L’Italia ha rispettato il codice dell’Amministrazione digitale e il GDPR quando ha scelto le piattaforme DAD?

Emergenza è stata. È inutile negarlo. Dal febbraio del 2020, per circa due anni abbondanti, l’Italia (ma anche l’Europa e il Resto del Mondo) si è trovata di fronte a un’ardua battaglia contro la pandemia più letale dell’epoca moderna. Misure restrittive per tentare di scongiurare le possibilità di contagio tra i cittadini, decisioni impopolari che hanno inevitabilmente prodotto un duplice sentimento nel cuore della popolazione: da una parte un senso di protezione da una malattia di cui ancora si sapeva poco; dall’altra quel senso di impotenza di fronte a scelte imposte di cui parte della popolazione non ha mai compreso il senso. E proprio all’inizio di questo delicato periodo storico (che poi ha dato il via libera anche a una nuova fase di difficoltà – per usare un eufemismo – economica, nazionale e internazionale) risale l’introduzione della didattica a distanza: il governo italiano, infatti, ha approvato per la prima volta nella sua storia l’utilizzo di piattaforme digitali per procedere con la cosiddetta DAD, annullando (per i suddetti motivi) le lezioni in presenza negli anni della Scuola dell’obbligo (ma anche per le università). Ma sono state seguite tutte le procedure e le norme attualmente vigenti nella gestione del tutto?

LEGGI ANCHE > Parlano tanto di sovranismo, ma l’emendamento sull’interconnessione nazionale della scuola è inammissibile

Ribadiamo il concetto: in Italia si è iniziato a parlare di didattica a distanza e piattaforme DAD per la prima volta alla fine di febbraio del 2020. Erano le settimane prima della tempesta, quando il virus SARS-COV-2 (prima di tutte le sue varianti) era già presente in buona parte del territorio nazionale e si tentava di anticipare quel che poi, purtroppo, è successo. E al comma 2 dell’articolo 1 del decreto legge del 23 febbraio del 2020 (il numero 6), veniva esplicitamente scritto:

«Sospensione dei servizi educativi dell’infanzia e delle scuole di ogni ordine e grado, nonché della frequenza delle attività scolastiche e di formazione superiore, compresa quella universitaria, salvo le attività formative svolte a distanza».

All’epoca non era un vincolo, ma un’opportunità scritta nero su bianco per la prima volta nel nostro Paese. Poi, qualche settimana più tardi, Palazzo Chigi – di concerto con i Ministeri della Sanità e dell’Istruzione (e in relazione alla decisione di proclamare il lockdown nazionale) – rese la didattica a distanza obbligatoria. Con il passare dei mesi e con l’altalena pandemica, questa misura ha danzato su diversi livelli di attenzione. Ovviamente ora è sparita dalla dinamica quotidiana, ma quanto accaduto ha aperto le porte all’insegnamento a distanza, anche come forma integrata di apprendimento.

Piattaforme DAD, in Italia sono state seguite le leggi?

Questo era un brevissimo excursus normativo sulla storia della didattica a distanza in Italia. Ma quanto fatto dal nostro Paese era in linea con le norme vigenti (all’epoca e anche ora)? Perché dal 1° gennaio del 2006 (modificato diverse volte nel corso del tempo) è entrato in vigore il cosiddetto Codice dell’Amministrazione Digitale. Si tratta di un impianto normativo (approvato dal Parlamento nel 2003) che contiene tutti i paletti e le leggi che la Pubblica Amministrazione deve rispettare quando decide (e questo è il futuro) di affidarsi agli strumenti digitali che il mondo offre e continua a offrire. In particolare, c’è l’articolo 68 (che si occupa di “Analisi Comparativa delle Soluzioni) che indica tutte le pratiche che la PA deve necessariamente seguire per gli acquisti e per gli appalti. E, ricordiamolo, la Scuola rientra all’interno del macro-settore della Pubblica Amministrazione. Ma cosa dice questo articolo (nella sua versione aggiornata). Partiamo dal comma 1, quello che indica i tipi di applicativi che devono e possono essere sottoposti a valutazioni:

• Software sviluppato per conto della pubblica amministrazione;
• Riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
• Software libero o a codice sorgente aperto;
• Software fruibile in modalità cloud computing;
• Software di tipo proprietario mediante ricorso a licenza d’uso;
• Software combinazione delle precedenti soluzioni.

La valutazione, dunque, deve rimanere all’interno di queste caratteristiche. Poi, ci sono le tre indicazioni (inserite sempre all’articolo 68, ma al comma 1bis) per effettuare la valutazione che porterà alla scelta di uno o l’altro software:

1. Costo complessivo del programma o soluzione quale costo di acquisto, di implementazione, di mantenimento e supporto;
2. Livello di utilizzo di formati di dati e di interfacce di tipo aperto nonché di standard in grado di assicurare l’interoperabilità e la cooperazione applicativa tra i diversi sistemi informatici della pubblica amministrazione;
3. Garanzie del fornitore in materia di livelli di sicurezza, conformità alla normativa in materia di protezione dei dati personali, livelli di servizio tenuto conto della tipologia di software acquisito.

Si tratta di paletti ineludibili che hanno due obiettivi: rispettare standard di sicurezza digitale già imposti da altre norme e direttive ed evitare uno sperpero di denaro pubblico in caso di software che non hanno una funzione ben precisa e delineata alla gestione di tutto quel che accade nel mondo della Pubblica Amministrazione. E tutto ciò cosa c’entra con le piattaforme DAD?

Le tre scelte del Miur

Anche quelle doveva rientrate sotto tutti questi criteri di valutazione, attraverso un bando (trattandosi di settore pubblico) valutativo. E il MIUR – il Ministero (che ora è stato suddiviso e ha cambiato anche nomenclatura) – ha avuto il compito di effettuare queste valutazioni di merito e di metodo, offrendo ai dirigenti scolastici delle alternative. E, alla fine della fiera, le più utilizzate sono state quelle gratuitamente offerte da due delle principali Big Tech: Microsoft (con il suo pacchetto Office Education 365) e G-Suite for education che fa parte del grande ecosistema di Google, ma anche Weschool di Tim. Ovviamente sul piatto c’erano anche delle alternative, ma la maggior parte delle scuole hanno optato per la soluzione più semplice e nota. E il ventaglio di opportunità offerte, dunque, sembrano aver rispettato solo in parte il principio della concorrenza. Poi, ovviamente, le scelte sono state prese dalle singole organizzazioni scolastiche. Dunque, la parte dell’Amministrazione digitale sembra esser stata rispettata. Almeno in corso d’opera, dopo che per mesi l’insegnamento è stato sospeso e dopo l’introduzione della didattica a distanza (prima di quella integrata).

Piattaforme DAD e GDPR

Un altro tema è, ovviamente, quello della protezione dei dati personali. Le piattaforme DAD utilizzate, rispettano il GDPR Europeo. In questo caso dobbiamo fare un piccolo passo indietro. Dopo il decreto legge del 23 febbraio del 2020 (quello citato all’inizio di questo approfondimento) e l’inizio dell’era dei DPCM (Decreti delle Presidenza del Consiglio dei Ministri), il Garante per la Privacy Italiano si è esposto proprio su questo argomento sempre di stretta attualità quando si parla di piattaforme digitali e trasferimento dati. Ed era il 26 marzo di quello stesso anno quando arrivarono le prime indicazioni. Si trattava di indicazioni iniziali per tamponare l’emorragia dell’emergenza del momento.

E, di fatto, all’interno del documento (licenziato e inviato all’esecutivo dell’epoca) si specificava la titolarità del trattamento dei dati (su base giuridica) che spettava ai singoli dirigenti scolastici (che dovevano garantire standard di sicurezza interni per la gestione dei dati – dall’user alle password – degli studenti, anche minorenni). Il resto, ovvero i precetti inseriti nell’ormai famoso GDPR Europeo, dovevano essere analizzati dal Ministero. E la scelta finale è ricaduta – tra le piattaforme DAD e DID (didattica integrata digitale) – su tre “prodotti”: Google Suite for Education, Office 365 Education A1 (Microsoft) e Weschool sviluppata da TIM. Le tre piattaforme rispettano il Regolamento generale sulla protezione dei dati vigente nei e tra i Paesi dell’Unione Europea? Andiamo scoprirlo.

Caso per caso

Per quel che riguarda il pacchetto G-Suite for Education messo a disposizione dall’azienda di Mountain View, la gestione dei dati avviene all’interno di un Cloud esclusivo per l’Unione Europea (con sede in Irlanda) e l’eventuale trasferimento dei dati verso Paesi terzi è conforme alle indicazioni previste dal GDPR (conforme, dunque, al cosiddetto EU-U.S. Privacy Shield). Discorso simile per Microsoft Office 365 Education, dove i dati non per forza rimangono all’interno dei confini UE, ma il loro trasferimento (in sicurezza) è normato da quello stesso accordo tra Unione Europea e Stati Uniti. Un momento, però: tutto questo è avvenuto prima della sentenza Schrems II (che ha cancellato lo scudo UE-USA). Prima del pronunciamento del Garante per la Privacy italiana contro Caffeina Media (quando venne certificata l’illiceità del trasferimento dei dati tra Italia – anzi, Europa – e Stati Uniti con Google Analytics).

Caso a parte, invece, riguarda Weschool di Tim, visto che il cloud è interamente italiano e quindi aveva già superato lo standard di sicurezza a livello di protezione dei dati personali. E tutto ciò è certificato dall’iscrizione di queste tre piattaforme DAD all’interno del registro – il catalogo marketplace da cui la Pubblica Amministrazione può attingere per i propri software – dell’Agenzia per l’Italia Digitale (un ente governativo).

Dunque, dal punto di vista normativo non tutto ha seguito le procedure a norma di legge, o comunque non tutto è stato modificato in base a quanto accaduto successivamente. E, inoltre, uesta tipologia di scelta – fin dall’inizio – ha permesso a Google e Microsoft di prendersi un’altra fetta di mercato “sfruttando” l’emergenza e i tempi ristretti. Oggi che la pandemia ha allentato la propria morsa, forse è arrivato il momento di prendere in mano i futuro e valutare la reale possibilità di garantire una classica soluzione creata in casa, senza dover per forza affidare le nostre vite ai Big Tech.