Protocolli bucatiLa scuola digitale ha un enorme problema di sicurezza informatica

Il fai da te sulla didattica a distanza in questi mesi è un rischio per la privacy e per la trasparenza nel trattamento dei dati personali. Sono state accantonate in modo frettoloso una serie di questioni giuridiche importanti e delicate. A settembre saremo pronti?

scuola digitale
Photo by Annie Spratt on Unsplash

La didattica a distanza (Daad) è stata una grande sfida per la scuola pubblica italiana, che ha dovuto compiere in pochi mesi un notevole aggiornamento tecnologico, sia dal punto di vista dei sistemi informatici che da un punto di vista del modo di insegnare. 

Se da questo punto di vista sono stati fatti enormi passi avanti, lo stesso non si può dire per le questioni giuridiche e di trasparenza legate all’utilizzo delle piattaforme informatiche. 

La questione è particolarmente rilevante in un mondo dove in genere i genitori firmano liberatorie per qualsiasi cosa. Tuttavia, in questi mesi ci si è mossi con grande libertà in un contesto giuridico particolarmente incerto, tra piattaforme proposte dal ministero, pacchetti di contenuti proposti dalle case editrici, scuole (e, spesso, di docenti stessi) con ampia libertà di scelta. 

Per affrontare questo problema il ministero dell’Istruzione e  il Garante della Privacy avevano provveduto, fin dal primo decreto del 26 marzo, a regolamentare il tema, sulla base della normativa europea Gdpr e dell Codice della Privacy.

Il criterio primo da rispettare è quello della privacy by design e default. Il titolare del trattamento (la scuola) deve garantire che siano trattati soltanto i dati personali necessari allo svolgimento dell’attività scolastica. 

La loro protezione, in altre parole, deve obbligatoriamente far parte dei criteri che portano alla scelta dello strumento. Il principio è rilevante, perché esistono diverse piattaforme che consentono di creare classi virtuali, pubblicare materiali, svolgere video-lezioni online e consentire il dialogo fra insegnanti e alunni, e non tutte sono state concepite per la didattica a distanza

Il Gdpr prevede che sia necessario il consenso da parte delle persone coinvolte in attività dove è necessario dare accesso ai propri dati personali. In un vademecum sugli adempimenti di privacy nelle scuole durante l’emergenza, il Garante aveva chiarito che il consenso per il trattamento dei dati degli studenti non è però necessario, perché soggetto all’esecuzione di un compito d’interesse pubblico. 

Essendo l’attività scolastica un compito di interesse pubblico, scuole e università sono dunque autorizzate a trattare i dati dei propri studenti senza che questi debbano dare un consenso.

Su Agenda Digitale, l’avvocato Marta Cogode e l’esperto di data protection Vincenzo Colarocco sollevano però alcune perplessità. La prima è relativa alla durata di questo provvedimento, varato in tempo di emergenza: dal punto di vista della privacy, le metodologie della didattica a distanza rimarranno le stesse anche dopo l’emergenza? E in base a quale criterio si stabilirà la fine dell’emergenza? 

Sull’utilizzo dei dati biometrici (definiti dal Gdpr come dati personali relativi a caratteristiche fisiche o comportamentali che consentono l’identificazione univoca della persona, come l’impronta digitale, il volto, l’occhio o la voce), almeno per quanto riguarda le lezioni in video-conferenza, il Garante ha già stabilito che questi non sono da considerarsi tali perché non forniscono una verifica automatizzata dell’identità.

In generale, l’utilizzo di sistemi di riconoscimento basati su dati biometrici rappresenta un tema in ambito di esami universitari o di Stato. Almeno per quest’anno, è stato previsto che l’esame di maturità sarà svolto in presenza, ma ciò non toglie che in futuro possa diventare un problema, in assenza di regolamentazione specifica.

In questi mesi il ministero dell’Istruzione ha dedicato una pagina web alla didattica a distanza per assicurare che tutti gli studenti possano assolvere al proprio diritto allo studio in maniera gratuita. Teoricamente, queste piattaforme dovrebbero avere già predisposto tutte le misure di sicurezza idonee a tutelare la privacy dei dati di studenti e docenti. Tuttavia, scrivono ancora gli esperti su Agenda Digitale, «tutto ciò non comporta l’automatico adempimento da parte del titolare del trattamento degli obblighi cui lo stesso è destinatario».

Infatti, sono gli stessi istituti scolastici a doversi assicurare, anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi, «che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza». 

Ciò significa che bisognerà regolare la durata di conservazione dei dati e la relativa cancellazione, nel momento in cui si esaurisce il progetto didattico. Non è ancora chiaro, però, per quanto tempo le piattaforme potranno rimanere in possesso dei dati.

In più, non tutte le piattaforme sono considerate affidabili. Zoom, ad esempio, è un’applicazione molto utilizzata a scuola, nelle imprese e nelle amministrazioni, ma presenta dei limiti notevoli in ambito di sicurezza.

«È molto semplice introdursi in una videolezione e inserire messaggi politici, diffamatori, pornografici o addirittura pedopornografici», spiega a Linkiesta Angelo Raffaele Meo, professore emerito del Politecnico di Torino, considerato fra i pionieri dell’informatica italiana. Il fenomeno è noto come “Zoom bombing”. «C’è anche il sospetto che Zoom venda i dati privati che riesce a catturare, e dunque si pone un grosso tema di mercato nero dei dati personali».

Meo, oggi 85enne e in pensione, è noto per il suo lavoro svolto nella direzione del software libero e open source, considerato più affidabile rispetto a quello proprietario offerto dalle Big Tech. Attraverso la disponibilità del codice sorgente, infatti, l’open source consente sia la libera circolazione degli strumenti, sia processi di modifica, produzione, ridistribuzione, evoluzione e riuso. 

In più, non è tracciabile e non contribuisce ad arricchire il patrimonio delle grandi piattaforme, offrendo invece una strumentazione autonoma.

«Quello che è successo con Zoom può succedere con qualunque altra piattaforma proprietaria», spiega ancora Meo, che accusa il ministero di proporre unicamente piattaforme proprietarie, cosa che comporterebbe una violazione l’articolo 68 del decreto 82/2005. 

Questo decreto impone alla pubblica amministrazione di preferire il software libero, o comunque di avere almeno una opzione di software libero tra le piattaforme che si può decidere di adottare. «Si tratta della legge nata dalla commissione Stanca che io avevo presieduto», spiega il professore. Meo e i suoi colleghi, ora, prevedono di inviare una lettera alla ministra Lucia Azzolina per sollevare il problema: «È necessaria una legge che vieti l’utilizzo di software proprietario».

Le alternative open source ci sarebbero, basti pensare a Jitsi e Big Blue Button. Quest’ultima è utilizzata anche dallo stesso Politecnico di Torino, insieme alla piattaforma Fare. Big Blue Button ha ospitato fino a 600 lezioni online al giorno per 10.000 studenti. 

«Il problema per la scuola è sempre quello della larghezza di banda», spiega Meo, che quindi rende difficile operare queste soluzioni su scala nazionale. «Ma lavorarci è una necessità. Il software libero è il futuro», conclude il professore.

Di tutte queste opzioni, le scuole sono all’oscuro. E l’autonomia degli istituti, in questo senso, non aiuta. «Le istituzioni scolastiche in questi mesi hanno dato indicazioni ai propri docenti, ma ci sono anche insegnanti che si sono arrangiati da soli. Alcuni hanno usato account personali per utilizzare le piattaforme. In alcuni casi sono state registrate le lezioni senza dirlo. Ci sono stati data breach quotidiani legati ad applicazioni o fornitori non affidabili. La soluzione non deve viaggiare sullo spontaneismo», spiega a Linkiesta Ernesto Belisario, avvocato esperto di privacy nella pubblica amministrazione. 

«Il ministero non controlla, continua Belisario, anche perché non si può sostituire all’autonomia delle scuole, rivendicata con forza dagli stessi istituti. Ma se autonomia deve essere, devono esserci le risorse per poterla fare come si deve».

La mancanza di consapevolezze sui rischi da parte di scuole, docenti, famiglie e studenti stessi, però, ha delle conseguenze. La figura dell’animatore digitale, istituita con la riforma della Buona Scuola, in questi anni è stata efficace solo in alcuni casi. 

«Nelle scuole dove gli animatori digitali esistevano e avevano un vero ruolo, c’è stata prontezza di intervento. Dove non era stato nominato qualcuno competente o motivato, invece, si è rimasti con il cerino in mano. Nella scuola primaria il tecnico informatico non è previsto, questo ruolo lo ricopre un docente volontario. Non possiamo stupirci se ci sono problemi, possiamo solo ringraziare il docente dello spirito con cui si è messo a disposizione», dice l’avvocato.

Guardando a settembre, ma anche oltre, appare dunque imprescindibile provvedere alla formazione in ambito digitale, soprattutto per i docenti, per assicurare che tutti comprendano l’importanza di questi strumenti e dei problemi che pongono. 

Per Giulio De Petra, del Centro per la Riforma dello Stato, «la formazione dei docenti non può essere solo tecnologica: non si può insegnare solamente a usare questi strumenti, ma bisogna spiegare cosa c’è dietro alle piattaforme, sviluppando una coscienza critica». 

In questo senso, spiega l’esperto, serve anche valorizzare il conflitto – quello tra chi vuole usare la tecnologia positivamente per svolgere meglio il proprio lavoro, e chi intende sfruttarla ai fini del controllo. «Quella degli insegnanti non è una resistenza, rilevano i punti critici in questo processo. Bisogna far intervenire i soggetti per contrattare l’innovazione prima che venga distorta».

Insieme al Forum Disuguaglianze e diversità, De Petra lavora da circa tre anni ad un progetto chiamato “Scuola critica del digitale” per il contrasto del digital divide. Alcuni speciali seminari saranno avviati già prima dell’estate, in relazione all’emergenza Covid. 

«Bisogna fare in modo che le risorse destinate al contrasto per il digital divide non vadano solo nella direzione dell’acquisto di device. Una quota di risorse deve andare a costruire momenti di formazione critica all’uso delle tecnologie, per docenti, ragazzi e genitori», conclude.

Entra nel club de Linkiesta

Il nostro giornale è gratuito e accessibile a tutti, ma per mantenere l’indipendenza abbiamo anche bisogno dell’aiuto dei lettori. Siamo sicuri che arriverà perché chi ci legge sa che un giornale d’opinione è un ingrediente necessario per una società adulta.

Se credi che Linkiesta e le altre testate che abbiamo lanciato, EuropeaGastronomika e la newsletter Corona Economy, così come i giornali di carta e la nuova rivista letteraria K, siano uno strumento utile, questo è il momento di darci una mano. 

Entra nel Club degli amici de Linkiesta e grazie comunque.

Sostieni Linkiesta