La migrazione voluta dal MIUR della caselle istituzionali di posta della scuola italiana sulla piattaforma Office 365 di Microsoft richiede di riflettere nuovamente sull’importanza della c.d. sovranità digitale a livello nazionale ed europeo. L’esistenza di un cloud nazionale (ossia basato su infrastrutture ubicate in Italia e controllate dalle sole istituzioni) e la sottoposizione alle regole comuni del GDPR risolverebbe una serie di questioni giuridiche relative al trattamento dei dati, al loro trasferimento in Paesi extra-UE e alla tutela della privacy degli interessati. L’assenza dei necessari investimenti tuttavia, lascia la questione tuttora irrisolta.
Dal primo luglio scorso, le caselle email istituzionali della scuola italiana sono passate a Microsoft. La migrazione delle email su Office 365, la piattaforma cloud dell’azienda americana che raccoglie servizi di posta elettronica, lavoro condiviso e videochiamate, propedeutica all’adozione di altri servizi forniti da Microsoft per la didattica a distanza, presenti sulla stessa piattaforma Office 365, si inserisce nell’ambito della collaborazione tra Ministero dell’Istruzione, dell’Università e della Ricerca e Microsoft avviata cinque anni fa.
Microsoft, che è uno dei fornitori certificati dall’Agenzia per l’Italia Digitale (AgiID) per la fornitura di cloud computing, già nel 2015, infatti, aveva concluso con il Ministero dell’istruzione un’intesa per la digitalizzazione del servizio scolastico nazionale. Nel dicembre 2019, Microsoft Italia e il MIUR hanno rinnovato la loro collaborazione e stipulato un nuovo Protocollo d’Intesa triennale per sperimentare modelli per l’insegnamento e l’apprendimento basati sull’intelligenza artificiale, sul cloud e sull’uso di piattaforme digitali, all’interno del quale si inserisce anche la migrazione di circa 30 mila caselle istituzionali relative a personale amministrativo del ministero, dirigenti scolastici, direttori dei servizi generali, amministrativi e istituti scolastici.
Il passaggio delle caselle istituzionali di posta elettronica a Microsoft ha attirato numerose critiche sia per gli ingenti costi sostenuti, sia per la poca trasparenza in merito, sia infine, per aver individuato come contraente Microsoft, senza ricorrere a procedure comparative.
Oltre a questi rilievi, l’accordo tra il MIUR e Microsoft solleva alcune questioni giuridiche che vanno dalla tutela della privacy e dei diritti fondamentali, al rispetto della trasparenza dell’agire amministrativo, fino alla questione della c.d. sovranità digitale. Quali garanzie sono previste per il trattamento dei dati raccolti da Microsoft relativi tra l’altro, a dirigenti pubblici e a studenti, spesso minori di età? Per quali finalità possono essere trattati i dati? Per quanto tempo possono essere conservati? A quale disciplina sottostanno una volta trasferiti al di fuori dell’Unione europea?
Queste domande sono state, recentemente, oggetto di una indagine del Garante europeo della protezione dei dati (GEPD) relativa all’Inter-Institutional Licence Agreement stipulato tra Microsoft e le istituzioni europee.
Al riguardo, ma le considerazioni svolte e i principi ivi affermati si prestano a essere riferiti anche alle istituzioni italiane e, nel caso di specie, al MIUR, il GEPD ha osservato che gli accordi tra le amministrazioni e i provider di cloud più diffusi (tra cui Microsoft, ma anche Facebook, Google, Apple, Amazon (AWS) e altri), dovrebbero contenere garanzie minime relative al trattamento dei dati in attuazione di quanto previsto dal GDPR in relazione al trattamento, alle finalità e alla durata dello stesso. Particolare attenzione dovrebbe poi, essere posta al tema della tutela dei dati e dei diritti degli interessati in caso di loro trasferimento al di fuori dell’Unione europea. Gli accordi dovrebbero ad esempio, vietare alle aziende che trattano i dati (e tutti coloro che trattano i dati per conto di esse) di divulgare dati personali ad autorità degli Stati membri, autorità di paesi terzi, organizzazioni internazionali o altro terze parti, a meno che ciò non sia espressamente autorizzato dal diritto dell’UE o dal diritto degli Stati membri purché, in questo caso, siano rispettate le condizioni stabilite dall’ordinamento europeo per la divulgazione. Dovrebbero inoltre essere previsti obblighi di informazione più stringenti e prevedere che nessuna divulgazione di dati da parte dei provider possa avvenire senza previa notifica o accordo con l’istituzione interessata.
A questi limiti, dallo scorso 16 luglio, si devono aggiungere quelli, ancora più stringenti, previsti dalla sentenza Schrems II in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti, con la quale la Corte di giustizia ha ritenuto illegittima la decisione adottata dalla Commissione nel 2016, di adeguatezza del “Privacy Shield”. In base alla sentenza (per un approfondimento della quale si veda, oltre a quanto scritto ne L’importanza di raggiungere una sovranità digitale europea. L’indagine del GEPD sull’accordo Microsoft-UE, il post di B. Carotti, Maximilian Schrems e la caduta del Privacy Shield) infatti, accordi come quello intercorso tra il MIUR e Microsoft potrebbero essere considerati illegali.
La questione è ancora fluida e con numerosi punti da chiarire (al riguardo, si vedano le FAQ su Schrems II adottate dal GEPD il 23 luglio 2020). La soluzione che sarà adottata dovrà contemperare l’interesse alla libera circolazione dei dati, con quello ad una tutela effettiva degli stessi e dei diritti fondamentali dei rispettivi titolari. Al momento si afferma, a tal fine, che ove vengano fornite “misure supplementari” in aggiunta alle clausole contrattuali standard (SCC), gli accordi con i fornitori di cloud statunitensi possono considerarsi legali, purché tali misure garantiscano un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE dal GDPR.
A presidio del rispetto dei limiti indicati prima dall’GEDP e poi dalla Corte di Giustizia UE, l’amministrazione dovrebbe essere sottoposta a stringenti obblighi di trasparenza sia a monte, sia a valle della scelta di avvalersi di società private, soprattutto se extra-UE, per la fornitura di questi servizi. Molto utile potrebbe essere l’avvio delle analisi di impatto previste dall’articolo 35 del GDPR, che tuttavia non sono obbligatorie (e non sono state avviate nel caso dell’accordo MIUR-Microsoft). Sarebbe, inoltre, opportuno prevedere l’obbligo per la pubblica amministrazione di far conoscere, nel senso ampio usato dal giudice amministrativo, il “codice sorgente” delle applicazioni di cui la stessa sceglie di avvalersi, quando esse implicano il trattamento di dati personali (come nel caso delle applicazioni per la scuola).
Al di là di queste “cautele” contingenti, la questione potrebbe essere risolta perseguendo la c.d. sovranità digitale. La realizzazione di un cloud nazionale, sulla cui importanza cruciale si è recentemente pronunciato anche il Garante per la protezione dei dati personali, appare, tuttavia, lontana a causa dell’assenza dei necessari investimenti per lo sviluppo, l’evoluzione e la manutenzione sia dell’infrastruttura, sia delle complesse tecnologie richieste (su cui si vedano S. Del Gatto, L’importanza di raggiungere una sovranità digitale europea. L’indagine del GEPD sull’accordo Microsoft-UE; B. Carotti, Il cloud di iniziativa pubblica è in crisi? Il caso del GARR)
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.