Mi sembra di essere tornata indietro a tre mesi fa, travolta dalle telefonate e dalle email, sommersa dalle condivisioni di post sui social di questi esperti, sedicenti esperti, semi esperti, ominicchi e quaquaraquà. L’unica cosa che è cambiata è il nome del tizio che importuna le mie giornate: si chiamava Federico Leva, si chiama Fabio Pietrasanti, pare sia un attivista, ha fatto una mossa furba e tutti reagiscono nello stesso modo.
Tutti commentano e nessuno risponde. Io resto basita, come direbbe il mio terzonongenito quattordicenne.
“Illegittimità, atto terroristico, disturbo alla PA, richiesta di documenti riservati...” Ne sto leggendo di ogni, ne sento dire di ogni. E mi chiedo: ma sarò mica l’unica che quella benedetta richiesta di accesso generalizzato l’ha letta?
Ricominciamo da capo: cosa diavolo è successo?
Lunedì 19 settembre 2022 un personaggio sui generis, che forse è un pazzo furioso o forse è un vero attivista, leader di un movimento (anche se onestamente mi pare un po’ solo), ha mandato una PEC a tutte le scuole pubbliche della Repubblica (che mi pare siano ottomiladuecento e rotti ma se sbaglio sbaglio di poco). La PEC è arrivata da un indirizzo spaventevolissimo: “comunicazioni@pec.monitora-pa.it” e con un oggetto ancora più spaventevole: “[RIF FOIA-01.codiceministerialedellascuolainoggetto] RICHIESTA DI ACCESSO CIVICO GENERALIZZATO”.
Panico. Se considerate che ne sono arrivate ottomila e più, immaginatevi il delirio.
Ero in riunione, ho chiesto cinque minuti di pausa.
Ho letto il testo e capito che era cosa da non trascurare, ho aspettato di avere il tempo per dedicarmici (il documento è lungo circa sei pagine) e poi ho fatto quella cosa strana che nessuno sa fare più, cioè ho letto la PEC. Poi ho fatto una cosa ancora più strana (ma non ditelo a nessuno): ho cercato di capire.
In qualche ora ho organizzato una risposta, per la parte che mi competeva, ed un suggerimento per la parte che competeva a chi di dovere. Propongo quindi di fare un grazioso esercizio di stile con la analisi del contesto: nel mio mondo degli unicorni, come lo chiama una collega, “capire e sapere è più importante che blaterare reazioni a caso” (*cit* LaDela).
Chi è il mittente? Cosa chiede? La richiesta è legittima, nella forma e nel contenuto?
***
- Chi è il mittente? La organizzazione che ha fatto la richiesta non è una organizzazione, non ha alcuna personalità giuridica, infatti dietro il vestito di “Monitora-PA” c’è una persona. Pietrasanti chiama questo brand “monitora-pa” attribuendogli l’ontologia di un “osservatorio automatico distribuito sulla PA”; nella definizione dello stesso dice che si tratta di “una comunità di hacker attivisti che si battono per i diritti della sicurezza e della società cibernetica“. Quindi, in primis, questa è una mossa politica che tenta (sgraziatamente) di rifare quello che ha fatto Max Schrems con il Privacy Shield. A mio avviso, peraltro, vuole generare disturbo, non consapevolezza (infatti colpisce le scuole, non le famiglie degli studenti). Lui o loro sono arrabbiati con i GAFAM, i grandi del cloud occidentale: Google, Apple, Facebook, Amazon, Microsoft. Se volete vedere chi sono, guardate qui: https://monitora-pa.it/faq.html
- Cosa chiede? Il signor Pietrasanti ha spiegato bene cosa ha fatto: l’idea è quella di “aiutare le scuole a comprendere i gravi danni che l’uso di piattaforme di sorveglianza per la didattica causa a studenti e docenti oltre ai rischi legali che corrono i Presidi”. Quindi ha chiesto a tutte le scuole pubbliche italiane, tramite una cosiddetta FOIA – perchè a noi Italiani piace citare gli inglesismi quando non ne conosciamo le implicazioni -, di rendere conto di come spendono i soldi del PNNR (che ovviamente sono pubblici sul sito del Ministero), così da pubblicare le richieste che riceverà e metterle a disposizione della collettività (non analizzandole ovviamente, perchè sarebbe troppo impegnativo). La FOIA quindi, che è massiva, invoca l’interesse pubblico per ottenere l’accesso ai dati.
- Cosa chiede quindi per l’esattezza? Purtroppo, tutti documenti che ogni scuola dovrebbe avere (se applicabili). Vale a dire:
- la deliberazione (o equivalente) da parte dell’Istituto di destinare parte dei fondi scolastici alla contrattualizzazione del servizio cloud (quale che sia purché sia strumento didattico)
- la DPIA (o l’esclusione dell’obbligo) sui sistemi di videoconferenza o di piattaforma tecnologica di DID prescelti dalla scuola se questi consentono il monitoraggio del comportamento degli alunni (cosa che si può evitare ad esempio con la inibizione di eventuali funzionalità di geolocalizzazione e avvalendosi di servizi privi di qualunque forma di pubblicità comportamentale, tipicamente a pagamento)
- l’evidenza – in forma schematica – delle configurazioni adottate per evitare l’uso dei dati degli studenti per finalità ulteriori alla didattica (ad esempio la chiusura del sistema di videoconferenza alle sole lezioni, la circoscrizione della possibilità di invitare o ammettere soggetti in aula virtuale solo ai docenti, la inibizione di geolocalizzazione, profilazione o interconnessione coi social network tramite gli account scolastici…)
- la DPIA (o l’esclusione dell’obbligo) su tutti gli strumenti digitali per i prossimi anni, perché per come sono acquisiti o configurati ingenerano (o non) elevati rischi per i diritti e le libertà degli studenti come previsto dall’articolo 35 del GDPR
- la valutazione del rischio di trasferimento extra UE, qualora praticato, e l’esibizione delle misure di sicurezza adottate dai provider di servizi (che sono generalmente pubbliche) e delle ulteriori misure adottate in configurazione del servizio (come ad esempio la cancellazione dei dati entro brevi periodi).
- E’ legittima la richiesta? (liberamente estratto dal sito del Ministero per la PA) La normativa FOIA (Freedom of Information Act), introdotta con D. Lgs 97/2016, garantisce a chiunque il diritto di accedere ai dati e ai documenti posseduti dalle pubbliche amministrazioni, se non c’è il pericolo di compromettere altri interessi pubblici o privati rilevanti, indicati dalla legge. Con la normativa FOIA, l’ordinamento italiano riconosce la libertà di accedere alle informazioni in possesso delle pubbliche amministrazioni come diritto fondamentale. Il principio che guida l’intera normativa è la tutela preferenziale dell’interesse conoscitivo di tutti i soggetti della società civile, in assenza di ostacoli riconducibili ai limiti previsti dalla legge. Giornalisti, organizzazioni non governative, imprese, i cittadini italiani e stranieri possono richiedere dati e documenti, così da svolgere un ruolo attivo di controllo sulle attività delle pubbliche amministrazioni. L’obiettivo della norma, è anche quello di favorire una maggiore trasparenza nel rapporto tra le istituzioni e la società civile, e incoraggiare un dibattito pubblico informato su temi di interesse collettivo.
- E’ legittimo il contenuto richiesto? Come cercavo di dirvi prima… tutti i documenti richiesti sono, qualunque forma essi abbiano, elementi della vituperata accountability richiesta dal GDPR all’articolo 5 (e poi 24, oltre che applicazioni dell’art. 46). Non ci sono grosse vie di fuga, secondo me.
***
Io penso, e non ne ho fatto mistero ad alcuno, che questo sia un fenomeno sicuramente fastidioso e difficile da gestire, ma non credo che vada trascurato. Per quanto antipatico mi stia Pietrasanti, ha esercitato un diritto di libertà. Non diversamente da Naomi Klein quando ha scritto “No Logo” o da tutto il movimento che ha sostenuto il boicottaggio. Il fatto che quello che Pietrasanti mira ad ottenere sia giusto o sbagliato esce dalle mie possibilità di attribuzione, il fatto che la nostra democrazia consenta la libertà, invece, è sacrosanto.
Mi rendo conto che una sparata così faccia scalpore nel giorno dello scrutinio delle elezioni politiche 2022, però tant’è: in una Repubblica che si professa ancora democratica, se la legge consente ad un cittadino di esercitare la libertà di informazione (questo vuol dire FOIA, acronimo di “freedom of information act“) il diritto in sè va tutelato. L’abuso, eventualmente, sarà punito, ma io non mi sento di scagliare la prima pietra.
E quindi, Chiara, dicci tu: cosa faremo se diecimila cittadini al giorno si svegliano e fanno una cosa simile? Non lo so. Davvero. Però l’idea di fondo di questo giovanotto con l’anima terrificante e la faccia di un adolescente su una tovaglietta americana non è così sbagliata. Qualunque cosa lui pensi davvero, la bandiera dietro cui si è barricato, che è quella della protezione dei minori su internet, è una bandiera da cui fatico a dissociarmi.
Una cosa è dire che non ho niente contro il cloud degli americani (o gli ecommerce dei cinesi). Altra cosa è dichiarare serenamente che mi rendo conto di quanto possa essere invasivo e pericoloso, se non configurato e gestito, il sistema di tracciamento e profilazione che questi grandi della tecnologia possono fare di noi, ricostruendo la nostra identità altrove e utilizzandola per influenzare le nostre decisioni e cambiare i nostri comportamenti. Internet, come ogni giungla, è (anche) pericolosa. Come tale va trattata e gestita. E lasciare i bambini, ma soprattutto i ragazzini, in balia della rete è pericolosissimo per il futuro di ciascuno di loro e per quello della umanità. E se non vi fidate di me, chiedete a Daniela Lucangeli cosa ne pensa. Da qui a spaventarsi, però… ci sarebbe l’opzione del rischio gestito. La scelta del “so quel che faccio”. La configurazione dei sistemi. Quella cosa strana che nessuno sa cosa sia che si chiama “sicurezza”.
La sicurezza non capita, non è come l’amore che prima o poi arriva, La sicurezza è un atto di volontà, che comincia con la configurazione dei sistemi e poi passa dalla creazione di consapevolezza (e siccome io l’adolescente in casa ce l’ho, vi garantisco che il parental control e la formazione permanente sono strumenti utili anche in ambito domestico!)
E niente… volevo scrivere cosa è successo e mi sono ritrovata a ripetere quello che dicevo nel corso “Minori e Internet“, quello che probabilmente nessun docente o preside ha guardato con attenzione ma che gli sarebbe stato tanto utile per non trovarsi, qui, oggi, a cercare un pretesto per non rispondere alla FOIA.
Quello che volevo dire è, né più né meno, quello che ho scritto e firmato digitalmente sul documento che ancora in rete non c’è perché nessuno ha risposto incorporando la nostra risposta, ma noi sì. Non tutti i provider sono pericolosi, non tutti i trattamenti sono illegittimi, non tutto l’uso di internet da parte dei minori deve essere demonizzato, non tutte le scuole hanno fatto casino con le mancate valutazioni di impatto. Non è l’intero sistema che ha sbagliato, non siamo schiavi nelle mani dello sporco capitalista statunitense che vuole inginocchiare la nostra libertà,
Il problema penso che stia nel fatto che Pietrasanti tutti i torti non ce li ha: qualcuno le videolezioni su Jitsi le ha fatte davvero, tanti docenti facevano e fanno comunicazione scuola-famiglia tramite whatsApp, tante suite Google o Microsoft sono aperte alla profilazione ed alla condivisione di dati e documenti come quelle delle piccole imprese senza IT, solo che lì dentro ci sono i nostri bambini (che vivono attaccati ai display dei loro smartphone) non degli adulti vagamente consapevoli di ciò che fanno.
Come andrà a finire non lo so, ma, senza avere paura, bisognerebbe rispondere con accountability, non nascondersi dietro una supposta illegittimità per non sollevare la polvere sotto il tappeto.
0 commenti