Una sentenza storica che non deve passare inosservata

Privacy Shield USA-UE non valido

Continuity s.r.l., Baiamonte Sonia

Quali conseguenze per la Didattica a distanza?

Con la sentenza C-311/18 dello scorso 16 luglio la Corte Europea di Giustizia, pronunciandosi sul caso Data Protection Commissioner/Maximillian Schrems c. Facebook Irl., ha invalidato la decisione 2016/1250 della Commissione con la quale venne istituito il famoso Privacy Shield USA-UE.

La motivazione di questa importante decisione, che rischia di creare un vero e proprio terremoto per le grandi aziende Tech del settore, nasce dall'aver finalmente constatato che le invasive norme statunitensi, in tema di Privacy, non sono in grado di offrire garanzie sufficienti in favore dei cittadini europei nell'ambito della protezione dei diritti e delle libertà, relativi al trattamento dei dati personali, disciplinati dal Regolamento UE 679/2016 (GDPR).

Tutto è iniziato dal ricorso presentato da un attivista per la privacy austriaco nel 2013: Edward Snowden che aveva rivelato l'esistenza del programma Prism ( un programma di sorveglianza elettronica, cyberwarfare e Signal Intelligence, classificato come di massima segretezza, usato per la gestione di informazioni raccolte attraverso Internet e altri fornitori di servizi elettronici e telematici). Snowden aveva accusato Facebook Ireland – a cui aveva dato il consenso per il trattamento dei dati personali – di avere sottoposto alla sorveglianza statunitense le stesse informazioni cedendole a Facebook Inc., società statunitense che rispetta la normativa nazionale.

La decisione dei giudici potrebbe creare diversi problemi alle multinazionali americane e europee che proprio sul trasferimento di questi dati, e sul loro utilizzo, fondano buona parte del loro business, spacciandolo come free. La sentenza potrebbe costringere società come Facebook, Apple, Microsoft o Google a dover ripensare la propria strategia industriale o ad affrontare costi notevoli per la creazione di centri per la raccolta dati in Europa.

Si renderà dunque necessario per gli operatori UE, anche in virtù del Principio di Accountability di cui al GDPR, effettuare un assessement approfondito relativamente alle proprie attività riguardanti trattamento di dati personali oggetto di trasferimento transfrontaliero. Occorrerà colmare il venir meno delle tutele garantite con il Privacy Shield sottoscrivendo clausole contrattuali standard ove possibile oppure sostituendo il fornitore con uno che non trasferisca i dati al di fuori dell'Europa.
I provider di servizi di comunicazione elettronica possono anche dire di rispettare i dettami del GDPR, ma alcune leggi USA (FISA 702 e EO 12333) li possono obbligare a violarlo e a mantenere segreta la cosa, quindi se l'NSA americana richiedesse tali dati, di fatto verrebbero forzatamente trasferiti su territorio americano.

L'inadempienza di questa recente e straordinaria sentenza dei giudici di Lussemburgo, comporterà per le aziende l'inutilizzabilità e/o illegittimità del trattamento dei dati acquisiti, esponendo il soggetto titolare alle gravi sanzioni previste dal GDPR. Il Garante si appoggia per le indagini al Gruppo Anti Frodi Telematiche e Privacy della GdF, e le ispezioni potranno avvenire dietro segnalazione.

Per noi che da anni sosteniamo il diritto alla Privacy è una decisione storica che mi fa ben sperare in un aumento di consapevolezza almeno in capo a chi ha la responsabilità di gestione della Privacy nelle aziende ed in particolar modo nelle Pubbliche Amministrazioni.
Reduci da un anno in cui moltissime scuole italiane hanno sacrificato la privacy di studenti minorenni e insegnanti scegliendo di utilizzare piattaforme dei grandi Big Americani, mi auguro che questa notizia spinga i dirigenti scolastici quantomeno a porsi delle domande su quali siano realmente le responsabilità sulle loro spalle e sulle motivazioni di questa sentenza.

Cosa fare dunque? Basterebbe scegliere piattaforme rispettose della privacy ed Open Source che assicurino la protezione dei dati su territorio UE, sostenere aziende sul territorio italiano e non regalare introiti alle società americane che lucrano sui dati dei nostri figli.

Abbiamo moltissime esperienze positive in Italia, si pensi per esempio al GARR, Politecnico di Torino che in pieno lockdown ha potenziato un’infrastruttura di formazione in cloud con alla base BigBlueButton, software open source per teleconferenze e didattica che non ha nulla da invidiare alle soluzioni Google, Microsoft e Zoom.

La mia battaglia personale per la Privacy, che mi ha spinto a scrivere gli articoli di questo Blog e a creare il sito di comeinclasse, ad organizzare eventi a tema Privacy per diffondere consapevolezza sul tema, è nata dalla tristezza di vedere mio figlio destreggiarsi con difficoltà con strumenti strutturalmente inadeguati per la scuola, dalla dura decisione di vietargli l' utilizzo di piattaforme non rispettose della privacy come zoom e whatsapp, in netta contrapposizione con il resto della classe, e dalla frustrazione dell'aver acconsentito alla decisione del dirigente scolastico di utilizzare piattaforme che profilano gli utenti quali Edmodo prima e Google poi, pur di non mettere mio figlio in una situazione di paria sociale ancora peggiore. Dove sono adesso i dati di mio figlio? E' corretto che io debba rinunciare alla Privacy di un minorenne sotto la mia responsabilità per fare delle lezioni on line?

Come Vicepresidente di un'azienda che ha le competenze nel settore abbiamo scelto BigBlueButton, ne abbiamo sviluppato alcune caratteristiche( come delle utili dashboard per il controllo del carico del server e del numero dei partecipanti) e lo abbiamo reso fruibile a tutti con una demo gratuita e da oggi nella sezione "presentazione e documenti" del sito, nel canale pubblico è disponibile anche una guida rapida che ne illustra funzionalità e caratteristiche passo per passo. Puoi scaricarla da qui

Il 23 settembre saremo presenti ad Udine presso l'Auditorium Comelli con l'evento : Soluzioni per la didattica a distanza e tutela della Privacy dei minori, verso una legge sull'Open Source. Ascolteremo la proposta di legge del consigliere Honsell ed insieme alle associazioni e personalità che ci hanno accompagnato in questi mesi, compreso l'illustre Professor Meo del Politecnico di Torino, faremo una panoramica sugli strumenti open e sicuri per la didattica.

Le alternative ci sono, occorre avere il buon senso di cercarle.