Scuola, Open Data, Privacy e spam, quanta confusione

Scuola in Chiaro è una iniziativa del Ministero dell’Istruzione (MIUR) per pubblicare online dati delle singole istituzioni scolastiche, al fine di facilitare a studenti e famiglie la scelta della scuola. Prima ancora che partisse io criticai il fatto che SEMBRAVA non essere aperta a sufficienza, ma quasi subito il MIUR disse ufficialmente che quei dati sarebbero stati Open Data, che in tutto il mondo significa precisamente “dati riutilizzabili da chiunque, per qualsiasi scopo” (per saperne di più, leggete qui).

Scuola in Chiaro è partita a inizio 2012. Giovedì scorso diverse persone hanno chiesto: “Come mai il Ministero dell’Istruzione pubblica email di dipendenti (file Anagrafe) definendole utilizzabili per scopi commerciali?"

In particolare, si è criticato il fatto che:

  • “ci sono email private personali. Ammesso siano dati open, questo non dovrebbe significare utilizzabili per scopi commerciali”

  • MIUR ha pubblicato “migliaia di e-mail dei dirigenti, alcune hanno il dominio istruzione.it altre, la maggior parte, la e-mail privata con il nome e cognome del dirigente scolastico” con esplicita licenza di utilizzarli “per ogni scopo, personale o commerciale, e senza vincoli, al fine di comprendere meglio il mondo della scuola e creare servizi innovativi”, con la conseguenza che “Adesso è possibile inviare comunicazioni commerciali di qualsiasi genere a queste persone”.

Prima, le licenze

Ormai da diversi anni, in tutto il mondo, Open Data significa proprio “dati riutilizzabili per ogni scopo, personale o commerciale, e senza vincoli”. Quindi se MIUR si è impegnato pubblicamente a rilasciare i dati di Scuola in Chiaro in quel modo, poi non può fare altrimenti. Al limite è vero il contrario, cioè che la postilla sulla pagina da cui scaricare i dati] è TROPPO (e inutilmente) restrittiva, oltre che in contrasto diretto con la licenza nella stessa pagina, nel senso che sia quella licenza, sia la definizione riconosciuta di Open Data consentono davvero qualsiasi uso, non solo quelli “al fine di comprendere meglio il mondo della scuola e creare servizi innovativi”.

Indirizzi “privati” e loro fornitori

Passiamo a “nomi, cognomi ed email private”: Scuola in Chiaro, per sua natura, non deve proprio contenere dati sensibili. Gli unici dati “personali” sono le email per contattare le singole scuole (e non i singoli insegnanti, come ho sentito dire da qualcuno). Ma davvero stiamo dicendo che le email per come contattare un preside o una segreteria in quanto tali, cioè a proposito della scuola che sono pagati per rappresentare e gestire, sono dati privati e/o sensibili?

In ogni caso, nelle Indicazioni Operative su Scuola in Chiaro del MIUR di fine 2011 c’è scritto nero su bianco (grassetti miei):

“L’Amministrazione da parte sua cura la predisposizione… dei dati riguardanti la singola Istituzione scolastica già presenti nel sistema informativo in quanto acquisiti attraverso processi amministrativi e varie rilevazioni ad hoc"

“Le Istituzioni scolastiche provvedono invece all’inserimento delle informazioni di loro esclusiva conoscenza[tali] informazioni, una volta immesse nel SIDI, vengono automaticamente aggiornate nello spazio internet di “Scuola in chiaro”… a partire dal 12 gennaio 2012 il progetto, comprendente sia i dati di fonte ministeriale e sia quelli direttamente immessi dalle scuole, verrà reso visibile a tutti."

Prima ancora, un'altra circolare avvertiva che “il servizio dal 12 gennaio fornirà tutte le informazioni possedute dal sistema informativo”, la cui “completezza dei dati dipenderà quindi anche da ogni istituzione scolastica” (cosa confermata anche nelle FAQ di Scuola in Chiaro, ad esempio la 14).

Riassumendo: tutti, ma proprio tutti, gli indirizzi email che stanno in quel file ci stanno solo perché:

  • li hanno forniti i titolari degli indirizzi medesimi, o persone da loro delegate a rispondere a email o riempire moduli…

  • …in risposta diretta alla specifica domanda “qual è l’indirizzo email da usare per contattarti per questioni di lavoro?” (cioè, siamo seri, un indirizzo che NON PUOI rifiutarti di fornire, e del cui riuso e pubblicazione il MIUR deve poter decidere senza chiedere permessi ogni minuto)

Di conseguenza, se davvero, in condizioni del genere, alcuni presidi o personale ATA hanno passato al MIUR come contatti di lavoro, e poi lasciato che stessero tre anni su Internet, dei loro contatti PRIVATI, sono loro che hanno fatto una fesseria, fine della storia. Avere più indirizzi email separati, gestendoli tutti insieme in una sola “finestra” è possibile da trent’anni, senza spendere niente.

Fra l’altro, di quanti e quali indirizzi “privati” parliamo? Il file incriminato elenca 72357 scuole, di cui 58393 statali, e 13964 paritarie. E se andate a spulciarvelo, quel file, scoprirete che le scuole statali che non hanno fornito nè indirizzi @istruzione.it (che hanno tutte gratis, d’ufficio) nè indirizzi ovviamente “istituzionali” tipo scuole-provincia.tn.it o segreteria.nomescuola@, sono… zero. Quindi gli indirizzi “privati” potrebbero essere solo quelli con a) nome e cognome di qualcuno, b) dominio tipo gmail, yahoo e simili e c) relativi a scuole paritarie: cioè molti di meno di 13964, controllate voi stessi, e comunque è solo colpa loro, vedi sopra.

Possiamo spammare quegli indirizzi?

Fermo restando che se in quel file ci sono davvero indirizzi email privati la colpa è solo dei loro titolari… Averli pubblicati con quella licenza e postilla costituisce o no anche una indebita o impropria autorizzazione esplicita e sufficiente per inviare a quegli indirizzi email commerciali/pubblicitarie?

Qui e qui c’è scritto che:

“il consenso deve essere manifestato liberamente, in modo esplicito e in forma differenziata rispetto alle diverse finalità o alle categorie di prodotti o servizi, prima dell’inoltro dei messaggi”

per essere veramente “in regola” occorre chiedere ai destinarari “SE” desiderano ricevere informazioni pubblicitarie e raccogliere puntualmente le loro specifiche manifestazioni di consenso.

Un amico avvocato mi dice inoltre che “le licenze CC lavorano sul piano del copyright e NON su quello totalmente separato/autonomo della tutela dei dati personali. Questo per dire che il tuo dato è sempre tutelato indipendentemente che ci sia una licenza CC."

Quindi a me pare che qui non ci sia nessuna autorizzazione e quindi nessuna violazione di niente. Ma ovviamente io non sono un avvocato, e se dovessi ricevere correzioni o smentite sarò lieto di pubblicarle qui. Nel frattempo, l’unica cosa che il MIUR deve fare con quel file è sostituirlo con i dati attualmente presenti nei suoi database, visto che sta lì dal 2012, e probabilmente togliere quel “al fine di comprendere meglio il mondo della scuola e creare servizi innovativi” dalla postilla.

(grazie a Catepol e Simone Aliprandi per link e commenti!)