DIDATTICA A DISTANZA E GESTIONE DELLA PRIVACY: TUTTO QUELLO CHE C’E’ DA SAPERE E SUGGERIMENTI SU COME SCEGLIERE LA PIATTAFORMA PIU’ ADATTA

1.Introduzione

Con l’inizio della pandemia di Covid-19 alcune realtà hanno risentito molto della distanza obbligata. Due di queste realtà sono state sicuramente quella scolastica e quella universitaria. Le scuole e gli Atenei si sono visti obbligati a trovare una soluzione alla distanza nel giro di pochissimo tempo, per permettere agli studenti di proseguire al meglio possibile nel proprio cammino di istruzione.

Per quanto il computer fosse uno strumento il cui uso era già consolidato nella realtà universitaria, questo non lo era per le scuole elementari, medie e superiori.

Questo ha creato delle difficoltà sia per le istituzioni, sia per i genitori: i primi hanno dovuto scegliere un metodo di didattica online che fosse semplice ed efficace allo scopo, mentre gli ultimi si sono visti obbligati ad entrare in confidenza con strumenti che altrimenti non avrebbero usato in questa maniera.

Certo, la DaD è stata la scelta più immediata data la presenza di dispositivi elettronici in ogni casa, ma anche grazie al loro utilizzo abbastanza ampio per questioni quotidiane.

Il problema però è che tali dispositivi potevano essere efficaci ai loro scopi precedenti – come consultare la propria posta elettronica o il quotidiano online – ma la mole di lavoro richiesta a un dispositivo per assistere a una videolezione in cui debbano essere utilizzati anche webcam e microfono, magari prendendo appunti su un editor di testo, è molta. Per questo motivo, nonostante tutte le famiglie avessero già un dispositivo, ciò non le ha avvantaggiate. Il problema si è fatto ancora più grande nel momento in cui i figli in DAD erano due, o addirittura tre, e ognuno di essi necessitava un dispositivo personale e ben funzionante.

Fare DAD significa anche trasporre tanti elementi della didattica tradizionale online e questo significa anche trasporvi i dati personali, rendendoli – in qualche modo – più vulnerabili e accessibili. Tutti i dati che prima erano custoditi in versione scritta, ora si trovano in registri elettronici ed e-mail. Questo non provoca alcun problema agli universitari, in quanto la gestione della loro carriera era già quasi prettamente online. Al contrario, questo è diventato un problema per studenti minorenni, i quali hanno dovuto – fin dalla scuola primaria – creare assieme ai genitori un account di posta elettronica a loro nome, così da poter accedere al registro elettronico, ai compiti e alle videolezioni.

Tutto ciò rende molto vulnerabili i loro dati personali e anche la loro immagine, in sede di videolezione.

Per questi motivi le istituzioni si sono trovate di fronte a scelte critiche riguardanti le piattaforme migliori da utilizzare per poter proteggere insegnanti e studenti dai reali pericoli del Web, garantendo loro un’esperienza didattica più fedele possibile a quella reale.

Le linee guida da seguire in materia di privacy sono quelle dettate dal GDPR, regolamento esteso a tutti i Paesi membri dell’UE. Vediamo insieme di cosa tratta e quali obiettivi si pone.

2.Cos’è il GDPR e come funziona

Il GDPR è il Regolamento Generale della Protezione dei Dati, ufficialmente regolamento (UE) n. 2016/679, il quale va a sostituire la precedente direttiva 95/46/CE, divenendo efficace dal 25 maggio 2018.

A differenza della direttiva precedente, il GDPR ha come fulcro il principio di accountability, cioè di responsabilizzazione del titolare del trattamento dei dati personali. Essendo un regolamento, esso è obbligatorio in tutti i suoi elementi in tutti i Paesi membri dell’UE. Inoltre, esso è applicabile in maniera diretta grazie alla sua generalità ed acquisisce efficacia direttamente nei confronti dei cittadini degli stati membri, e non solo nei confronti dei Paesi.

Andiamo a vedere insieme quali sono gli elementi in gioco quando si parla di dati personali e del loro trattamento:

• Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile (detto interessato), direttamente o indirettamente.

Il GDPR racchiude la protezione anche di alcune particolari categorie di dati personali che comprendono i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, biometrici, relativi alla salute, alla vita o all’orientamento sessuale. Questa particolare categoria di dati è sottoposta a cautele aggiuntive.

• Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto, l’interconnessione, la limitazione, la cancellazione o la distruzione.
• Titolare del trattamento: persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Al titolare del trattamento si attribuisce la responsabilità del trattamento dei dati ad esso consegnati.
• Responsabile del trattamento: persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento.

Dopo aver introdotto i principali elementi nel trattamento dei dati personali dobbiamo sottolineare alcuni fatti di grande importanza: innanzitutto titolare e responsabile del trattamento hanno l’obbligo di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. In secondo luogo, tra gli obblighi generali figura la designazione del rappresentante del titolare o del responsabile che non siano stabiliti nell’Unione, applicabile salvo che sia improbabile che il trattamento dei dati presenti un rischio per i diritti e le libertà degli interessati.

Nel modello della DAD i diversi ruoli della gestione di dati personali appartengono ad alcuni dei membri della realtà scolastica.

1. Interessato: studente e/o insegnante coinvolto nell’attività di Didattica a Distanza; anche genitore in caso di studente minorenne.
2. Titolare del trattamento: istituto scolastico nella persona del Dirigente scolastico; Università nella persona del Rettore.
3. Persone autorizzate al trattamento: personale docente
4. Responsabile del trattamento: fornitori della piattaforma per DAD

La scelta della piattaforma per DAD è quindi cruciale, in quanto da essa dipende anche il trattamento che verrà fatto dei dati personali di alunni e docenti – secondo le direttive date dall’istituto scolastico o Ateneo.

3.I doveri di istituti scolastici e atenei nei confronti della privacy

Come abbiamo già detto, all’inizio della pandemia gli istituti scolastici e gli atenei si sono visti obbligati a continuare a garantire il diritto fondamentale all’istruzione ai propri studenti. Per fare ciò, essi hanno necessitato l’aiuto di autorità quali, per esempio, il Garante per la protezione dei dati personali. Questo è stato istituito attraverso la legge del 31 dicembre 1996, n. 675. L’autorità del Garante è stata creata con l’obiettivo di assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.

Per questo, poco dopo l’inizio dell’emergenza sanitaria – il 26 marzo 2020 – l’allora Presidente del Garante, Antonello Soro, ha deciso di inviare una nota ufficiale ai ministri dell’Istruzione, dell’Università e della Ricerca (MIUR) e a quello per le pari opportunità e della famiglia riportando un provvedimento denominato “Didattica a distanza: prime indicazioni”. In questa nota l’ormai ex Presidente del Garante si è premurato di mettere in luce come, per quanto il digitale abbia potenzialità altissime, i suoi rischi non debbano essere sottovalutati. Per questo, ha sottolineato l’importanza di prendere in considerazione quanto già disposto dal Regolamento Generale per la Protezione dei Dati Personali (GDPR) e dal nostro Codice.

Sicuramente una delle finalità del Garante con questa nota è stata quella di migliorare la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti – con particolare attenzione alle attività destinate specificamente ai minori, nonché agli obblighi imposti a titolari e responsabili del trattamento dei dati personali.

Come si può intuire, la scelta del fornitore del servizio di DAD è del tutto cruciale per quello che poi sarà il trattamento dei dati personali dei diversi interessati (docenti, studenti e genitori – in caso di studenti minori).

Gli istituti scolastici e gli atenei, quindi, hanno dovuto svolgere due compiti di altissima importanza con la finalità di preservare la privacy nella Didattica a Distanza:

1. Scelta e ingaggio del fornitore del servizio di DAD
2. Monitoraggio del fornitore

Questi due compiti si suddividono a loro volta in più fasi e azioni volte a svolgere il compito in questione in maniera accurata:

• Scelta e ingaggio del fornitore del servizio
• Valutazione delle garanzie offerte sul piano della protezione dei dati personali
• Valutazione dell’ammissibilità di operazioni ulteriori rispetto alla fornitura dei servizi richiesti ai fini della didattica online
• Predisposizione e nomina di un Responsabile del trattamento
• Integrazione del contratto di fornitura stipulato per il registro elettronico, se disponibile
• Eventuali valutazioni di Impatto sulla privacy in caso di ricorso a nuove tecnologie particolarmente invasive (es. geolocalizzazione, login tramite social network ecc.)
• Conservazione dei dati, cancellazione dei dati non più necessari una volta perseguita la finalità del contratto, procedure di gestione di eventuali violazioni di dati personali.
• Monitoraggio del fornitore:
• Predisposizione dell’informativa al trattamento dei dati personali e necessità di particolare trasparenza nel caso di minori
• Attività di vigilanza effettuata dall’istituzione scolastica in base alle specifiche previsioni del contratto stipulato con il fornitore dei servizi designato dal Responsabile del Trattamento
• Gestioni di eventuali violazioni di dati personali (es. data breach)
• Monitoraggio del corretto utilizzo dei dati personali dei docenti funzionali allo svolgimento della DAD e verifica dei presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo.
• Attività di sensibilizzazione per la consapevolezza nell’utilizzo di strumenti tecnologici.
• Iniziative rivolte a docenti, genitori e studenti, atte a garantire la massima consapevolezza nell’utilizzo di strumenti tecnologici.

Queste sono le diverse azioni racchiuse nei compiti di massima importanza, da svolgere all’inizio dell’emergenza sanitaria. Dove sta il problema, però? Il problema sta nel fatto che moltissime scuole non conoscono le linee guida del GDPR, e al contempo, pochissime scuole hanno un protocollo talmente semplice da seguire che questo potrebbe essere applicato – senza cambiamenti – in maniera da essere in regola.

Come sappiamo, si è fatto quel che si è potuto, incorrendo così in rischi molto grandi per gli interessati dei dati. Proprio per questo il Garante per la Protezione dei Dati Personali è intervenuto su alcune questioni, dando a scuole e università una direzione verso la quale dirigersi:

1. Consenso

Le scuole e le università non devono richiedere il consenso al trattamento dei dati di docenti, studenti e genitori perché il trattamento è riconducibile alle funzioni che spettano istituzionalmente a scuole e atenei.

• Valutazione di Impatto

È necessario che scuole e università rispettino due principi essenziali del GDRP: privacy by design e by default. Questo cosa significa? Nel caso di privacy by design si richiede al titolare di mettere in atto misure tecniche e organizzative adeguate ad attuare i principi sulla protezione dei dati in due momenti: al momento della determinazione dei mezzi e all’atto del trattamento medesimo. Inoltre, si esige che vengano integrate le garanzie necessarie a soddisfare i requisiti del GDPR.

Nel caso di privacy by default si richiede al titolare del trattamento (scuola o università) che – “per impostazione predefinita” – siano adottate misure tecniche e organizzative finalizzate a garantire che siano trattati solo i dati necessari a ogni specifica finalità del trattamento, e che i dati non siano resi accessibili a un numero indefinito di soggetti senza l’intervento di una persona fisica.

In questo quadro in linea di massima non è necessario che le scuole e le università facciano la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati.

La valutazione di impatto va fatta – ad esempio – qualora si stipuli un contratto con il medesimo fornitore del servizio di DAD per gli istituti localizzati entro un’area piuttosto estesa (come ad esempio un Comune medio-grande).

• Regolamentazione del rapporto con il fornitore del servizio online e della piattaforma

Quando l’istituto scolastico – o l’università – sceglie un a piattaforma di terze parti in cui il fornitore della piattaforma tratta i dati personali di studenti, docenti e genitori per conto della scuola o dell’università, il fornitore stesso è responsabile esterno, e quindi il rapporto con esso deve essere regolato con contratto o con altro atto giuridico che ne attesti la prestazione. Uno strumento per cui funzionava già così è quello del registro elettronico.

Il Garante dice che vanno attivati solo i servizi strettamente necessari alla prosecuzione del percorso formativo; inoltre, questi vanno configurati in modo da minimizzare i dati personali da trattare. Per questo motivo andrebbero evitate azioni come geolocalizzazione o social login.

• Adempimenti a carico di scuola/università

Scuole e università devono assicurarsi che i dati trattati per loro conto – e quindi i dati di studenti, genitori e docenti – vengano utilizzati esclusivamente per la didattica a distanza o scopi ad essa annessi.

• Limiti dalle finalità di trattamento di dati

Il fornitore della piattaforma deve limitare il trattamento a quanto strettamente necessario per fornire i servizi di didattica online e non per ulteriori finalità del fornitore. Ciò significa l’uso della piattaforma non deve sottostare a condizioni: studenti e genitori devono poter usare i servizi di didattica online senza che il gestore della piattaforma richieda di dare il consenso o di firmare un contratto per il trattamento dei propri dati che non siano collegati all’attività didattica.

• Tutela di dati particolari

I dati particolari – una volta chiamati sensibili – sono quei dati personali riguardanti le persone minori di 18 anni. Il Garante afferma che questi dati non possono essere utilizzati né ai fini di marketing né per la profilazione, e quindi vanno tutelati maggiormente rispetto ai dati di interessati maggiorenni.

• Correttezza e trasparenza nell’uso dei dati

I principi di correttezza e trasparenza vogliono che scuole e università informino gli interessati – cioè studenti, docenti e genitori – usando un linguaggio che sia altamente comprensibile. Infatti, questo dovrebbe essere comprensibile addirittura ai minori, soprattutto per le parti concernenti le caratteristiche e le finalità del trattamento.

Inoltre, i dati dei docenti – i quali sono dipendenti di scuole e università – dovrebbero essere trattati con discretezza, senza che vi sia un’intrusione nella loro sfera privata.

Nel seguire le linee guida di GDPR e Garante, rimane però una questione parzialmente irrisolta, cioè quella riguardante l’individuazione del limite temporale nella conservazione dei dati: la data retention in ambito scolastico e universitario.

Nell’attività di DAD il tempo per cui i dati personali degli interessati vengono conservati è piuttosto dubbio e lo stabilimento di questo lasso di tempo è delicato per due motivi: la quantità di soggetti coinvolti e la varietà delle attività connesse alla Didattica a Distanza (ad esempio accertamento delle presenze, scambio di documenti, valutazioni, immagini dei soggetti, videochiamate, chat, scansioni ecc.).

Secondo il punto e) dell’art. 5 comma 1 del GDPR i dati personali vanno “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Questo, in parole povere, vuol dire che i dati andrebbero mantenuti per il minor tempo possibile o comunque non più a lungo del necessario.

Il Garante quindi ricorda che scuole e università, oltre a premurarsi che i dati degli interessati vengano usati solo per la didattica a distanza, devono anche assicurarsi che vengano impartite specifiche istruzioni sulla conservazione dei dati e sulla cancellazione – al termine del progetto didattico – di quelli non più necessari.

Ma come intendere l’espressione “termine del progetto didattico”? La fine del quadrimestre o semestre? La fine dell’anno scolastico o accademico? È possibile che la detenzione dei dati, vista l’emergenza sanitaria, duri più del dovuto per esigenze di riscontro o verifica – esattamente come avviene per i documenti cartacei. Anche per questa ragione, il Garante si premura di far presente a scuole e università che la scelta di strumenti e piattaforme di didattica a distanza è cruciale.

4.Migliori alternative di piattaforme utilizzabili per videolezione

La prima piattaforma ad aver offerto servizio di messaggistica e VoIP (Voiceover IP) è stata Skype, la quale è stata leader della propria categoria per svariati anni. Ciò che l’ha permesso è stato il cosiddetto vantaggio del first mover, cioè il vantaggio dato dal fatto di aver avuto per prima un’idea vincente, che l’ha fatta diventare leader. Skype, però, non è così sicuro e trasparente come sembra per diversi motivi: innanzitutto non si può sapere chi oltre a sé e ai propri interlocutori può attingere ai contenuti delle (video)chiamate e della messaggistica istantanea. Ad esempio, è stato reso noto da Edward Snowden che la NSA, l’Agenzia per la Sicurezza Nazionale degli Stati Uniti, ha ottenuto da Microsoft l’accesso a numerose conversazioni su Skype. Inoltre, vi sono disposizioni deboli per quanto riguarda la protezione dei dati: la scarsa sicurezza delle intercettazioni Skype è stata spesso criticata. Nonostante Skype assicuri che le conversazioni tra gli utenti siano cifrate con l’Advanced Encryption Standard 256, secondo le direttive per la protezione dei dati di Skype i contenuti delle comunicazioni possono essere rese disponibili alle istituzioni…infatti, ciò successe già in Austria nel 2008.

Con gli anni sono nate innumerevoli alternative alla leader Skype, le quali sono state studiate proprio per garantire un servizio migliore e più sicuro, nel tentativo di risalire la classifica delle piattaforme di messaggistica e VoIP.

Tra le più comuni abbiamo Zoom, Viber, FaceTime…ma molte di queste piattaforme presentano dei limiti nel campo della privacy oppure in quello delle funzionalità.

Facendo un’analisi delle diverse piattaforme disponibili, quelle che sembrano essere le migliori per perseguire lo scopo della DAD sono le seguenti:

• Jitsi
• Google Meet
• Webex
• Microsoft Teams

Molto brevemente, il motivo per cui queste piattaforme sono le migliori è perché offrono servizi essenziali: chiamata, messaggistica (con eventuale condivisione di file) e videochiamata, il tutto rispettando la privacy dei propri utenti, garantendo sicurezza ai loro dati.

Vediamo qui di seguito perché queste piattaforme sono le migliori alternative per videolezione e videoconferenza sia in ambito scolastico, sia in ambito universitario.

• Jitsi

Jitsi è un software open source il quale offre un alto grado di sicurezza a tutti i suoi utenti. In che modo? Innanzitutto, tutte le chiamate – video e vocali – sono codificate. Inoltre, anche i contenuti delle chat possono essere crittografati.

Un altro punto a favore di Jitsi è dato dal fatto che il software non ha un limite di partecipanti alle chiamate, il che lo rende uno strumento potenzialmente molto utile anche per videolezioni universitarie, le quali prevedono la partecipazione di diverse decine di studenti.

Un ulteriore punto a favore di Jitsi è dato dal fatto che il suo utilizzo è possibile anche senza previa iscrizione al servizio grazie alla versione browser del software: Jitsi Meet. Una volta avviata la conversazione in Jitsi Meet basta condividere il link con le persone che si vuole far partecipare alla conversazione affinché anch’esse possano accedervi.

Infine, Jitsi si presenta come buona alternativa ai classici Zoom e Skype perché è un software disponibile per sistemi operativi Linux, sistemi operativi mobili Android e iOS e anche per client Windows e MacOS.

• Google Meet

Il servizio di Google Meet è un’ottima soluzione in quanto le sue caratteristiche coniugano sicurezza e facilità di fruibilità per gli utenti.

Grazie a questo servizio l’utente è in grado di mantenere il controllo dei propri dati, i quali non vengono utilizzati né per pubblicità, né per vendita a terzi.

Come dichiarato dal colosso Google, in Meet i dati dei clienti sono criptati durante la trasmissione e le registrazioni delle videochiamate sono memorizzate in Google Drive, con criptazione di default. Inoltre, è possibile per l’utente impostare policy di conservazione per le registrazioni delle videocall, utilizzando Google Vault in combinazione con Google Meet.

Nelle videochiamate su browser web, sulle app Meet (Android e iOS) e nelle sale riunioni con hardware dedicato, i dati trattati mediante Meet sono crittografati by-default in trasmissione tra il client e Google.

L’unica specifica che Google fa è che nel caso in cui si partecipi a una riunione video per telefono l’audio utilizzerebbe la rete dell’operatore telefonico e per questo potrebbe non essere crittografato.

Google Meet aderisce agli standard di sicurezza della Internet Engineering Task Force (IETF) per la sicurezza dei livelli di trasporto Datagram Transport Layer Security (DTLS) e Secure Real-time Transport Protocol (SRTP).

Google Meet funziona interamente nel browser: ciò significa che non vengono richiesti né l’installazione di plug-in o di software se si utilizza Chrome, Firefox, Safari o Microsoft Edge. Per l’utilizzo su dispositivi mobili è invece consigliabile scaricare l’app a cui accedere con le credenziali del proprio account Google.

Google Meet ha anche alcune caratteristiche che lo rendono “scomodo”: esso permette, gratuitamente, di assistere a videocall di 60 minuti con un massimo di 100 partecipanti. A queste videocall, anche su browser, è possibile accedere solo tramite account Google. Inoltre, è possibile essere attivi nella videochiamata (quindi potendo utilizzare webcam e microfono) solo previa autorizzazione dell’host a partecipare.

Ciononostante, la grande attenzione alla privacy e alla sicurezza degli utenti la rende una valida alternativa per videolezioni e videoconferenze in ambito scolastico, come in quello universitario – purché il numero di studenti a lezione sia inferiore a 100.

• Webex

Per parlare di questa validissima alternativa partiamo dicendo che Cisco, la società “madre” di Webex, è famosa per essere leader dell’hardware di rete, del software e dei prodotti di sicurezza. Il servizio offerto da Cisco spiccava per sicurezza e protezione dati già da prima dell’inizio della pandemia. Infatti, questa piattaforma – la quale ha una storia ventennale alle spalle – era già una delle preferite dal settore sanitario, da quello finanziario e da quello dell’informazione prima dell’era dello smart working obbligato, grazie alla sua attenzione alla protezione dei dati.

Webex, di base, non utilizza la crittografia end-to-end. Questa crittografia è un sistema di comunicazione cifrata nel quale sono gli interlocutori interessati nella conversazione possono leggere i messaggi e accedere alla (video)chiamata non crittografati. Tale sistema evita che terze parti, compresi gli ISP (Internet Service Provider) e i gestori della rete possano accedere ai messaggi privati o addirittura alterarli.

Webex utilizza invece una crittografia che vede “flussi multimediali” che fluiscono da un client ai server Cisco Webex, i quali vengono decrittati dopo aver attraversato i firewall Cisco Webex. Cisco può quindi fornire registrazioni basate sulla rete, così da permettere che tutti i flussi multimediali possano essere registrati per riferimento futuro. Cisco Webex crittografa nuovamente il flusso multimediale prima di inviarlo ad altri client.

Nonostante questa sia la prassi nella piattaforma, il servizio fornisce un livello di sicurezza più elevato alle aziende che lo richiedono, e anche la crittografia end-to-end. Applicando questa opzione – disponibile per i Cisco Webex Meetings e per il supporto Cisco Webex – l’azienda non decritta i flussi multimediali e il traffico diventa indecifrabile per il server Cisco Webex.

Con Webex è possibile scambiare messaggi in chat, oltre a file e link esterni. Le videocall possono essere registrate dall’organizzatore della riunione, il quale ha il potere di limitare l’uso degli altri host su webcam e microfono. Se la call non viene registrata, allora questa viene cancellata immediatamente dopo la sua conclusione.

Webex è un’ottima alternativa da considerare per svolgere videolezioni scolastiche e universitarie anche per le seguenti ragioni:

• È possibile partecipare alla riunione solo tramite link, il che assicura la partecipazione di un gruppo prescelto di persone
• È possibile impostare una password di accesso alla room
• Il numero di partecipanti ammessi arriva fino a 1000

• Microsoft Teams

Microsoft Teams rappresenta l’ennesima buonissima alternativa ai classici Skype e Zoom i quali – come abbiamo visto – non sono proprio degli esperti in materia di sicurezza e privacy.

Microsoft, tramite la piattaforma di Teams, dichiara di offrire una varietà di controlli su privacy e sicurezza per consentire agli utenti di gestire chi partecipa alle riunioni e chi ha accesso alle informazioni riguardo ad esse (partecipanti, dati, contatti…).

L’utente organizzatore nell’ambiente di Teams ha alcuni vantaggi rispetto agli host: è colui che decide chi può accedere alle riunioni dall’esterno e a chi invece tocca aspettare “in coda”. Inoltre, ha il potere di rimuovere i partecipanti durante le riunioni e addirittura di controllare chi può condividere contenuti con tutti gli altri partecipanti.

Microsoft afferma anche di essere impegnata nell’individuazione di comportamenti scorretti e negativi all’interno delle chat – quali bullismo e molestie – grazie all’utilizzo di intelligenza artificiale avanzata, la quale ha il compito di controllare le chat.

Inoltre, quando viene registrata una videocall, tutti i partecipanti vengono avvisati all’inizio della registrazione stessa. Tale registrazione sarà poi disponibile solo per i partecipanti alla call oppure per le persone invitate alla riunione; oltre a ciò, essa sarà conservata in un archivio controllato e protetto da permessi e crittografia.

A differenza di Jitsi, Microsoft Teams protegge la privacy dei propri utenti con un approccio by-design. Tale approccio si basa sull’impegno di Microsoft alla trasparenza sulla raccolta, sull’uso e sulla distribuzione dei dati.

Per accedere a una riunione su Microsoft Teams è necessario affrontare una doppia identificazione grazie all’autenticazione multi-fattore (MFA): tale funzione è attivabile dall’amministratore e protegge il nome dell’utente e la sua password però richiede anche che esso si sottoponga a una seconda forma di verifica atta a dimostrare la veridicità della sua identità.

In realtà questo processo di verifica in due step è piuttosto utilizzato in diversi settori, tra cui quello bancario, per proteggere gli utenti le cui password sono state rubate oppure sono troppo deboli. Anche se può sembrare eccessivo, questo processo permette di aumentare la protezione dei propri dati da intrusioni esterne.

Come Google Meet, anche Microsoft Teams utilizza il protocollo SRTP (Secure Real-time Transport Protocol) per la condivisione di video, audio e desktop. Inoltre, cripta anche i dati in transito, memorizzandoli nella propria rete sicura di data center.

La ciliegina sulla torta di Teams è data dalla dichiarazione di Microsoft di rispettare le normative globali, nazionali, regionali e specifiche in materia di data protection, tra i quali spicca l’attenzione al GDPR.

Microsoft Teams si presenta come ottima alternativa anche grazie ad altre caratteristiche:

• Ha la funzione di chat per condivisione di link, messaggi e contenuti
• È disponibile in versione app mobile per tenere sempre traccia delle proprie videocall e dei contenuti condivisi in esse
• Il limite massimo di partecipanti è stato recentemente aumentato a 300 persone, rendendo Teams utile anche per lezioni universitarie con diverse decine di studenti

5.Conclusione

Come abbiamo già puntualizzato all’inizio di questo articolo – e come alcuni di noi hanno visto per esperienza personale – tante scuole e università all’inizio della pandemia sono state prese alla sprovvista. Per questa ragione, tante delle scelte fatte in materia di piattaforme di Didattica a Distanza non sono state delle migliori, mettendo così a rischio la sicurezza di docenti, studenti e genitori.

Per quanto il Garante per la protezione dei dati personali sia intervenuto con la pubblicazione del suo provvedimento “Didattica a Distanza: prime indicazioni” e per quanto le linee guida del GDPR fossero già note, tante scuole e università non hanno seguito norme e suggerimenti, scegliendo alternative deboli dal punto di vista della protezione della privacy.

A mio avviso, questa è stata una grave mancanza per diverse ragioni: innanzitutto, le linee guida del GDPR dovevano già essere note da tempo a scuole e università, in quanto i dispositivi elettronici e i servizi di supporto digitali (es. registro elettronico, intranet ecc.) facevano già parte della realtà educativa ben prima della Didattica a Distanza. In secondo luogo, il Garante per la protezione dei dati personali ha dato indicazioni preziose e trasparenti per permettere agli istituti scolastici e alle università proseguire nelle proprie attività in sicurezza.

Se c’è un elemento rincuorante in questa faccenda, però, è quello riguardante le diverse alternative che abbiamo visto nel precedente paragrafo: Jitsi, Microsoft Teams, Webex e Google Meet sono piattaforme eccellenti, le quali uniscono facilità di fruibilità e garanzia di privacy dei dati personali. Per questa ragione – e per quelle elencate nelle loro analisi – queste piattaforme rappresentano delle opportunità ottime per perseguire gli scopi della Didattica a Distanza, la quale sembra sarà la normalità ancora per un po’.

Un altro punto che tengo a sottolineare riguarda i cosiddetti interessati: docenti, studenti e genitori. Secondo me anch’essi dovrebbero in qualche modo farsi carico della protezione della propria privacy nell’ambito della Didattica a Distanza. D’altronde sono i loro dati ad essere esposti ad un eventuale rischio, e quindi sarebbe doveroso da parte loro capire come questi vengano trattati. È vero: spesso le informative sulla privacy sono chilometriche e tanti di noi si limitano ad assicurarsi di aver messo una X al posto giusto prima di dare il proprio consenso. In questo caso però, non si parla di un semplice indirizzo e-mail disperso in una mailing list, bensì di dati personali, i quali vanno tutelati con ancora più attenzione quando si tratta di minori. Ciò vuol dire che i genitori dovrebbero controllare con dovizia che i propri dati e quelli dei loro figli vengano trattati con accortezza, per evitare che corrano qualche rischio poi impossibile da evitare.

È altrettanto vero, però, che anche studenti maggiorenni e insegnanti non sono esentati da questo controllo solo perché adulti; al contrario, dovrebbero essere in grado di assicurarsi che i propri dati (così come i propri volti) finiscano in mani sicure.

Come fatto presente dall’ex presidente dell’Autorità Garante per la protezione dei dati personali il digitale ha un grandissimo potenziale positivo, il quale ha permesso e permette tuttora di semplificare la realtà in tanti modi. Le sue grandi potenzialità dovrebbero in qualche modo mettere in guardia i soggetti, proprio per la pervasività che il digitale sta avendo nelle vite di tutti. Così non è, come ben sappiamo, e i suoi pericoli vengono fin troppo spesso sottovalutati.

Certamente le scuole e le università devono provare a stare al passo con l’evoluzione del digitale, in maniera da proteggere i soggetti di cui si prendono carico; allo stesso tempo, però, i soggetti stessi dovrebbero rendersi conto del fatto che sono proprio loro i primi a ‘immischiarsi’ nel mondo del digitale, e che quindi dovrebbero farlo in maniera attenta, assicurandosi di ottenere la giusta protezione per sé e i propri dati.

Fonti

• PrivacyLab: https://www.privacylab.it/IT/922/didattica-online-e-gdpr-ai-tempi-del-covid-19/
• Agenda Digitale: https://www.agendadigitale.eu/scuola-digitale/la-privacy-nella-didattica-a-distanza-linee-guida-e-ruoli-chiave-per-una-governance-corretta/
• Diritto.it: https://www.diritto.it/didattica-a-distanza-in-emergenza-codiv-19-profili-critici-sulla-conservazione-e-cancellazione-dei-dati-alla-luce-del-gdpr-679-16-e-delle-indicazioni-del-garante-privacy/
• Wired: https://www.wired.it/mobile/app/2020/04/01/5-alternative-zoom-private-sicure/
• Ionos: https://www.ionos.it/digitalguide/online-marketing/social-media/alternative-a-skype/
• HTNovo: https://www.htnovo.net/2020/04/come-google-meet-protegge-videoconferenze.html
• CyberSecurity360: https://www.cybersecurity360.it/soluzioni-aziendali/app-di-videoconferenza-tra-sicurezza-e-privacy-le-migliori-oltre-a-zoom-per-lo-smart-working/
• Vigevani, G. E. e Pollicino O., Melzi D’Eril C., Cuniberti M., Bassini M. 2019 Diritto dell’Informazione e dei Media – G.Giappichelli Editore