MonitoraPA, GAFAM e gli Atenei italiani

TL;DR L’ultima campagna di MonitoraPA ha preso di mira 45 Atenei italiani che utilizzano i servizi messi a disposizione da Google che, a quanto pare, non sono totalmente conformi a quanto previsto dal Regolamento Europeo GDPR. Punta dell’iceberg per un privacy-tsunami tutto italiano?

L’ultima campagna, in ordine cronologico, del collettivo “MonitoraPA” ha preso di mira le Università italiane che utilizzano i servizi messi a disposizione da Google.

Sono 45 gli Atenei raggiunti dalla PEC di MonitoraPA, esortandoli a trovare una soluzione alternativa all’uso della piattaforma Google Mail per il servizio di posta elettronica:

1. Tramite l'esecuzione dell'osservatorio di Monitora PA, in data 2023-02-01 21:31:20.409155, ho rilevato che il vostro Ateneo, Università XXX, utilizza per la posta elettronica ordinaria (PEO) i servizi forniti da Google.

Le criticità sull’uso di Google per la posta elettronica sono relative al trasferimento di dati personali in modo non conforme al Regolamento Europeo sulla Protezione dei Dati Personali 2016/679 “GDPR”:

L'adozione dei servizi di posta elettronica forniti da Google determina trasferimenti sistematici di dati personali degli utenti e dei loro corrispondenti, non attualmente conformi, in assenza di efficaci misure tecniche supplementari, alle disposizioni del GDPR in ordine al trasferimento transfrontaliero di dati personali, fra cui, a titolo esemplificativo ma non esaustivo:

   - indirizzo IP
   - indirizzo email
   - Mail User Agent
   - sistema operativo
   - relazioni interpersonali
   - dati personali descrittivi deducibili dall'incrocio dei dati precedenti, dall'oggetto e dai contenuti dei messaggi trasmessi

concludendo con un invito piuttosto perentorio:

15. Pertanto invito l'Ateneo in indirizzo a voler provvedere alla rimozione
    dei servizi sopra indicati, entro il termine di 40 giorni dalla ricezione
    della presente.

16. In alternativa e negli stessi termini, invito l'Ateneo ad adottare
    misure tecniche supplementari efficaci a protezione dei dati personali
    degli interessati coinvolti nel funzionamento del Vostro sistema di
    PEO - inclusi quelli del sottoscritto, coivolto quale corrispondente
    di un Vostro indirizzo di PEO - tali che nessun dato (o insieme di dati),
    raggiungendo i server in questione, possa permettere di identificare
    con probabilità non trascurabile, tracciare le comunicazioni e ad
    arricchirne i profili cognitivo-comportamentali di un qualsiasi
    cittadino italiano o europeo.

Sulla questione e sulle potenziali conseguenze ha dato ampio spazio la testata online Giornalettismo, attraverso una intervista piuttosto completa a Giacomo Tesio, membro di MonitoraPA e firmatario della PEC agli Atenei, che di Raffaele Conte, DPO del Cnr, sulla “difficile vita dei DPO nelle università che vogliono usare Google” per finire con una interessante disamina della questione direttamente da un docente, il prof. Giuseppe Attardi, ordinario presso il Dipartimento di Informatica dell’Università di Pisa.

«La stessa Università di Pisa aveva un proprio servizio di posta elettronica fino a pochi anni fa, gestito da tecnici che ne permettevano il corretto funzionamento. Il cambio di strategia operato da molte aziende e Atenei è stato spinto sia dai Rettori, che volevano risparmiare sul costo dei servizi informatici, e dalle aziende che hanno iniziato a offrirsi come fornitori di servizi gratuiti. Anche la Conferenza dei rettori delle università italiane (CRUI) è intervenuta nei processi che hanno portato a stipulare degli accordi tra le aziende e le Università per acquistare dei servizi informatici a prezzi convenienti»

Il fatto che le Università utilizzino Google è un problema, ma avremmo dovuto pensarci prima. L’intervista a Giuseppe Attardi, 22.02.2023, Giornalettismo.it

Temo che la chiave della vicenda sia qui, in questa esiziale strategia di risparmio su ciò che rende possibile l’operatività stessa degli Atenei, della didattica e della ricerca: l’ICT. Incontrando, appunto, attori interessati a conquistare i dati degli Atenei, anche offrendo servizi critici –come la posta elettronica e lo storage– gratuitamente (abbiamo poi visto come, nel più classico dei lock-in, come lo storage illimitato gratuito sia poi diventato limitato a 100TB…per ora!).

Sarebbe miope però non vedere come il problema dei 45 Atenei italiani sia, in realtà, ben più ampio ed esteso: quante sono le PA che utilizzano i servizi di Google o Microsoft per trattare o conservare i dati personali degli utenti?

Penso alla scuola primaria che frequenta mio figlio, che usa Microsoft Teams per gran parte delle attività tra docenti e genitori, così come il Ministero dell’Istruzione ha da qualche anno il sistema di posta elettronica per gli istituti scolastici su Microsoft Office 365. In questo caso, parliamo di trattamento di dati di minori…

Mentre la politica parlava di rafforzamento del “perimetro cyber”, dall’altro le Istituzioni pubbliche riversavano tutti i loro dati, anche riservati, sui server di Google, Microsoft, Amazon… talvolta senza assicurarsi di avere le necessarie garanzie di tutela dei dati personali previste dal GDPR.

Rischiamo quindi un tsunami-privacy in Italia? Spero di no, sarebbe devastante. Ma se fino ad ora il Paese ha comunque potuto contare su una inconsapevole complicità di una popolazione largamente ignorante sui temi relativi a privacy e tutela del dato, l’emersione del problema potrebbe dare seguito a una discreta quantità di ricorsi al Garante della Privacy. Del resto, l’articolo 82 del Regolamento Europeo 2016/679 parla chiaro…

Questo articolo è stato visto 497 volte (Oggi 1 visite)

Hai trovato utile questo articolo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.