguatezza che consenta il trasferimento ai sensi dell’articolo 45 citato, il titolare del trattamento o il responsabile del trattamento può comunque trasferire dati personali verso gli Stati Uniti, solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Possono costituire garanzie adeguate le misure indicate all’art. 46 del GDPR”.
In sostanza Google e Microsoft sono, secondo il documento, conformi al GDPR grazie alle seguenti clausole contrattuali:
- Microsoft (DPA);
- Google (CDPA).
Per Google resta però la necessità da parte della scuola di aderire a tale clausola seguendo le indicazioni del documento tecnico.
Accettare Termini Google: come fare?
Dalla console di amministrazione della suite Google il Dirigente Scolastico dovrà aderire al seguente link: https://admin.google.com/ac/companyprofile/legal
Scorrendo verso il basso occorre arrivare alla sezione “Termini di servizio aggiuntivi per sicurezza e privacy” e accettare le prime due opzioni.
Nel documento viene inoltre precisato che, a seconda degli ulteriori servizi eventualmente previsti nel contratto, le misure possono essere ulteriormente rafforzate prevedendo anche forme di pseudoanonimizzazione e cifratura dati lato client, facendo riferimento alle specifiche istruzioni (Configurare il servizio chiavi per la crittografia lato
client).
Per Conludere
Insomma, il problema non è definitivamente risolto, sulla questione della privacy e del trasferimento dati c’è tanto ancora da dire. Occorre fare spazio ad un dibattito internazionale per affrontare la questione a livelli ben diversi da quello scolastico o del semplice MIM. Nel frattempo rassicuriamoci sulla possibilità di proseguire nell’utilizzo di questi importanti strumenti per la didattica.