Il futuro è un treno che corre. Veloce. “A settembre sono entrato in classe e ho trovato, come ormai da anni, il registro elettronico. Ma quest’anno c’era una novità: mancava la lavagna, sostituita da un dispositivo digitale. La rivoluzione è compiuta”. Così si esprime un docente quarantenne di un istituto professionale milanese al rientro a lezione, che preferisce restare anonimo.
Mentre la Svezia si interroga se troppa tecnologia in aula non abbia peggiorato il rendimento degli alunni – i test condotti nel 2017, quando ancora si usavano carta e penna, hanno mostrato risultati migliori di quelli del 2022 -, un punto appare chiaro: software e dispositivi impiegati negli istituti drenano grandi quantità di dati. E le scuole non sempre sono pronte a gestirli. Non solo. Gli attori coinvolti nella trasformazione digitale della scuola sono tanti. Ci sono i ragazzi, le famiglie, le aziende e, naturalmente, il ministero.
Scopriamo quanto sono al sicuro i dati sensibili degli studenti italiani
Indice degli argomenti
La normativa
La base della tutela dei dati personali resta la legge del 1996, che fornisce il quadro generale. Da allora la legislazione ha provato a tenere il passo. Oltre alle norme che individuano responsabili e responsabilità, è andata codificandosi una giurisprudenza e un insieme di buone pratiche.
Risale al 2012, più di un decennio fa, ere geologiche in termini digitali, il primo intervento del Garante della privacy, che pubblica un utile vademecum che sintetizza le fonti del diritto allo stato, individua i temi chiave e offre consigli di buonsenso. Nel 2016 arriva una versione ampliata, adattata al ruolo preponderante che i social media hanno assunto nel quotidiano di alunni e docenti.
Qualche anno dopo, e siamo al 2021, si esprime anche il Consiglio d’Europa, che, nel mese di aprile, pubblica alcune importanti linee guida: l’organismo si basa su un rapporto dell’associazione britannica Defend Digital me, attiva nella difesa dei diritti digitali.
Importanti le questioni sottolineate dagli attivisti, sempre aggiornati sulle relazioni tra tecnologia e attualità. In uno degli ultimi rapporti – pubblicato nei mesi scorsi – si chiedono, per esempio, se sia possibile risalire all’orientamento sessuale e religioso degli alunni sulla base dei dati contenuti nei registri scolastici.
Secondo Defend digital me, il governo britannico deterrebbe infatti informazioni sull’orientamento sessuale autodichiarato di milioni di persone; gli studenti che hanno compilato i form, però, risulterebbero spesso inconsapevoli di quanto questo tipo di dati possano essere sensibili nella prospettiva di un’esistenza.
Esistono Paesi, come l’Uganda, che puniscono l’omosessualità con condanne severe e in alcuni casi addirittura con la pena capitale: una fuga di dati potrebbe avere conseguenze devastanti per chi si trovasse a recarsi a Kampala per piacere o lavoro.
Non solo. “In nessun luogo – scrive DDM – si spiega pubblicamente agli studenti o allo staff come sono custoditi i dati, in che modo circolano, o come sono usati dopo la raccolta”.
Alle informazioni […] “può avere accesso chiunque, e possono essere distribuite ovunque, oltreconfine, in modi che le persone non hanno autorizzato o si aspettano. In alcuni Paesi possono mettere in pericolo la vita, o incoraggiare il ricatto”.
“Invece di servire a fare statistica, queste informazioni sensibili sono aggiunte a schedari collegati a nominativi, e conservate per sempre. Usati male, o in maniera inaspettata, questi dati possono avere serie conseguenze per la vita degli studenti e del personale scolastico”.
“Crediamo”, conclude “ che questi dati debbano essere distrutti a livello individuale e ove in tutti i casi in cui siano collegati a nominativi”. Ma, è sottinteso, la cosa migliore è non raccoglierli affatto.
“Nessuna relazione tra bambini e aziende”
Il Consiglio d’Europa nelle proprie linee guida raccomanda ai policy maker di aggiornare la legislazione vigente. Ma l’organo chiama in causa anche i produttori: servono, scrive, misure di sicurezza rafforzate per i dati dei minori, e il consenso, si specifica, non può essere mai presunto. Anzi: si intende non prestato se non è possibile rifiutarlo senza pregiudizio e timore di discriminazioni.
Non solo. Bambini e società produttrici di software e dispositivi non devono entrare in alcuna relazione contrattuale: per l’Europa deve essere sempre l’istituto scolastico a fare da tramite. Nessuna possibilità di vendere o monetizzare i dati raccolti durante il percorso educativo, neanche in forma anonimizzata, e nessuna modifica possibile alle condizioni contrattuali sui diritti fondamentali.
Le questioni legate alla tecnologia con gli anni si fanno sempre più complesse, e nelle linee guida continentali si chiarisce che norme ad hoc dovrebbero essere previste quando bambini e famiglie utilizzano dispositivi e software legati all’istruzione da casa, mischiando dati scolastici a quelli relativi alla vita privata propria e della famiglia. Inclusi i metadati, in grado di rivelare moltissimo a occhi esperti.
Le regole per conservare i dati
Per quanto riguarda la conservazione delle informazioni, la prescrizione è chiara: ammessa la conservazione solo della “quantità minima necessaria” di dati identificativi, in maniera da dimostrare l’ottenimento dei certificati e salvaguardare i diritti futuri degli studenti interessati.
A ogni passaggio di grado, inoltre, i bambini ( o meglio, i genitori) dovranno ottenere copia dei propri dati assieme alle informazioni su modi e fini della conservazione. “De-identificare bene i dati è difficile”, ammette il Consiglio d’Europa: vanno pertanto esplicitamente vietati tentativi e processi volti a ricostruire l’identità della persona.
Nel capitalismo della sorveglianza così ben descritto da Shoshana Zuboff nel celebre saggio, e che ha rappresentato il modello di business prevalente per un ventennio, è impensabile lasciare un buco normativo o anche solo zone grigie legate all’interpretazione: no quindi a profilazione e pubblicità mirata.
Lotta, infine, agli algoritmi, con un’interessante previsione che arriva più avanti. Ognuno, recita il testo del Consiglio, ha il diritto di non essere soggetto a decisioni il cui impatto è significativo solamente sulla base di processi decisionali automatizzati, senza che il proprio punto di vista sia preso in considerazione. Tradotto, significa che non si può promuovere o bocciare automaticamente.
L’ultima versione delle regole del Garante
A maggio scorso è uscita l’ultima versione del vademecum del Garante italiano. Un fatto salta subito all’occhio: dalle quindici pagine dell’edizione 2012 si passa alle quaranta del 2016; ma l’ultima versione consta di ben ottanta pagine.
Particolare attenzione è dedicata alle innovazioni normative e al corretto utilizzo delle nuove tecnologie (registro elettronico, didattica in presenza e a distanza, registrazione delle lezioni, ecc.); ma c’è anche un focus su alcuni fenomeni preoccupanti che possono coinvolgere i più giovani (come il cyberbullismo, il revenge porn e il sexting) e sulle buone prassi di educazione digitale (la corretta gestione dei video e delle foto realizzate in occasione di feste e gite scolastiche).
L’authority scende nello specifico, prescrivendo, inoltre, che non si possano pubblicare i nomi degli studenti che usufruiscono del servizio di scuolabus, onde evitare che le informazioni entrino in possesso di malintenzionati, né quelli i cui genitori sono in ritardo con il pagamento del servizio mensa, come qualche sindaco troppo zelante non ha mancato di fare negli anni.
E le videocamere? Assolutamente vietate in classe durante le lezioni, possono essere accese durante l’orario di chiusura all’interno della scuola. Nessun limite, invece, per quelle posizionate all’esterno.
La dirigente sindacale: “Serve un investimento importante del ministero”
Secondo Roberta Fanfarillo, preside e responsabile nazionale per i dirigenti scolastici di FLC CGIL la questione si può tratteggiare così: in un mondo ideale, dice a Cybersecurity360, “il ministero dovrebbe fornire agli istituti la tecnologia per la tenuta del registro e altri software gestionali per l’amministrazione. Il problema è che i server non sono dimensionati per affrontare il carico delle ottomila scuole italiane: si è aperta, quindi, la porta ai privati, attori che il dicastero conosce benissimo e che lavorano a stretto contatto con gli uffici di Roma per implementare funzionalità aggiornate che rispondano alle normative”.
“Il dirigente – prosegue Fanfarillo – firma con le aziende un contratto in cui c’è esplicito riferimento alla sicurezza dei dati, quindi con una precisa assunzione di responsabilità da parte di queste ultime”.
“Ma già di per sé la consapevolezza che il dato finisce fuori dal sistema dell’istruzione è significativa”, prosegue Fanfarillo. Che propone un’alternativa. “Serve un investimento importante da parte del ministero, che consenta a Roma di gestire in autonomia dati importanti, minori , famiglie, problematiche legate alla salute, voti, carriera studente”.
Per corroborare la propria tesi, la sindacalista fa qualche conto. “Si tratta di contratti onerosi da qualche migliaio di euro l’anno a licenza, soldi che incidono sul funzionamento del sistema scolastico nel suo complesso. Moltiplicati per le ottomila scuole assommano a oltre dieci milioni di euro. Mi sembra abbastanza per aggiornare i server”.
Sulle procedure di sicurezza messe in atto da ministero e aziende, Fanfarillo non si pronuncia. “Non so se le misure messe in campo siano valide, non entro nello specifico delle procedure di cybersicurezza; ma a noi non sono mai arrivate segnalazioni di problemi”.
In realtà qualche problema c’è stato. Nel 2021 un attacco informatico ha messo fuori uso i registri di Axios, uno dei più grandi attori del settore, con una quota di mercato stimata pari a circa il 40% degli istituti.
Registro elettronico hackerato, è un ransomware: i consigli per professori e studenti
Abbiamo provato a contattare alcune delle più note aziende per avere chiarimenti riguardo alle procedure di sicurezza messe in campo: senza esito. Spaggiari e Madisoft non hanno risposto: Axios, dal canto proprio, dopo una prima mail in cui accettava l’intervista, non ha però dato seguito all’impegno.
Le suite
C’è un altro tema importante. “Le suite delle multinazionali del software – prosegue Fanfarilli – usate, per esempio, per la compilazione di verbali”. “Nel 2020 ci si è trovati a dover gestire l’emergenza pandemica e sono state utilizzate per dar modo alla didattica di proseguire, quindi al di fuori dell’ambito per cui erano state pensate. Il problema è che spesso l’uso è stato mantenuto, ma in questo caso non ci sono contratti firmati come accade i registri elettronici”.
Diventa quindi difficile individuare responsabili e responsabilità. Va tutto male? “Non direi” conclude la sindacalista. “Oggi, rispetto al passato, c’è possibilità di recuperare dati anche se un pc è distrutto. Ma la gestione del cloud determina responsabilità enormi per tutti, a cominciare dai dirigenti scolastici”: e il sistema, nel complesso, non pare pronto.