Monitora PA è una comunità hacker italiana composta da attivisti che collaborano alla realizzazione del progetto a titolo personale e gratuito. Il loro obiettivo è tutelare la riservatezza dei dati dei cittadini italiani e fare in modo che le piattaforme della Pubblica Amministrazione smettano di affidarsi, per esempio, a Google per fornire i loro servizi e si dotino di sistemi diversi di sicurezza e di tutela dei dati personali degli utenti e dei dipendenti.
L’Agenzia per l’Italia Digitale (AgID), per esempio, ha già invitato le Pubbliche Amministrazioni a utilizzare Web Analytics Italia, un software open source che consente alle amministrazioni di raccogliere e analizzare i dati statistici sul traffico dei propri siti e servizi digitali, al posto di Google Analytics.
LEGGI ANCHE> La terra non è piattaforma (neanche a scuola)
Monitora PA ha inviato di recente una PEC a 45 Atenei italiani che utilizzano i servizi di Google, in particolare Gmail, Google Drive e Google Workspace for Education, per chiedere loro di interrompere entro 40 giorni i trasferimenti illeciti di dati personali che ne conseguono. In alternativa e negli stessi termini gli Atenei contattati da Monitora PA sono stati invitati ad «adottare misure tecniche supplementari efficaci a protezione dei dati personali».
Il testo della PEC è stato pubblicato integralmente «nella speranza che altri cittadini […] possano usarla come modello per esercitare i propri diritti esigendo una piena applicazione del GDPR».
Monitora PA ha spiegato che inviare una e-mail a un professore universitario o rivolgersi agli altri servizi dell’Ateneo via e-mail può «rivelare anche categorie particolari di dati personali sul mittente, quali quelle oggetto di divieto all’articolo 9 comma 1 del GDPR». La posta elettronica viene spesso utilizzata dagli studenti per comunicare ai docenti esigenze particolari, per esempio relative alla salute o quelle degli studenti con disturbi specifici dell’apprendimento (DSA), riguardanti la preparazione o lo svolgimento degli esami universitari. In ogni caso le informazioni scambiate via e-mail «sono più che sufficienti per identificare mittenti e destinatari, tracciarne le comunicazioni e arricchirne i profili cognitivo-comportamentali». Nella PEC, Monitora PA ha spiegato che l’adozione dei servizi di posta elettronica di Google «determina trasferimenti sistematici di dati personali degli utenti e dei loro corrispondenti, non attualmente conformi, in assenza di efficaci misure tecniche supplementari, alle disposizioni del GDPR in ordine al trasferimento transfrontaliero di dati personali».
La PEC firmata da Giacomo Tesio, cofondatore di Monitora PA, elenca diversi studi e ricerche condotti in alcuni Paesi europei che dimostrano quanto i servizi come quelli di Google ma anche piattaforme come Microsoft Teams abbiano gravi carenze dal punto di vista della tutela dei dati personali e non siano trasparenti sul trasferimento e sull’archiviazione di questi dati. Human Rights Watch, per esempio, ha pubblicato nel 2022 un rapporto sulle violazioni della privacy di studenti, genitori e insegnanti da parte dei gestori delle piattaforme utilizzate durante la pandemia. Inoltre, all’inizio di gennaio del 2023 l’European Data Protection Board (EDPD), l’organismo europeo indipendente il cui scopo è garantire la corretta applicazione del GDPR, ha rilasciato delle nuove raccomandazioni in merito all’uso dei servizi basati su cloud da parte della Pubblica Amministrazione.
Tesio si rivolgerà al Garante per la protezione dei dati personali (GPDP) se i 45 Atenei italiani interessati non si adegueranno a quanto indicato nella PEC entro le scadenze prestabilite e dimostreranno di non rispettare le leggi esistenti in materia di protezione dei dati personali.