La didattica a distanza ha assunto un ruolo fondamentale nel Piano Scuola 2020 2021. Gli istituti dovranno difatti impegnarsi a organizzare percorsi formativi per spiegare ai docenti e personale ATA come meglio utilizzare piattaforme online e sistemi di conference call.
Non solo, le scuole dovranno redigere il Piano Scolastico per la Didattica Digitale Integrata in cui indicare una sorta di protocollo emergenziale per poter passare velocemente dalla didattica (anche parzialmente) in presenza alla didattica online in caso di una nuova ondata di epidemia da Covid-19.
Esiste però un grosso problema, non previsto e non prevedibile dal Governo. Questo problema si chiama “Schrem II”.
Con questa sentenza, difatti, la corte di Giustizia dell’Unione Europea ha riconosciuto la «inadeguatezza» del livello giuridico di protezione derivante dal Privacy Shield ai fini del trattamento dei dati migrati dall’Europa verso gli USA rendendo di fatto molto difficile l’invio di dati oltreoceano.
Ora, da una ricerca da me effettuata assieme ad EUservice, emerge come la maggior parte delle piattaforme per la didattica online – anche se qualificate AGID – utilizzino server localizzati proprio in USA. Stesso problema per quanto riguarda i sistemi di conference call (che solitamente vengono utilizzati in alternativa o in combinato con le piattaforme edu).
Come dovrebbero quindi organizzarsi le scuole?
Una piattaforma statale
La domanda è assolutamente pertinente. Non a caso, proprio il Garante della Privacy (all’epoca Antonello Soro) pochi giorni prima di cessare il suo mandato, dichiarò in occasione di un udienza in Parlamento: “Anche il registro elettronico non è privo di problemi ma tra questo e una piattaforma multinazionale di cui non si sa nulla, forse è meglio nel presente dare indicazione perché le scuole ricorrano tutte le volte che è possibile al registro elettronico”.
In tal senso, la soluzione migliore sarebbe quindi che il Ministero individuasse una piattaforma italiana, conforme, con server in UE, obbligatoria per tutte le scuole. Questo, oltre a garantire la protezione dei dati, permetterebbe anche di omologare la situazione delle varie scuole che, ad oggi, si trovano a dover improvvisare delle soluzioni per la didattica a distanza. Del resto, è poco comprensibile il motivo per cui il MIUR ad oggi non abbia ancora nemmeno ipotizzato la creazione di uno strumento unico per tutte le scuole nonostante richieste in tal senso siano pervenute da diverse parti.
Nella citata udienza, il Garante, ponendosi in linea con quanto già chiesto con lettera aperta al Ministro, ha difatti aggiunto: “noi abbiamo posto il problema da un po’ di tempo di una piattaforma pubblica italiana che si faccia carico di mettere insieme risorse e competenze, è bene che l’Italia si doti di una sua infrastruttura auspicabilmente nell’ambito di una cooperazione europea. Ma non possiamo vivere appoggiandoci alle piattaforme cinesi e americane di cui non sappiamo assolutamente niente”.
Ma se il Ministero non si rende parte attiva, le scuole come dovrebbero comportarsi?
Alternativa privata
Per rispondere a questo quesito ci vengono incontro le FAQ pubblicate da EDPB e tradotte in italiano dal Garante Privacy le quali, di fatto, non fanno che ripetere quanto già presente nel GDPR.
In tal senso sarà necessario dotarsi di una piattaforma che abbia, ad esempio, adottato delle clausole contrattuali standard o delle binding corporate rules.
Tuttavia, entrambe le soluzioni potrebbero poggiare su fondamenta alquanto labili. Sì perché se la Corte UE ha ritenuto gli Usa un paese non sicuro per l’invio dei dati, è difficile che si possano ritenere legittime le SCC o le BCR in quanto le stesse dovrebbero essere precedute da una valutazione del rischio relativa alla situazione dello stato “importatore”. Se la Corte ritiene gli USA non sicuri, come può una valutazione del rischio dare esito positivo?
Non basta quindi che il servizio educational selezionato abbia garantito in merito all’avvenuta sottoscrizione di SCC. È necessario che il servizio si adoperi per pseudonimizzare i dati o, comunque, per abbattere il rischio. In Usa non devono arrivare dati in bianco o, comunque, il trasferimento deve essere preceduto da un accurato procedimento di minimizzazione. Ma, in tutta onestà, quanti dirigenti possono davvero garantire di avere un serio controllo sull’operato della piattaforma scelta per la didattica a distanza?
Di fatto, si tratta quindi di chiedere alle scuole di compiere un mero atto di fede. Ce lo possiamo permettere? Io credo di no.
Alternative europee
L’ultima opzione che, peraltro, ad oggi parrebbe essere quella meglio percorribile, è quella di scegliere piattaforme private europee o, addirittura, italiane. Esistono. Forse sono meno conosciute di altre, ma esistono e pare siano anche funzionali.
Questa potrebbe essere la scelta ottimale in quanto, oltre a mantenere i dati in Europa, andrebbe a finanziare un prodotto italiano o, comunque, europeo. Del resto, in ultima istanza, è facile ipotizzare che lo scopo ultimo della Corte fosse anche quello di rilanciare l’Europa come player in questo mercato per troppo tempo dominato da corporation americane le quali agiscono in un modo difficilmente controllabile.
Insomma, in attesa che l’Italia individui una piattaforma nazionale e in attesa che le varie big trasferiscano i propri server in UE, la soluzione che ci sentiamo di suggerire è quella di ricorrere a prodotti italiani o, comunque europei i quali, naturalmente, dovranno avere server in UE per meglio tutelare i dati degli alunni e del personale docente.
