C’erano una volta l’Università pubblica e l’Università privata.

Ma tutte le cose belle, si sa, prima o poi finiscono. Specialmente quando “i dati sono il nuovo petrolio”.

Credo che la stessa cosa si applichi per le scuole a tutti i livelli, ma questa è una supposizione (basata su quello che le persone mi raccontano).

Perché parlo al passato? Perché ad oggi, se vuoi iscriverti in una Università pubblica, non puoi fare a meno di avere a che fare con una lista bella lunga di aziende private, che di fatto controllano ogni angolo della tua carriera: cosa stai studiando, cosa studierai, quali sono le cose in cui eccelli e quali sono i punti di debolezza. Ma anche quanto tempo impieghi per andare in bagno durante un compito, oppure se ti piace il rosa o l’azzurro. Oltre ovviamente ad avere un’anagrafica enorme su di te, anche di cose che tu stesso non sapevi.

Qualcuno potrà obiettare che non c’è alcun problema se dei privati entrano nell’organizzazione di una pubblica amministrazione. D’altronde funziona così un po’ dovunque, a volte con successo, a volte no. Tuttavia, credo che ci sia un limite, e questo limite sia stato abbondantemente superato.

L’Università come organismo complesso

Gestire una Università non è come gestire la partita di calcetto del sabato sera. Specialmente le Università grandi (ad esempio, La Sapienza - Università di Roma è una delle più grandi al mondo) hanno centinaia o migliaia di uffici, con decine di migliaia di persone impiegate soltanto nella parte amministrativa (quindi escludendo studenti e docenti). Una Università di queste dimensioni è paragonabile ad una provincia o una regione, in termini di complessità.

Ma di cosa si occupa la parte amministrativa dell’Università? Di un po’ di tutto:

• La gestione degli spazi (assegnazione per didattica/ricerca, ma anche manutenzione, acquisto, dismissione, sorveglianza, etc) e dell’attrezzatura
• La gestione del personale (se stessi ed i docenti/ricercatori), per tutto quello che riguarda l’aspetto economico e burocratico
  • Progressioni di carriera, stipendi, premi, rimborsi, penalità e tutto quello che riguarda l’aspetto economico diretto per le persone
  • Concorsi, assunzioni, trasferimenti, aspettative, processi burocratici vari della vita di un docente o di un membro dell’Ateneo
  • Supporto alle attività interne (consultazioni, autorizzazioni, etc)
• La gestione dei propri “clienti”, ovvero gli studenti, con tutto quello che ne consegue:
  • La burocrazia che riguarda l’apertura, manutenzione e chiusura dei corsi di laurea
  • Le carte e procedure che riguardano la vita dello studente: iscrizione, laurea, trasferimenti, sospensioni, altri adempimenti
  • La comunicazione verso gli studenti: comunicazioni generali e particolari, segnalazioni di problemi o opportunità, aiuto per gli adempimenti
  • Collezione dei pagamenti dagli studenti, gestione delle borse (concorsi, assegnazioni, erogazioni, verifiche)
• La gestione dell’Ateneo in quanto tale
  • Il bilancio consultivo/preventivo e la gestione dei flussi di denaro
  • Gli adempimenti verso lo Stato centrale
  • La difesa della proprietà intellettuale e altre beghe legali
  • Controllo sulla qualità dei propri processi e servizi erogati

Questi sono punti generali: ognuno impiega centinaia o a volte migliaia di persone con aree tematiche sempre più specifiche.

Ed i privati dove sono?

Va da se che un’organismo così complesso, specialmente nelle realtà più piccole, potrebbe trovare giovamento da servizi esterni (erogati da privati) che possono togliere parte delle incombenze qui elencate. A titolo di esempio, alcune aziende private vendono prodotti e/o servizi per la gestione del personale e stipendi: è chiaro come questo potrebbe permettere ad un Ateneo di gestire un problema con un investimento relativamente più basso.

L’uso di un servizio esterno non toglie completamente la necessità di avere personale interno addestrato al monitoraggio di quel settore, ma potrebbe (qualora le condizioni economiche lo permettono) essere una soluzione a costo inferiore rispetto a dover assumere uno stuolo di persone e sviluppare internamente delle procedure e del software adeguato.

Ma questo non è automatico: ci sono montagne di esempi che dimostrano che esternalizzare non funziona “di per se” (vedi il caso Hertz vs Accenture per il sito internet della Hertz).

Dove finiscono i nostri dati

Ecco il nocciolo del problema. Le aziende private hanno (giustamente) un primario interesse a chiudere l’anno fiscale in attivo (difficilmente un’azienda va avanti se perde soldi ogni anno). Mentre il primario interesse di un’azienda pubblica (una PA come un Ateneo) è quello di fornire il servizio agli “utenti”, non quello di guadagnare da quel servizio.

Queste due cose non sono un problema quando la situazione è la seguente: l’Ateneo, nello svolgimento delle sue funzioni, necessita di una consulenza o di esternalizzare una piccola parte del proprio lavoro verso un privato. L’Ateneo attinge dai propri fondi per pagare un privato, viene regolarmente fornito il necessario per l’attività al privato, che esegue e fornisce un “risultato” (responso, un lavoro fatto, etc).

Il privato guadagna dalla propria attività finché l’attività viene fatta secondo il contratto, e l’Ateneo è nel pieno possesso di tutto (dati, possibilità di cambiare impresa esterna, etc).

Ma cosa succede se la situazione cambia? Stiamo vedendo ultimamente situazioni dove il privato si sostituisce all’Ateneo per delle attività che sono il cuore dell’Ateneo stesso. Questo non va bene: l’Ateneo perde completamente il controllo delle proprie attività e dei propri dati, diventando schiavo di questa o quell’altra azienda che fornisce un’attività essenziale che non può essere “ripresa” facilmente. Facciamo un paio di esempi: le attività di gestione della carriera degli studenti, e l’attività di erogazione della didattica.

Quando i privati tengono un Ateneo per i capelli

Il problema si verifica quindi nel momento in cui l’Ateneo dipende da servizi esterni in un modo così pervasivo che non è più in controllo dei propri dati.

Facciamo un esempio: l’Ateneo X “utilizza” una piattaforma esterna per l’erogazione della didattica: Google.

• La posizione di Google sembra classica: loro forniscono una serie di servizi (Meet, Classroom, etc) necessari in Ateneo
• L’Ateneo non ha la forza lavoro (e/o economica) per poter sviluppare questi servizi internamente
• Un regolare contratto viene stipulato tra Google e l’Ateneo X per la fornitura dei servizi, dietro corrispettivo economico

Sembra tutto regolare? Eppure, un’attività essenziale ora è in mano ad un privato, il quale può decidere come, dove, quando e a chi fornire il servizio. Inoltre, ora il privato possiede un numero enorme di informazioni (fornite direttamente da chi usa il servizio), che può usare senza vincoli per guadagnare dai dati derivati. L’Ateneo, se tutto va bene, otterrà soltanto una microscopica parte di questi dati, seppur pagando a peso d’oro questo servizio.

Di fatto quindi l’Ateneo non è più pubblico: i dati vengono forniti a uno o più privati, e soprattutto cambiare sistema non è semplice data l’immensità del sistema; dunque il privato potrà decidere di cambiare le condizioni del servizio in un secondo momento, o di limitare la circolazione di particolari informazioni nel sistema senza che l’Ateneo possa far nulla (e a volte senza che l’Ateneo ne sia al corrente).

Poiché un privato ha l’obiettivo di arrivare ad un bilancio in attivo, ecco che l’Ateneo fornirà un servizio nel modo più efficiente possibile per il privato, invece che nel modo più efficiente possibile per l’utente. In altre parole, se una funzione è didatticamente interessante, ma poco remunerativa, non sopravviverà.

Come si esce da questa situazione?

Io credo che questo sia un problema, e che dobbiamo ripristinare la vecchia divisione tra Atenei pubblici e privati. Un Ateneo pubblico non deve essere soggetto a logiche di mercato, e le partecipazioni di soggetti privati devono essere marginali e sostituibili. Il controllo sulla direzione di “navigazione” dell’Ateneo, e sui dati di tutte le persone coinvolte, deve rimanere pubblico.

Questo richiede una serie di passi abbastanza “dolorosi” e complessi:

• l’Ateneo (e/o lo Stato) deve dotarsi del personale per gestire e mantenere i servizi essenziali per un Ateneo. Ad esempio, se l’erogazione della didattica o la posta elettronica sono essenziali, queste devono essere gestite internamente
• l’Ateneo deve dotarsi anche di personale qualificato per poter gestire il rapporto con i privati, limitando il loro controllo sull’Ateneo nelle aree e nei singoli punti dove è necessario un privato
• i sistemi che i privati usano per interfacciarsi con l’Ateneo devono essere pubblici, standard e documentati, così da permettere una concorrenza “normale” e soprattutto la migrazione di tali dati e piattaforme in modo automatico e semplice (che, tra l’altro, è un requisito del GDPR)
• le normative vanno rispettate (strano a dirsi, eh? Eppure tutt’oggi ci sono Atenei che usano servizi di base statunitense in piena violazione del GDPR)

Tutto quello che non è essenziale può anche rimanere in mano ai privati (esempio: la “chat”). Ma se non lo si reputa essenziale, è necessario averlo/fornirlo? Anche se esterno, è un costo che potrebbe essere tagliato facilmente.

Addendum: il caso della Sapienza - Università di Roma

A mero titolo di esempio voglio riportare lo stato attuale, per quelle che sono le mie conoscenze ed i riferimenti pubblici, rispetto allo stato dell’Ateneo più grande di Italia, ovvero la Sapienza - Università di Roma.

Tutte queste informazioni sono presenti nel sito ufficiale www.uniroma1.it, nelle pagine interne del sito o nel portale “Trasparenza” dell’Ateneo stesso.

Servizi a contatto diretto con gli studenti

Ogni studente che si iscrive in Ateneo è obbligato a fornire alcuni o tutti i propri dati a:

• Google per i servizi: GMail, Meet, Classroom come obbligatori, altri come opzionali
  • ⚠️ violazione GDPR: vedi l’addendum “Cloud provider, GDPR e messaggistica”
  • ⚠️ violazione Costituzione Italiana: vedi l’addendum “Cloud provider, GDPR e messaggistica”
  • commento: esistono alternative europee GDPR-compliant, per alcuni servizi non c’è la reale necessità (Classroom è di fatto sostituibile con una pagina in un CMS qualsiasi)
• Zoom: spesso obbligatorio, dipende dal corso di laurea
  • ⚠️ violazione GDPR: vedi l’addendum “Cloud provider, GDPR e messaggistica”
  • ⚠️ violazione Costituzione Italiana: vedi l’addendum “Cloud provider, GDPR e messaggistica”
  • commento: esistono alternative europee GDPR-compliant
• Cisco per il servizio Webex: spesso obbligatorio, dipende dal corso di laurea
  • ⚠️ violazione GDPR: vedi l’addendum “Cloud provider, GDPR e messaggistica”
  • ⚠️ violazione Costituzione Italiana: vedi l’addendum “Cloud provider, GDPR e messaggistica”
  • commento: esistono alternative europee GDPR-compliant
• Piazza.net per il materiale delle lezioni e forum di comunicazione, opzionale (dipende dal corso di laurea)
  • ⚠️ violazione GDPR: vedi l’addendum “Cloud provider, GDPR e messaggistica”
  • ⚠️ violazione Costituzione Italiana: vedi l’addendum “Cloud provider, GDPR e messaggistica”
  • commento: esistono alternative europee GDPR-compliant

Per le attività di esame:

• Teachiq AB, (Sweden) per Exam.net, per gli esami “online”
  • la loro piattaforma SEB, spesso obbligatoria, necessità di un altro sistema privato statunitense (Windows o macOS) acquistabile solo dietro pagamento. In altre parole, chi è impossibilitato a comprare un PC con Windows o un iMac/MacBook è di fatto impossibilitato a fare gli esami
• Microsoft/Apple per i sistemi operativi necessari per SEB e altri strumenti per studenti in Ateneo
  • ⚠️ violazione GDPR: vedi l’addendum “Cloud provider, GDPR e messaggistica” (si applica anche se non sono cloud provider perché questi due sistemi inviano montagne di dati personali negli USA)
  • commento: esistono alternative GDPR-compliant

Per le attività di comunicazione con la segreteria:

• SuperSaaS B.V. (The Netherlands) per le attività di prenotazione di un appuntamento in segreteria
  • commento: è davvero necessario fornire dati personali (nome, cognome, etc) ad un’azienda esterna solo per prenotare un appuntamento?
• Facebook: alcune segreterie inviano comunicazioni usando questa piattaforma, a volte in modo esclusivo (o forse è un “errore”)
  • ⚠️ violazione GDPR: vedi l’addendum “Cloud provider, GDPR e messaggistica”
  • ⚠️ violazione Costituzione Italiana: vedi l’addendum “Cloud provider, GDPR e messaggistica”
• Skype: per contattare la segreteria per via telematica è necessario un account su Skype
  • ⚠️ violazione GDPR: vedi l’addendum “Cloud provider, GDPR e messaggistica”
  • ⚠️ violazione Costituzione Italiana: vedi l’addendum “Cloud provider, GDPR e messaggistica”

Addendum: Cloud provider, GDPR e messaggistica

Secondo il GDPR (General Data Protection Regulation), i dati delle persone in Europa devono essere trattati secondo particolari norme (quelle nel GDPR appunto). Questo può avvenire normalmente in Paesi Europei, ma può anche avvenire all’estero: in questo secondo caso, lo Stato estero deve garantire sostanzialmente le stesse protezioni e garanzie del GDPR (vedere gdpr.eu e sentenze Schrems).

La sentenza Schrems II della corte Europea ha decretato che il “Privacy Shield” non è valido. Questa sentenza segue la precedente “Schrems I”, sempre della corte Europea, che decretava il Safe Harbor non valido. Questi due accordi (Privacy Shield e Safe Harbor) erano stati stilati dalla Commissione Europea e gli USA allo scopo di permettere a società americane di continuare a processare i dati protetti da GDPR. I due accordi sono saltati, secondo la Commissione, perché gli USA non forniscono le garanzie necessarie.

Perché non forniscono garanzie? Le aziende con sede negli USA sono soggette al CLOUD Act e al Patriot Act: leggi che permettono l’accesso a qualsiasi dato in possesso delle suddette aziende, in qualsiasi parte del globo e senza alcun controllo o autorizzazione da parte delle autorità giudiziarie, da parte di alcune autorità statunitensi come FBI e CIA (non la magistratura). Queste due norme sono in palese e aperta violazione col GDPR.

Non importa che le aziende abbiano “datacenter” in Europa per i dati: quello che il CLOUD Act stabilisce è che i dati possono essere dovunque, ma la normativa si applica (ad aziende “assoggettate” alla normativa USA, ovviamente). Quindi anche colossi noti come GAFAM, ovvero i provider come Amazon, Google, etc, anche i loro datacenter in Europa sono assoggettati alle leggi USA, e non possono essere usati legalmente per dati protetti da GDPR.

Infine, è da notare come la “corrispondenza e di ogni altra forma di comunicazione” (e quindi la posta elettronica, le chat, le videoconferenze) siano “segrete e inviolabili” secondo l’Art. 15 della Costituzione Italiana:

La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili.

La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge.

 

Art 15 - Costituzione Italiana

Dunque, acquistare servizi di videoconferenza, messaggistica e posta elettronica (non protetti da E2EE) ad aziende statunitesi è, a mio avviso, anche in violazione della costituzione Italiana.