La raffica di richieste di accesso civico di MonitoraPA ha aperto un dibattito nel mondo scolastico ma rispondere è inevitabile
Scuole sotto assedio sulla privacy. Dalla ripresa delle lezioni sono bersagliate da richieste di accesso civico relative all'uso dei servizi digitali (posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico). I promotori dell'azione, che si definiscono hacker e usano la denominazione «MonitoraPA», dichiarano di avere inviato via Pec un'istanza di accesso civico generalizzato a 8254 scuole, per tutelare la privacy e proteggere le persone dagli attacchi dei colossi del web. L'iniziativa, anche per la sua massiva entità, ha aperto un dibattito nel mondo della scuola ed ha anche causato attriti tra gli addetti del settore.
A prescindere dalle discussioni in corso, le scuole devono organizzarsi per rispondere e, più in generale, si deve cogliere l'occasione per affinare strumenti di sistema di gestione degli adempimenti della privacy, così da coordinare gli enti che si trovano in situazioni analoghe. Ma vediamo di illustrare i termini della questione.
Le richieste rivolte alla scuola sono tecnicamente richieste di accesso civico generalizzato e hanno per oggetto per lo più documenti che riguardano adempimenti previsti dal Regolamento generale Ue per la protezione dei dati personali n. 2016/679 (Gdpr). Si tratta di atti istruttori dell'acquisto di beni e forniture digitali e relativi contratti, documenti dell'apparato documentale previsti dal Garante della privacy (analisi dei rischi e valutazione di impatto privacy). Queste richieste sono riferite ai documenti elaborati relativi a tre anni scolastici, fino al 2022/2023.
Quasi tutti i documenti riguardano adempimenti programmati, ma non dettagliati nei loro presupposti e contenuti, dal Gdpr. D'altronde il Gdpr è un regolamento «generale», che proclama espressamente di non avere il dettaglio degli adempimenti. Inoltre, il Gdpr ha sottratto quasi tutti i compiti/poteri autorizzatori ai garanti della privacy, i quali, pertanto, non possono autorizzare condotte specifiche su casi concreti, essendo obbligati a fornire orientamenti.
Da ultimo, il Gdpr ha messo sugli altari il principio della responsabilizzazione (detto anche accountability), che significa che ogni scuola deve darsi da sé le misure tecniche e organizzative per il trattamento di dati (tra l'altro delicatissimi visto che riguardano anche minori). Con il rischio ineliminabile di aver dimenticato o sbagliato qualcosa, nonostante tutta la buona fede profusa, e di subire una sanzione amministrativa, che impaurisce per il massimo edittale.
(Nella foto: Antonio Ciccia Messina. Ha curato la stesura del massimario Risposte Privacy)
I tre profili, combinati insieme, hanno di fatto prodotto una situazione in cui si percepisce (a torto o a ragione) la privacy come uno strato della montagna di adempimenti burocratici costantemente alimentata da legislatori inconsapevoli.
L'istanza di MonitoraPA dichiara di perseguire obiettivi di tutela delle persone che vivono la scuola, primi tra tutti studenti e famiglie.
La legge sulla trasparenza, certamente, offre uno strumento di controllo generalizzato sulle singole pa. La richiesta degli hacker, tuttavia, si inserisce nel descritto complicato quadro della disciplina, tutt'altro che compiuta, del Gdpr.
Il Gdpr lascia molti quesiti pratici senza soluzioni concrete e su uno dei punti fondamentali nel mirino del gruppo di hacker di MonitoraPA, ovvero il trasferimento dei dati verso gli Usa per il tramite dei servizi digitali, devono metterci una pezza addirittura le autorità politiche dell'Unione Europea.
All'istanza del gruppo seguirà prevedibilmente un ventaglio di esiti. Verrà fuori che alcune scuole hanno poco o nulla, altre hanno un apparato documentale improprio e inadeguato, altre ancora ce l'hanno un po' più adeguato, ma non aggiornato e forse qualche scuola lo aggiorna periodicamente.
Prevedibilmente questa azione produrrà ricorsi ai tribunali amministrativi in caso di mancate risposte, segnalazioni al Garante della privacy e forse anche qualche sanzione.In effetti, l'azione del gruppo pare impostata ad una logica dialettica e antagonistica, che accetta anche il rischio di sviluppi contenziosi. I destinatari di queste azioni, per lo meno in alcuni settori della pa, non perseguono dolose intenzioni illecite, ma sono solo nel mezzo di mille problemi: regole non chiare, assenza di una lineare impostazione organizzativa e di un sistema premiante effettivo, carenza di personale, scarse risorse finanziarie, turn over normativo continuo e, certo, anche la poca professionalità e diligenza nel pianificare gli adempimenti privacy.
Peraltro, impegnarsi in un possibile scontro fa rimanere sullo sfondo il profilo più importante e cioè che cosa si può fare per fare un passo avanti. La terapia shock nei riguardi di chi deve fare i conti con la normativa complessa è un'opzione, ma non è la sola e potrebbe non essere la più efficace.
In effetti, quando le criticità non riguardano determinate scuole o specifici territori, ma sono trasversali e toccano a tappeto tutte le scuole in ugual modo, proprio come quelle sollevate dal gruppo di hacker di MonitoraPA, si devono studiare alternative che affrontino e risolvano i problemi in termini trasversali e uniformi. Sono alternative che tra l'altro sono già previste dal Gdpr e dal codice della privacy, anche se presuppongono uno sforzo regolatorio, e che possono prendere la forma di atti amministrativi generali, codici di condotta e linee guida settoriali.
di Antonio Ciccia Messina (Italia Oggi del 4 ottobre 2022)
