L’intervento del dicastero è arrivato, tra le altre cose, anche a seguito di una campagna promossa da MonitoraPA, un gruppo informale di tecnici ed esperti che da oltre un anno richiede alle pubbliche amministrazioni di interrompere l’uso di servizi statunitensi proprio per la situazione di incertezza che ancora aleggia. Timore condiviso anche da altri. “Come Privacy Network, subito dopo l’annullamento del Privacy shield [nel 2020, ndr], abbiamo inviato una segnalazione al ministero dell’istruzione dicendo che tutte le scuole stavano iniziando a usare i servizi di Google perché proprio il dicastero suggeriva così” dice a Wired Diego Dimalta, cofondatore dell’associazione che promuove la cultura della privacy, e che ha pubblicato su LinkedIn la circolare. “Non ci hanno mai risposto, ma abbiamo pensato che comunque di lì a poco sarebbero arrivate delle indicazioni precise non solo dall’Unione europea ma anche dal garante della privacy italiano” aggiunge Dimalta. (Fonte: www.wired.it)

 

l Garante privacy, interrogato sul tema, ha affermato che “la circolare è una tipologia di atti sulla quale non è previsto venga espresso un parere dell’Autorità” e che nella stesura della stessa “non è stata interpellata”. “La questione riguardante il trasferimento dei dati negli Usa è attualmente in discussione a Bruxelles - continua l'autorità - e riguarda tutta l’Unione. Solo dopo che verrà trovata una soluzione potremo esprimerci in accordo con gli altri Paesi membri.” Interrogata sui servizi che offre alle scuole, Google afferma che “Workspace for Education può essere usato in conformità al Gdpr”, e che “tutti i trasferimenti internazionali di dati vengono effettuati con le protezioni delle Standard Contractual Clauses approvate dalla Commissione Europea che sono uno dei meccanismi di trasferimento riconosciuti dal Gdpr”. Microsoft non ha commentato, così come il dicastero guidato dal ministro Valditara. 

Per il cofondatore di Privacy Network, le indicazioni fornite dagli attori in campo sono vaghe. “Il ministero ha lasciato la palla alle scuole, dicendogli che comunque i servizi statunitensi sono in regola anche solo perché lo dichiarano sul loro sito web. Il punto è proprio questo: a più di due anni dall’inizio della pandemia Google è un dato di fatto all’interno della scuola italiana, senza regolazioni in merito. Questo, tra le altre cose, rende il processo di cambiamento difficile”.

 

---

Appare innanzitutto opportuno evidenziare, che tanto Microsoft quanto Google, nella documentazione ufficiale caricata sui rispettivi siti internet dichiarino che il trattamento dei dati, ivi incluso gli aspetti dei trasferimenti transfrontalieri degli stessi, risulti essere conforme rispetto alle norme del GDPR. Specificatamente, dette affermazioni sono reperibili tra l’altro:

• per MICROSOFT

Nel documento Data Processing Agreement (DPA) nella versione aggiornata del 1 Gennaio 2023 dove viene precisato che:

<<Tutti i trasferimenti dei Dati Personali fuori dall’Unione Europea effettuati da Microsoft per fornire i Prodotti e i Servizi, verranno disciplinati dalle Clausole Contrattuali Tipo 2021 adottate da Microsoft. Tutti i trasferimenti di Dati Personali verso un paese terzo o un’organizzazione internazionale saranno soggetti alle misure di sicurezza appropriate descritte nell’Articolo 46 del GDPR e tali trasferimenti e misure di sicurezza saranno documentati conformemente all’Articolo 30(2) del GDPR>> (cfr. pagina 9 -trasferimento dei dati);

<Per quanto riguarda i Servizi Online, ai quali viene applicata la soluzione EU Data Boundary, Microsoft archivierà e tratterà i Dati della Società all’interno dell’Unione Europea come stabilito nelle Condizioni per l’Utilizzo dei Prodotti>> (cfr. pag.10 – Posizione dei Dati della Società).

Riguardo al secondo punto, appare opportuno verificare che i servizi utilizzati non siano tra quelli temporaneamente o permanentemente esclusi (link). Particolare attenzione si ponga sulla versione di Office 365 utilizzata, posto che per le <<Applicazioni Microsoft 365 (per build precedenti al 31 dicembre 2022): per garantire prestazioni e stabilità ai clienti esistenti che usano applicazioni Microsoft 365, gli impegni relativi ai limiti dei dati dell’UE si applicano solo alle versioni rilasciate dopo il 31 dicembre 2022. I clienti che usano build precedenti devono eseguire l’aggiornamento alla versione più recente>>

• per GOOGLE

La società effettua il trattamento dei dati personali dei clienti dei servizi Google Cloud Platform, Google Workspace e Cloud Identity sulla base del Cloud Data Processing Addendum (CDPA). Il suddetto CDPA disciplina i trasferimenti internazionali di dati all’articolo 10, specificando che in caso il trasferimento avvenga verso un paese non coperto da una decisione di adeguatezza, allo stesso si applicano gli SCC, clausole contrattuali tipo, previste dall’articolo 46 GDPR (<<if Google’s address is not in an Adequate Country, the SCCs (Controller-to-Processor) and/or SCCs (Processor-to-Processor) will apply (according to whether Customer is a controller and/or processor) with respect to such Restricted European Transfers between Google and Customer.>>).

Detta informazione è altresì reperibile nelle stesse pagine informative dedicate alla privacy nel rispetto del GDPR.

<<Google Workspace for Education può essere utilizzato in conformità con il GDPR. Il nostro Emendamento sul trattamento dei dati è progettato per soddisfare i requisiti di adeguatezza e sicurezza del GDPR; inoltre, la Commissione europea ha creato delle clausole contrattuali tipo per consentire in particolare il trasferimento dei dati personali dall’Europa. I clienti possono aderire all’Emendamento sul trattamento dei dati e alle clausole contrattuali tipo.>> (Domande frequenti sulla privacy e sulla sicurezza).

<<Nel caso in cui i dati personali vengano trasferiti fuori dall’UE in paesi terzi non coperti da decisioni di adeguatezza, ci impegniamo a fronte dei nostri contratti per il trattamento dei dati a mantenere un meccanismo che faciliti questi trasferimenti secondo quanto stabilito dal GDPR.>> (Trasferimento internazionale dei dati).

Si noti che a seconda degli ulteriori servizi eventualmente previsti nel contratto, le misure possono essere ulteriormente rafforzate prevedendo anche forme di mitigazione del rischio attraverso la pseudoanonimizzazione e la cifratura dei dati lato client: (Configurare il servizio chiavi per la crittografia lato client) .

Inoltre, si coglie l’occasione di ricordare che le misure del PNRR 1.2 – Migrazione al cloud (cloud qualificati) e 1.4.1 – siti web delle scuole, a cui la stragrande maggioranza delle istituzioni scolastiche ha aderito, possono rappresentare strumenti finalizzati anche a preservare l’utilizzo dei dati personali e sensibili del personale e degli alunni, utilizzando per comunicazioni di particolari tipologie di dati, servizi implementati su cloud qualificati e su aree ad accesso riservato dei siti web delle scuole.

---