hacking civico

Riuso del software, MonitoraPA chiede chiarezza alle scuole: le reazioni alla richiesta di FOIA

MonitoraPA alza il livello di attenzione sull’uso delle risorse informatiche nella scuola con un invio di FOIA Massivo sul rispetto della normativa per l’uso e il riuso del software open source e, in definitiva, sul rispetto delle buone prassi per l’acquisizione di beni e servizi nella PA. Il punto sull’iniziativa

Pubblicato il 26 Ott 2022

Francesco Macchia

attivista digitale, blogger, presidente dell’associazione Pirati.io e membro del comitato promotore del Privacy Pride

foia-e-pa-agendadigitale

Il progetto di hacking civico MonitoraPA ha alzato il livello di attenzione sull’impiego delle risorse informatiche nella scuola: una vicenda intricata per chi non l’ha seguita dall’inizio. Diventa allora importante tracciare un riepilogo di tutti i passaggi che, nell’intervallo di un solo mese, hanno caratterizzato l’iniziativa di attivismo digitale.

Ripercorriamo quindi, sulla base dei dati disponibili da fonti aperte, tutte le attività principali, ricordando le singole azioni, i commenti all’iniziativa e i pareri di tutte le autorità coinvolte.

Le PA, e il “caso” Google Analytics: cosa ne sarà dei fondi PNRR se gli enti ignorano il Gdpr?

La nascita del progetto MonitoraPA e il salto verso il FOIA

Il progetto MonitoraPA nasce alla fine di gennaio 2022 come “estensione” di un gruppo di attivisti orientato a creare un osservatorio sul monitoraggio dell’uso e del riuso del software libero nella PA. Ed è proprio in quel gruppo che si dà per la prima volta pubblicamente notizia della creazione del progetto, come sistema automatico di monitoraggio su Google Analytics, sull’onda dei recenti pronunciamenti del CNIL:

Il progetto si arricchisce ulteriormente di nuove idee, come per esempio estendere il monitoraggio alla presenza di Google Fonts all’interno dei siti delle PA, sulla base del pronunciamento di un tribunale di Monaco di Baviera, in una sentenza del 20 gennaio.

Le prime iniziative

Da quel momento, in poco più di tre mesi, il progetto è riuscito a costruire un sistema di monitoraggio che è entrato finalmente in funzione l’11 maggio, con la prima campagna sulla presenza di Google Analytics, campagna che ha raccolto opinioni controverse ma che ha indirettamente ricevuto un tanto indiretto quanto inatteso sostegno poco più di un mese dopo, quando il 23 giugno il Garante Privacy ha sanzionato Caffeina Media per la presenza nel proprio sito di Google Analytics.

Google Analytics “illegale” secondo il Garante Privacy: e ora?

Non solo: l’8 agosto parte una nuova campagna focalizzata al rilevamento di Google Fonts nei siti delle PA, mentre il 17 agosto viene intrapreso lo “Speciale elezioni” per individuare le criticità sui siti web dei partiti candidati alle elezioni.

Il FOIA massivo

Ma se la fase di monitoraggio sembra assai consolidata, il 18 settembre viene inaugurata una nuova casella di posta elettronica certificata che preannuncia una nuova campagna con la quale, il 19 settembre, si verifica un importante cambio di passo: l’impiego degli strumenti automatizzati già rodati nelle precedenti iniziative servirà a supportare un invio massivo del FOIA alle scuole.

Il monitoraggio e il preavviso di segnalazioni al Garante per la Protezione dei Dati Personali comporta una sorta di avviso bonario alle PA che hanno modo di “recuperare” la situazione mettendosi in regola con la normativa, ma l’invio di una richiesta di accesso civico generalizzato presenta invece implicazioni molto più serie: entro 30 giorni gli istituti non solo si troverebbero di fronte all’eventualità di rispondere alle richieste, presentando la documentazione richiesta, ma si troverebbero spesso a “riportare in vita” questioni che, molto probabilmente, non sono mai state prese veramente sul serio dai dirigenti scolastici e dai DPO degli istituti.

Le richieste del FOIA di MonitoraPA sono infatti state le seguenti (per un quadro completo si rimanda a una qualsiasi delle richieste di accesso disponibili sul sito di MonitoraPA):

  1. contrattualistica inerente ai servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico (AS 20-21, 21-22 e 22-23);
  2. valutazione d’impatto della protezione dei dati (DPIA) inerente i servizi on line di videoconferenza o di altre piattaforme di monitoraggio utenti (AS 20-21 e 21-22);
  3. atti inerenti alle misure tecniche previste ed adottate per attivare i soli servizi strettamente necessari alla formazione, nel caso di utilizzo di piattaforme più complesse non esclusivamente dedicate alla didattica (AS 20-21, 21-22 e 22-23)
  4. valutazione d’impatto della protezione dei dati (DPIA) inerente i servizi on line di videoconferenza o di altre piattaforme di monitoraggio utenti (AS 22-23)
  5. valutazione di impatto del trasferimento dei dati (TIA) in paesi al di fuori dell’Unione Europea, per i servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico, adottati nell’anno scolastico (AS 22-23);
  6. valutazione comparativa per l’acquisto dei software di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico (AS 22-23).

Queste sei richieste impattano non solo sul rispetto del GDPR ma anche sul rispetto della normativa per l’uso e il riuso del software open source nella PA (art. 68 del dlgs. 82/2005) e, in definitiva, sul rispetto delle buone prassi per l’acquisizione di beni e servizi nella pubblica amministrazione.

La lista delle scuole coinvolte sarà pubblicata dagli attivisti a questo link.

Le reazioni della “comunità della privacy”

Benché, come si è visto, l’iniziativa del FOIA massivo cova nella comunità degli attivisti per il software libero da quasi un paio di anni, è questa la prima volta che si concretizza l’iniziativa.

Il FOIA massivo alle scuole non è in realtà una novità del progetto MonitoraPA, perché è stato già impiegato da parte dell’associazione Sportello amianto nazionale, un’attività in parte promossa direttamente dall’organizzazione, con accessi agli atti e Foia rivolti a comuni ed Asl, un FOIA le cui dimensioni furono peraltro maggiori di quelle portate avanti da MonitoraPA.

Una delle più interessanti novità è che in questo caso l’iniziativa è nata in maniera slegata da una qualsivoglia associazione ed è progettata per essere ripetibile, attraverso un’applicazione basata sulla logica del “riuso” sistematico dello strumento informatico di supporto.

L’altra novità è che l’iniziativa ha determinato reazioni molto diversificate anche all’interno della comunità degli esperti del settore della privacy.

Dopo alcune schermaglie, proprio alcuni giorni dopo l’avvio del FOIA, è stata predisposta una segnalazione al Garante Privacy, sottoscritta il 23 settembre da diversi professionisti del settore che hanno espresso le proprie riserve in merito a diversi punti:

  • la liceità del trattamento automatizzato della base dati delle PA che, nel caso del monitoraggio su Google Analytics e Google Fonts, avrebbe determinato un ulteriore trattamento automatizzato per il rilievo delle anomalie
  • l’opportunità di bombardare le singole PA con segnalazioni che, a tendere, potrebbero raggiungere un numero insostenibile per i funzionari della PA nonché per il personale del Garante stesso
  • la condotta, a loro dire, intimidatoria dell’iniziativa, dannosa per il funzionamento delle PA e lesiva del rapporto di fiducia e collaborazione tra amministrazione e cittadini
  • la focalizzazione sbagliata dell’iniziativa, troppo severa verso le vittime (le pubbliche amministrazioni) e poco verso quelli che sarebbero i veri responsabili (le aziende tecnologiche come Google che mettono a disposizione strumenti non in linea con il GDPR)
  • gli effetti distorsivi che provocano sconcerto e disorientamento presso i funzionari delle amministrazioni pubbliche, che già presentano un organico sottodimensionato per la gestione corrente.

Per un commento degli estensori della segnalazione, rimandiamo all’articolo Monitora PA, Se l’attivismo fa danni: intervenga il Garante privacy pubblicato lo stesso giorno su Agendadigitale.eu alla firma degli avvocati Carola Caputo, Giovanni Ferorelli e Andrea Lisi.

Monitora PA, se l’attivismo fa danni: intervenga il Garante privacy

Una buona parte della comunità della privacy ha comunque sostenuto le ragioni dell’iniziativa e con particolare riguardo al FOIA massivo, è sicuramente da segnalare il video realizzato da Matteo Flora nel quale, sostanzialmente, l’avvocato Antonio Perrini di 42LawFirm reputa pienamente legittime le richieste presentate nel FOIA.

Il 29 settembre, inoltre, durante l’evento e-privacy Marco Ciurcina ha cercato di mostrare come l’iniziativa di MonitoraPA si sia mossa sostanzialmente nei limiti della legalità.

In un recente contributo comparso sul sito di Federprivacy, infine, l’avvocato Antonio Ciccia Messina, commenta la vicenda ritenendo come non solo le richieste di MonitoraPA siano legittime, m addirittura funzionali a un miglioramento generale della legalità nella PA: “quando le criticità non riguardano determinate scuole o specifici territori, ma sono trasversali e toccano a tappeto tutte le scuole in ugual modo, proprio come quelle sollevate dal gruppo di hacker di MonitoraPA, si devono studiare alternative che affrontino e risolvano i problemi in termini trasversali e uniformi. Sono alternative che tra l’altro sono già previste dal Gdpr e dal codice della privacy, anche se presuppongono uno sforzo regolatorio, e che possono prendere la forma di atti amministrativi generali, codici di condotta e linee guida settoriali”

Ma se le accuse sulla legalità di MonitoraPA saranno oggetto dei pronunciamenti dell’autorità di Piazza Venezia, ben più importante per l’agibilità di queste iniziative saranno le considerazioni sulla legittimità. Secondo l’avv. Andrea Lisi infatti la segnalazione delle irregolarità non è materia per ‘sceriffi’ e ‘giustizieri’ fai da te del web, ma come sottolineato in un articolo di risposta, anch’esso pubblicato su Agendadgitale.eu, i cittadini hanno il dovere civico di segnalare le irregolarità e, quando il perimetro di illegalità è così esteso, è necessario avvalersi di strumenti cibernetici che limitino l’asimmetria di forza tra Pubbliche Amministrazioni e semplici cittadini, privi di reale potere dispositivo, che vogliano rivendicare il rispetto dei propri diritti.

Le reazioni dei dirigenti scolastici

Il disorientamento da parte delle pubbliche amministrazioni è comunque stato confermato dall’urgenza con cui i dirigenti scolastici hanno provveduto a chiedere delucidazioni in merito alla richiesta di accesso agli atti.

Richieste di supporto dei fornitori

Una delle prime testimonianze di cui si è avuta evidenza da fonti aperte è il comunicato della società Argo Software Srl, una software house che distribuisce un prodotto per la gestione del registro elettronico. La tempestività con cui già il 21 settembre viene predisposto e pubblicato sul sito di Argo Software un modello di risposta al FOIA di Monitora PA è sicuramente indicativa della mole di richieste pervenute da parte delle scuole ai rispettivi fornitori.

Il modello predisposto dalla società Argo Software in realtà appare stranamente soggetto a un’impronta ideologica. Leggiamo infatti che “Posto che la richiesta è volta a “valutare i danni che l’uso di piattaforme di sorveglianza per la didattica possono ingenerare agli studenti, soprattutto ai minori” (etc)”; tuttavia, questa considerazione trae spunto da un riferimento metatestuale che non è affatto presente nella richiesta di accesso generalizzato (nella quale non si fa riferimento ad alcun “danno”) ma solo nel comunicato presente sul sito di MonitoraPA.

Naturalmente il documento di Argo deve essere considerato nell’ambito del rapporto fiduciario che intercorre tra fornitore e cliente, ma non bisogna dimenticare che si tratta comunque di un documento aziendale, focalizzato principalmente sulla tutela del fornitore e non può essere considerato al pari di una consulenza legale al cliente. Con la stessa chiave di lettura può essere letto il comunicato che Assoscuola, un’associazione che riunisce i fornitori del settore, ha rilasciato sull’argomento.

ANAC risponde a uno o più interpelli

Anche l’Autorità Nazionale Anticoruzione in una nota del 23 settembre risponde a quelli che sembrerebbero essere uno o più interpelli formulati dalle scuole e dagli uffici scolastici regionali.

La nota si apre con un eloquente premessa: “Con riferimento alla nota in oggetto -con la quale si cheide se sia possibile rigettare l’istanza di accesso civico generalizzato proposta da MonitoraPA per “manifesta irragionevolezza”- si rappresenta quanto segue…”.

Ciò che segue non risulta essere molto interessante dal momento che si tratta semplicemente di una rassegna degli articoli di legge che regolano l’istituto del FOIA e l’Autorità si produce in un precetto lapalissiano: queste sono le disposizioni normative e, se la richiesta le ottempera, non può essere rigettata (sintesi dell’autore, ndr), senza prendere posizione nel merito della questione.

Ciò che è interessante invece è l’inciso “manifesta irragionevolezza” inserito tra apici, perché fa capire che l’interpello cui ANAC risponde chiede espressamente non tanto “se deve rispondere” all’istanza, ma proprio “se può rigettarla per manifesta irragionevolezza”! Un indicativo segnale dell’atteggiamento alla base della richiesta dell’interpellante.

L’associazione Dirigenti Scuola interpella il Garante

Il 22 settembre l’associazione sindacale Dirigenti Scuola ha pubblicato un comunicato (“Ancora vessazioni ai dirigenti scolastici: è ora di porre un limite!“) nel quale stigmatizzava l’esercizio del diritto di accesso da parte di “Monitora PA”, sostenendone “finalità strumentali e ideologicamente tese a sottoporre ad un controllo generalizzato e indiscriminato l’intero sistema scolastico italiano” e non mirate a garantire forme diffuse di controllo sul perseguimento delle funzioni istituzionali. Nello stesso comunicato preannunciava la volontà di interpellare le autorità preposte per ottenere indicazioni in merito, interpello che sarebbe stato inviato all’Autorità Garante per la Protezione dei Dati Personali il 28 settembre.

Nel comunicato si afferma che “la strategia di Monitora PA è sussumibile all’interno di quel fenomeno che va sotto il nome di “Weaponization DSAR”” (in realtà l’espressione corretta sarebbe Weaponization di DSAR ossia bombardamento di Data Subject Access Request ossia “Richiesta di accesso all’interessato”, un’espressione utilizzata nel già citato articolo cofirmato dall’avv. Lisi e comparso su Agenda Digitale), una condotta di trolling legale in cui le richieste di accesso sono strumentalmente utilizzate per esercitare pressioni sul titolare del trattamento.

L’associazione dei dirigenti scolastici assume inoltre come assodata la tesi per cui le iniziative di MonitoraPA “appaiano sistematicamente inserite all’interno di un disegno strategicamente orientato a pubblicizzare se stessa, piuttosto che i documenti e le informazioni di cui chiedono l’ostensione, contribuendo, in tal modo, a degradare in maniera irreversibile l’esercizio di un diritto sacrosanto, a vile strumento propagandistico”.

L’associazione chiede perciò al Garante, “previa valutazione delle azioni di attivismo digitale sopra descritte”, non solo di “considerarle illegittime ovvero violative delle norme dettate dal legislatore in subiecta materia” ma addirittura di “adottare nei confronti di Monitora PA e di Fabio Pietrosanti tutte le iniziative necessarie ed opportune”.

Il parere dell’Ufficio Scolastico Regionale per il Veneto

Molto interessante è la lettura del parere dell’Ufficio Scolastico Regionale del Veneto che il 4 ottobre (in una curiosa risposta nella quale sembrerebbe vengano confuse le valutazioni di impatto sul trattamento dei dati personali e quelle sul riuso del software, o quantomeno di non conoscere le prerogative in capo agli istituti scolastici!) obietta sulla legittimità della richiesta di accesso generalizzato in quanto richiesta vessatoria (“la mole di documenti oggetto di ostensione obbligherebbe le scuole a fornire numerosissime pagine, senza, peraltro, che la predetta richiesta sia sostenuta da esigenze tali da giustificarne l’onerosità”) e invita le istituzioni scolastiche del territorio a uniformarsi al suddetto parere.

Il parere dell’Ufficio Scolastico Regionale del Piemonte

Diverso per ampiezza e solidità argomentativa rispetto al precedente è il parere dell’USR del Piemonte, pubblicato il 5 ottobre.

Da sottolineare il seguente assunto: “le informazioni richieste ai punti 2-4-5-6 dell’istanza si riferiscono a operazioni non propriamente di competenza delle singole istituzioni scolastiche, come ad esempio la valutazione di impatto che, ai sensi dell’art. 35 del GDPR, riguarda prevalentemente autorità pubbliche o enti pubblici per progetti su scala ampia e trattamenti indicati nell’elenco che l’autorità di controllo redige e rende pubblico”. Si tratta di un’affermazione che sembra intendere il valore “alternativo” di quanto riportato nel suddetto articolo 35 al punto b) del comma 3.

C’è da dire che, in base all’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, dati come quelle trattate da una scuola sembrerebbero proprio rientrare nella tipologia indicata, ma nel Provvedimento del 26 marzo 2020 – “Didattica a distanza: prime indicazioni”, si legge che “La valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati”.

La questione rappresenta uno dei nodi dell’atteggiamento che il Garante Privacy si è trovato costretto ad avere verso le scuole nel periodo dell’emergenza, temperato anche dall’inciso, in premessa al provvedimento, con cui il Garante prometteva una prossima valutazione delle piattaforme di didattica quando sosteneva : “ l’Autorità valuterà, in ogni caso, l’opportunità di avviare verifiche sui fornitori delle principali piattaforme per la didattica a distanza per assicurare il rispetto del Regolamento e del Codice in relazione ai trattamenti effettuati per conto delle scuole e delle università”.

La conclusione del documento è comunque perentoria e alle scuole vengono consigliate solo due opzioni:

  • il diniego, che dovrà essere obbligatoriamente “motivato”, anche sulla base degli elementi esposti nelle cinque pagine del documento dell’USR Piemonte
  • il tentativo di dialogo cooperativo, così come regolato al punto 8 della Circolare del Dipartimento della funzione pubblica n. 2/2017, Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)” che dovrebbe essere attivato anche in presenza di richieste massive ed esplorative suscettibili di compromettere il buon andamento dell’attività amministrativa.

Last but not least: l’Avvocatura dello Stato sul FOIA MonitoraPA

Quello pubblicato il 16 ottobre dall’Avvocatura Generale dello Stato costituisce sicuramente il parere più strutturato e argomentato apparso finora a proposito dell’iniziativa monitora PA.

Se gli ancora attesi pronunciamenti da parte del Garante Privacy sulla questione generale del trattamento dei dati personali e da parte di AGID in merito alla valutazione d’impatto inerente al riuso di software open source avranno infatti un valore generale ancora più importante sulla questione, il parere dell’Avvocatura costituisce il parere più autorevole cui potranno fare riferimento le scuole. Il suo contenuto merita perciò una trattazione a parte.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • la guida

    Gestione documenti cartacei in azienda, quanti rischi: perché passare al digitale

    30 Ott 2024

    di Nicoletta Pisanu

    Condividi

  • l'analisi

    Rapporto Draghi, il GDPR rischia di frenare l'IA: ecco perché

    25 Set 2024

    di Alessandro Bacchilega e Valerio Natale

    Condividi

  • piano banda ultralarga

    Piano 1 Gigabit, il grande caos dei civici: a che punto siamo

    02 Set 2024

    di Cristoforo Morandini

    Condividi

Prossimo

Gestione documenti cartacei in azienda, quanti rischi: perché passare al digitale

Articolo 1 di 4