Lettera al Governo del prof. Angelo Raffaele Meo

Lettera al Governo: il Recovery Plan per l'informatica e l'educazione aperte 

Adesioni

[data]

Alla Presidente del Consiglio dei Ministri, On. Giorgia Meloni

p.c. a:

  • Ministro per la Pubblica Amministrazione, Sen. Paolo Zangrillo
  • Ministro per gli Affari europei, il Sud, le Politiche di Coesione e il PNRR, On. Raffaele Fitto
  • Ministro dell'Economia e delle Finanze, On. Giancarlo Giorgetti
  • Ministro delle Imprese e del Made in Italy, Sen. Adolfo Urso
  • Ministro dell'Istruzione e del Merito, Prof. Giuseppe Valditara
  • Ministro dell'Università e della Ricerca, Sen. Anna Maria Bernini
  • Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri
    (innovazione tecnologica e transizione digitale), Sen. Alessio Butti 

Illustrissima,

come molti cittadini, associazioni e imprese impegnati nella difesa del software libero, abbiamo apprezzato il ruolo di primo piano che la sovranità digitale ha assunto nel programma della Presidente del Consiglio. Si tratta infatti di un tema fondamentale, sia per la democrazia che per le sorti economiche dell'Italia.

In Europa, Francia e Germania stanno affermando da mesi e con estrema chiarezza che la propria sovranità digitale non possa essere messa in discussione dalla dipendenza dalle Big Tech, che orientando i comportamenti e le scelte commerciali dei cittadini europei, guadagnano centinaia di miliardi di euro ogni anno. Questa grave ingerenza che rischia di svuotare di significato le procedure democratiche nel nostro Paese, si è radicata stabilmente nella nostra economia, pesando sulla nostra bilancia commerciale e sottraendo non solo enormi investimenti ma cervelli brillanti, costretti a emigrare a causa di tale concorrenza sleale.

Investire oggi in una vera sovranità digitale è dunque fondamentale per garantire un futuro prospero ai nostri figli.

Notizie recenti però ci fanno temere che questo futuro sia in serio pericolo.

A inizio gennaio è stato pubblicato l’esito di una serie di istanze d’accesso civico generalizzato ai sensi dell’art. 5 D. Lgs. 14/03/2013, n. 33, con le quali si chiedeva alle scuole italiane di fornire informazioni e documenti in relazione all’attuazione degli obblighi previsti dal Regolamento (UE) 2016/679 (cd. GDPR, o “General Data Protection Regulation”)1 e dall’art. 68 del D. Lgs. 7/3/2005 n. 82 (cd. CAD o “Codice dell’Amministrazione Digitale”)2 nell’acquisizione di servizi di posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata e registro elettronico.3

La documentazione pubblicata, pur con pregevoli eccezioni, offre un quadro desolante. 
La grande maggioranza delle scuole si mostra in difficoltà nel rendere ragione delle attività svolte al fine di acquisire i servizi in questione.

In particolare:

  • molte scuole italiane adottano software proprietario, prevalentemente statunitense, in violazione dell’art. 68 del CAD. Questa scelta rappresenta un evidente danno per l’economia del nostro Paese ed è una perdita secca della nostra ricchezza.
  • investire in software libero invece, si traduce prevalentemente in acquisti di servizi nazionali giovando alla bilancia dei pagamenti e al Prodotto Interno Lordo. Inoltre la possibilità di modificare il software libero rappresenta un potente motore di innovazione che permette alle aziende e al Paese di costruire insieme un forte vantaggio competitivo;
  • le stesse scuole adottano sistematicamente strumenti software che violano le norme nazionali e comunitarie sulla tutela dei dati;4
  • il software libero invece, permette di superare il noto problema delle “backdoor” ed ottenere un maggiore controllo sui flussi di scambio e gestione dei dati e quindi sugli standard di integrazione tra gli strumenti digitali.

Il progetto “Scuola 4.0” offre a tutti gli istituti nazionali un'occasione unica che solo alcuni dirigenti scolastici stanno cogliendo e che possiamo riassumere con questo messaggio: l’innovazione di questo secolo sarà sempre più basata sullo sviluppo di nuovi strumenti costruiti sulle conoscenze scientifiche e tecnologiche collettive ed a questo dobbiamo puntare creando reti di scopo tra istituzioni scolastiche facendo investimenti dedicati in software libero come raccomanda la Commissione Europea agli stati membri.5

Inoltre l'EDPB, nelle raccomandazioni adottate ufficialmente il 17 gennaio 2023, ha chiarito che il semplice uso dei servizi di una multinazionale che risponda a normative di altri paesi può causare l'applicazione di tali normative anche ai dati custoditi in Europa, rilevando un rischio che trascende i dati personali e si estende, più in generale, alla protezione di ogni investimento in ricerca, sviluppo e insegnamento nel nostro Paese.

Per queste ragioni è importante che tutte le attività succitate e finanziate con i fondi del PNRR, siano condotte esclusivamente tramite software libero che garantisce trasparenza nei trattamenti e indipendenza da ogni singola azienda, producendo continua innovazione da cui tragga giovamento l'intera economia.

Mentre negli altri paesi Europei si assumono posizioni sempre più rigorose,6 in Italia, se non si agisce immediatamente per aiutare le scuole e i Dirigenti Scolastici, corriamo il concreto rischio di sprecare un’opportunità irripetibile e consegneremmo i dati di studenti e docenti a imprese che hanno come modello d’affari la profilazione degli utenti e che sono tenute, per legge, a partecipare ad attività di sorveglianza di massa in spregio ai diritti fondamentali dei nostri concittadini.

Purtroppo avevamo previsto questa situazione. 
Con lettere inviate l’11 gennaio 2021 e il 1° marzo 2021 rispettivamente ai Presidenti del Consiglio Giuseppe Conte e Mario Draghi, a nome di colleghi, cittadini, associazioni e imprese, esprimevamo le nostre preoccupazioni e i nostri suggerimenti con particolare riferimento alle importanti opportunità del Piano Nazionale Ripresa e Resilienza (si allegano le due lettere).

Ora che il nuovo governo è subentrato alla guida del nostro Paese, manifestiamo nuovamente le nostre preoccupazioni, sperando di poter essere questa volta ascoltati.

La grande maggioranza dei Dirigenti Scolastici, preposti ad adottare le scelte d’acquisto di servizi informatici, non è in condizione di cogliere le opportunità rappresentate dal PNRR con il conseguente rischio, non solo di sprecare risorse, ma di danneggiare gravemente i nostri giovani.

Desta ulteriore preoccupazione il Polo Strategico Nazionale che, prevedendo l’accentramento in “cloud” di risorse computazionali affidate a grandi player stranieri, determina un rischio strategico maggiore rispetto al sistema distribuito che le aziende italiane potrebbero realizzare grazie al software libero.

Pur apprezzando la sensibilità del nuovo Governo sul tema della sovranità digitale, l'esperienza ci porta a temere che la storia si possa ripetere. Temiamo che i consiglieri del Governo sostengano che “non ci siano alternative” o “manchino competenze e risorse informatiche adeguate”. Vi esortiamo a rifiutare tali argomentazioni, rinunciatarie e disfattiste: se credete nel nostro Paese, permettetegli di dimostrare le proprie capacità.

Vi chiediamo di ribadire alle scuole di ogni ordine e grado la necessità di un'accurata valutazione comparativa (prevista dall’art. 68 del CAD) che tenga conto di approfondite valutazioni di impatto sulla privacy di studenti e insegnanti. Sappiamo che tali analisi dimostreranno come le alternative esistano, siano percorribili e qualitativamente migliori.

Il software libero è infatti un potente catalizzatore, un'infrastruttura all'avanguardia, grazie alla quale anche il nostro Paese potrà avviare una nuova ed efficiente politica industriale.
Dobbiamo solo avere il coraggio di provarci.

Concludendo, Vi invitiamo ad adottare le misure necessarie per supportare e coordinare i Dirigenti Scolastici affinché colgano l'occasione offerta dal Piano Nazionale Ripresa e Resilienza. In particolare, si dovrebbe attivare con la massima urgenza un gruppo di lavoro che unisca le migliori competenze per supportare i Dirigenti Scolastici nell’acquisire servizi basati su software libero e forniti da imprese italiane ed europee, tutto nel pieno rispetto del GDPR e del CAD.

Liberare l'Italia dalla morsa delle Big Tech non sarà facile, ma è la cosa giusta da fare per il nostro Paese.

Ringraziamo molto per l’attenzione.

Prof. Angelo Raffaele Meo


  1. ^ In particolare in merito agli obblighi di:
    • realizzare la valutazione d'impatto della protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR;
    • minimizzare il trattamento in sicurezza dei dati personali ai sensi degli artt. 5.1 lett. c), 25 e 32 del GDPR;
    • realizzare la valutazione di impatto del trasferimento dei dati all'estero (TIA) ai sensi delle Raccomandazioni 01/2020 adottate il 10/11/2020 dal Comitato europeo per la protezione dei dati.
  2. ^ Il quale prevede che le pubbliche amministrazioni, prima di acquisire software devono realizzare una valutazione comparativa e dare preferenza alle soluzioni in software libero.
  3. ^ Vedi URL https://foia.monitora-pa.it/0x01/.
  4. ^ L’autorità per la protezione dei dati personali è intervenuta con una sanzione severissima inflitta all’Università Bocconi per aver utilizzato uno strumento proprietario poco noto per l’effettuazione di esami in remoto.
  5. ^ Il valore dell’open source per un’Europa digitale indipendente e competitiva: https://innovazione.gov.it/notizie/articoli/il-valore-dell-open-source-per-un-europa-digitale-indipendente-e-competitiva/
  6. ^ In relazione al rispetto degli obblighi imposti dal GDPR:
    • il Garante per la protezione dei dati personali della Danimarca in un caso riguardante l'uso dei Chromebook nel comune di Helsingør, ha emesso in data 14/7/2022 un provvedimento nel quale ha evidenziato gravi violazioni e ha vietato il trasferimento dei dati a paesi terzi e l'uso di Google Workspace (vedi URL https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/datatilsynet-nedlaegger-behandlingsforbud-i-chromebook-sag-);
    • durante l'esame tecnico organizzativo di Microsoft Office 365, compreso Microsoft Teams, nella configurazione del progetto pilota del Ministero dell'Istruzione del Baden - Württemberg, il locale Garante per la protezione dei dati personali ha riscontrato alcune gravi carenze e numerose criticità nell'uso a fini didattici di tali piattaforme (vedi URL https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/);
    • in risposta all’interrogazione del deputato M. Philippe Latombe, il Ministro della Pubblica Istruzione francese, spiega che “…la circolare del Presidente del Consiglio dei Ministri n. 6282-SG sulla dottrina per l'utilizzo del cloud computing da parte dello Stato ("cloud al centro") invita i vari ministri a garantire che le offerte commerciali di cloud utilizzate dai servizi pubblici e dalle organizzazioni sotto la sua autorità siano immuni da qualsiasi regolamentazione extracomunitaria… …una nota del direttore interministeriale degli affari digitali del 15 settembre 2021 afferma che la suite collaborativa Microsoft Office 365 non è conforme alla dottrina del "cloud al centro". La politica del Governo è in linea con la sentenza "Schrems II" del 16 luglio 2020 della Corte di giustizia dell'Unione europea e con la posizione delle autorità di controllo degli Stati membri. In una lettera del 27 maggio 2021, la Commission Nationale de l'Informatique et des Libertés (CNIL) ha raccomandato che, in assenza di misure aggiuntive per garantire un livello di protezione adeguato, gli istituti di istruzione superiore utilizzino suite collaborative offerte da fornitori di servizi soggetti esclusivamente al diritto europeo, che ospitano i dati all'interno dell'Unione Europea e non li trasferiscono negli Stati Uniti… …Il Ministero ha quindi chiesto di bloccare qualsiasi diffusione o estensione di questa soluzione e di quella di Google, che sarebbe contraria al RGPD…” (vedi URL https://questions.assemblee-nationale.fr/q16/16-971QE.htm);
    • la Conferenza sulla protezione dei dati (Datenschutzkonferenz, DSK), l'organismo delle autorità tedesche indipendenti di controllo della protezione dei dati a livello federale e statale, il 7/12/2022 ha pubblicato la Relazione finale del gruppo di lavoro DSK "Servizi online di Microsoft” nella quale si leggono le seguenti Conclusioni: “L'utilizzo di Microsoft 365… …richiede istruzioni obbligatorie da parte del responsabile del trattamento sul trasferimento dei dati personali a paesi terzi, in particolare gli Stati Uniti e tutti gli altri paesi in cui Microsoft o i suoi subprocessori sono attivi. In ogni caso, il trasferimento di dati verso gli Stati Uniti non può essere impedito nemmeno tecnicamente. In particolare, la legge statunitense sulla sicurezza nazionale sotto forma di FISA 702 può mettere in discussione l'adempimento degli obblighi previsti dalle clausole contrattuali standard. Pertanto, sarebbe necessario adottare misure di protezione supplementari per rendere impossibile o inefficace qualsiasi accesso da parte delle autorità statunitensi e anche da parte di Microsoft e dei suoi dipendenti, al fine di impedire a Microsoft di soddisfare le richieste di consegna ai sensi del FISA 702. Tuttavia, l'uso dei servizi Microsoft 365 come servizi cloud classici richiede a Microsoft di accedere a dati in chiaro in molti casi d'uso… …Le misure fornite da Microsoft sono insufficienti…” (vedi URL https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf).
    • Siamo consapevoli che il 13/12/2022 la Commissione UE avviava il processo di adozione della decisione di adeguatezza per la sicurezza dei flussi di dati con gli USA. Considerando però che
      1. il Comitato europeo per la protezione dei dati (EDPB), con il Parere 5/2023 sul progetto di decisione di esecuzione della Commissione europea sull'adeguata protezione dei dati personali nell'ambito del quadro normativo UE-USA sulla privacy dei dati (vedi https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-52023-european-commission-draft-implementing_en) ha valutato che, in base agli elementi acquisiti, il quadro normativo USA è ancora insufficiente a tutelare i diritti dei cittadini europei in modo equivalente a quello UE;
      2. il progetto di decisione dovrà anche essere valutato dal Parlamento Europeo (mentre la commissione LIBE ha presentato una bozza di mozione che si pronuncia negativamente) ed approvato dal comitato composto da rappresentanti degli Stati membri dell'UE.
      3. se anche fosse adottata, la proposta di decisione d’adeguatezza pubblicata dalla Commissione potrebbe essere impugnata e dichiarata nulla: in questa incertezza giuridica, i Dirigenti Scolastici non dovrebbero essere lasciati da soli ad affrontare i rischi conseguenti senza competenze e risorse adeguate.