Giacomo Tesio: «La politica è incoerente quando parla di “sovranità digitale”»
La seconda parte dell'intervista al co-fondatore di Monitora PA sull'utilizzo di Google da parte degli Atenei italiani e, più in generale, all'interno della Pubblica Amministrazione
22/02/2023 di Enzo Boldi
Nella prima parte della nostra intervista a Giacomo Tesio, abbiamo chiesto al co-fondatore di Monitora PA di raccontarci la genesi di quell’iniziativa che lo ha portato a inviare una PEC a 45 Atenei italiani che non hanno seguito le indicazioni normative vigenti in merito di trattamento dei dati personali (da parte delle Pubbliche Amministrazioni, ma non solo). Il tema è quello dell’utilizzo di sistemi (come quello delle e-mail) gestiti da società multinazionali al di fuori dei confini europei, con annesse problematiche per quel che riguarda il trasferimento dei dati verso Paesi terzi.
LEGGI ANCHE > «Vi spiego perché gli Atenei non dovrebbero affidarsi a Google», l’intervista a Giacomo Tesio (Monitor PA)
Il principio, dunque, ci è stato ben raccontato. Ora, però, proviamo a capire cosa potrebbe accadere nel corso delle prossime settimane, quando il caso potrebbe – in caso di mancate “correzioni” in corsa da parte dei suddetti Atenei – finire sul tavolo dell’Autorità Garante per la protezione dei dati personali. Ma non c’è solo questo: con Giacomo Tesio abbiamo parlato anche di come la politica nostrana sia immobile (a prescindere dai governi e dalle maggioranze a loro supporto) di fronte a problematiche presenti e future.
Giacomo Tesio, le mosse con il Garante Privacy sugli Atenei
«Al Garante della Privacy ci rivolgeremo a valle delle eventuali risposte negative da parte degli Atenei – ha spiegato ai microfoni di Giornalettismo Giacomo Tesio -. Contrariamente a quanto facciamo di solito, non faremo una segnalazione (che non vincola il Garante ad aprire un’istruttoria, ndr) ma sporgeremo un reclamo rispetto a quelle Università che non smettono di utilizzare nei termini prescritti Gmail. Questo perché Gmail è un caso molto particolare: è sufficiente mandare una mail a un dominio gestito da Gmail per diventare – di fatto – soggetto interessato la cui privacy è stata violata fornendo a Google i dati personali contenuti in quella mail. Quindi io per scrivere al DPO o al Rettore delle varie Università sono stato costretto a scrivere anche a Google e questo mi rende un interessato che può sporgere reclamo. E al reclamo deve seguire, nel giro di alcuni mesi, una istruttoria del Garante e quindi ci dovrà essere (o prima o dopo) una risposta».
Dunque, per quel che riguarda il Garante Privacy italiano occorrerà attendere i 40 giorni indicati nella PEC inviata il 2 febbraio da Giacomo Tesio ai 45 Atenei. Ma fuori dai nostri confini, cosa succede? «In questo momento – nonostante tutto il fumo negli occhi che stanno tirando fuori gli Stati Uniti con quell’executive order firmato da Joe Biden che sostanzialmente dice “continuiamo a fare quello che vogliamo, ma non vi dovete lamentare perché qualcosa abbiamo cambiato” – qualcosa si è mosso. Di fatto, per esempio, lo EDPD (l’Ente Europeo che raduna tutti i Garanti e li coordina) a gennaio ha pubblicato un lungo documento destinato a tutti i titolari del trattamento, indicando gli obblighi che le PA devono ottemperare nella scelta dei vari fornitori cloud. Possono essere sia fornitori per lo storage, sia per le e-mail. Insomma, tutti i vari servizi che vengono utilizzati. Per le Università, per esempio, la didattica a distanza o la video-conferenza (oltre ai servizi mail). Lì c’è scritto che anche il solo utilizzo di un servizio fornito da una società multinazionale che risponde a normative extra-europee può sottoporre i dati presenti anche in Europa a quelle normative. E se quelle normative non sono rispettose dei diritti umani, come non lo sono quelle della Russia, degli Stati Uniti e della Cina, il titolare del trattamento deve interrompere quei trasferimenti. Quindi non può utilizzare quei servizi. Ed è scritto in modo cristallino, è impossibile ignorarlo. Dunque, noi ci aspettiamo che la risposta del Garante per la protezione dei dati personali sia coerente con quanto affermato dall’EDPD».
E la politica che fa?
Garante, Europa, resto del Mondo. Quale attore manca alla lista? La politica italiana. E Giacomo Tesio non si ferma alle “ultime parole” pronunciate da alcuni rappresentanti del governo (o dei partiti, più in generale), spostando l’occhio di bue su concetti che vengono annunciati in pompa magna e che rappresentano una paradossale incoerenza di fondo: «Dalla politica italiana noi speriamo da anni che ci siano risposte. La sentenza Schrems II è del luglio del 2020. Nulla vieta, e questo deve essere chiaro, di utilizzare Google, Amazon o Microsoft per gestire l’inventario di un magazzino, per gestire i dati di una mappatura. Insomma, qualunque tipo di dato che non sia relativo o riferibile a persone può tranquillamente essere trattato con questi sistemi e software. Per i dati che, invece, riguardano esseri umani, persone, cittadini Europei, si sa dal 2020 che non è possibile utilizzarli. Ed è particolarmente drammatica questa cosa se si pensa a quante scuole superiori, elementari e medie (oltre che le Università) sono state affidate per esempio a Google Workspace, oppure Microsoft Office 365. Noi speriamo e faremo tutto quello che è in nostro potere per far sì che ci sia una presa di coscienza e un esodo di queste piattaforme e speriamo che dalla politica arrivino delle risposte».
Dettagli noti a tutti e che la politica dovrebbe affrontare. E, invece, assiste (ma forse neanche lo fa) inerme lanciando nuovi proclami che hanno la sembianza di un hashtag privo di valore: «Si parla tanto, soprattutto in questa fase storica, di “sovranità digitale“, un’affermazione di una incoerenza assurda. Diventa ridicolo utilizzare questo concetto se il futuro dei cittadini e di questo Paese è affidato alle “amorevoli cure” di Google e Microsoft nelle scuole. Milioni di futuri elettori sono profilati dalla mattina alla sera, per la stragrande maggioranza della loro giornata scolastica (ma anche quando sono connessi da casa per scaricare compiti o guardare video), da questi agenti cibernetici che poi utilizzano questi dati che raccolgono li usano per “migliorare i propri servizi”. Nel momento in cui i clienti di quei servizi sono partiti politici o Nazioni, saranno burattini nelle mani di queste aziende. C’è qualcosa che non suona nel parlare di “sovranità digitale”. Prima ancora di parlare di grandi progetti, grandi appalti, grandi soluzioni, bisogna trovare grandi alternative per le scuole».