servizi di Google e Microsoft nelle scuole
Il Ministero dell’Istruzione rassicura i dirigenti in merito all’utilizzo dei servizi di Google e Microsoft nelle scuole e ricorda che le Istituzioni scolastiche, in qualità di titolari del trattamento, hanno la responsabilità di verificare la conformità al GDPR delle garanzie contrattuali assicurate dai loro fornitori di servizi IT, con particolare riferimento al trasferimento dei dati extra UE. Una presa di posizione accolta con favore dai dirigenti scolastici, ma di certo non risolutiva. (fonte: www.agendadigitale.eu)
Mentre Stati Uniti e Unione europea discutono di come trattare lo scambio di dati e la tutela della privacy, dopo che una sentenza della Corte di giustizia europea ha invalidato il precedente accordo, per il ministero dell'Istruzione non c'è niente di preoccuparsi. Tanto che in merito ai servizi per la didattica offerti gratuitamente da colossi tecnologici come Google, Microsoft, Apple e altri, nei giorni scorsi il dicastero presieduto da Giuseppe Valditara ha inviato ai dirigenti scolastici una circolare in cui afferma che la responsabilità del trattamento dei dati degli studenti è in capo a chi li detiene, dunque alle scuole stesse e che, per quanto riguarda la sicurezza dei servizi Google e Microsoft, “nella documentazione ufficiale caricata sui rispettivi siti internet [le due società, ndr] dichiarano che il trattamento dei dati, ivi incluso gli aspetti dei trasferimenti transfrontalieri degli stessi, risulta essere conforme rispetto alle norme del Gdpr”, il regolamento europeo sui dati personali.
Per il cofondatore di Privacy Network, le indicazioni fornite dagli attori in campo sono vaghe. “Il ministero ha lasciato la palla alle scuole, dicendogli che comunque i servizi statunitensi sono in regola anche solo perché lo dichiarano sul loro sito web. Il punto è proprio questo: a più di due anni dall’inizio della pandemia Google è un dato di fatto all’interno della scuola italiana, senza regolazioni in merito. Questo, tra le altre cose, rende il processo di cambiamento difficile”.
Appare innanzitutto opportuno evidenziare, che tanto Microsoft quanto Google, nella documentazione ufficiale caricata sui rispettivi siti internet dichiarino che il trattamento dei dati, ivi incluso gli aspetti dei trasferimenti transfrontalieri degli stessi, risulti essere conforme rispetto alle norme del GDPR. Specificatamente, dette affermazioni sono reperibili tra l’altro:
- per MICROSOFT
Nel documento Data Processing Agreement (DPA) nella versione aggiornata del 1 Gennaio 2023 dove viene precisato che:
<<Tutti i trasferimenti dei Dati Personali fuori dall’Unione Europea effettuati da Microsoft per fornire i Prodotti e i Servizi, verranno disciplinati dalle Clausole Contrattuali Tipo 2021 adottate da Microsoft. Tutti i trasferimenti di Dati Personali verso un paese terzo o un’organizzazione internazionale saranno soggetti alle misure di sicurezza appropriate descritte nell’Articolo 46 del GDPR e tali trasferimenti e misure di sicurezza saranno documentati conformemente all’Articolo 30(2) del GDPR>> (cfr. pagina 9 -trasferimento dei dati);
<Per quanto riguarda i Servizi Online, ai quali viene applicata la soluzione EU Data Boundary, Microsoft archivierà e tratterà i Dati della Società all’interno dell’Unione Europea come stabilito nelle Condizioni per l’Utilizzo dei Prodotti>> (cfr. pag.10 – Posizione dei Dati della Società).
Riguardo al secondo punto, appare opportuno verificare che i servizi utilizzati non siano tra quelli temporaneamente o permanentemente esclusi (link). Particolare attenzione si ponga sulla versione di Office 365 utilizzata, posto che per le <<Applicazioni Microsoft 365 (per build precedenti al 31 dicembre 2022): per garantire prestazioni e stabilità ai clienti esistenti che usano applicazioni Microsoft 365, gli impegni relativi ai limiti dei dati dell’UE si applicano solo alle versioni rilasciate dopo il 31 dicembre 2022. I clienti che usano build precedenti devono eseguire l’aggiornamento alla versione più recente>>
- per GOOGLE
La società effettua il trattamento dei dati personali dei clienti dei servizi Google Cloud Platform, Google Workspace e Cloud Identity sulla base del Cloud Data Processing Addendum (CDPA). Il suddetto CDPA disciplina i trasferimenti internazionali di dati all’articolo 10, specificando che in caso il trasferimento avvenga verso un paese non coperto da una decisione di adeguatezza, allo stesso si applicano gli SCC, clausole contrattuali tipo, previste dall’articolo 46 GDPR (<<if Google’s address is not in an Adequate Country, the SCCs (Controller-to-Processor) and/or SCCs (Processor-to-Processor) will apply (according to whether Customer is a controller and/or processor) with respect to such Restricted European Transfers between Google and Customer.>>).
Detta informazione è altresì reperibile nelle stesse pagine informative dedicate alla privacy nel rispetto del GDPR.
<<Google Workspace for Education può essere utilizzato in conformità con il GDPR. Il nostro Emendamento sul trattamento dei dati è progettato per soddisfare i requisiti di adeguatezza e sicurezza del GDPR; inoltre, la Commissione europea ha creato delle clausole contrattuali tipo per consentire in particolare il trasferimento dei dati personali dall’Europa. I clienti possono aderire all’Emendamento sul trattamento dei dati e alle clausole contrattuali tipo.>> (Domande frequenti sulla privacy e sulla sicurezza).
<<Nel caso in cui i dati personali vengano trasferiti fuori dall’UE in paesi terzi non coperti da decisioni di adeguatezza, ci impegniamo a fronte dei nostri contratti per il trattamento dei dati a mantenere un meccanismo che faciliti questi trasferimenti secondo quanto stabilito dal GDPR.>> (Trasferimento internazionale dei dati).
Si noti che a seconda degli ulteriori servizi eventualmente previsti nel contratto, le misure possono essere ulteriormente rafforzate prevedendo anche forme di mitigazione del rischio attraverso la pseudoanonimizzazione e la cifratura dei dati lato client: (Configurare il servizio chiavi per la crittografia lato client) .
Inoltre, si coglie l’occasione di ricordare che le misure del PNRR 1.2 – Migrazione al cloud (cloud qualificati) e 1.4.1 – siti web delle scuole, a cui la stragrande maggioranza delle istituzioni scolastiche ha aderito, possono rappresentare strumenti finalizzati anche a preservare l’utilizzo dei dati personali e sensibili del personale e degli alunni, utilizzando per comunicazioni di particolari tipologie di dati, servizi implementati su cloud qualificati e su aree ad accesso riservato dei siti web delle scuole.