Richieste SIA: differenze tra le versioni
| (23 versioni intermedie di uno stesso utente non sono mostrate) | |||
| Riga 1: | Riga 1: | ||
==Software libero e piattaforme nazionali== | ==Software libero e piattaforme nazionali== | ||
L'amministrazione centrale ha promosso e sostenuto esclusivamente - per quanto concerne la teledidattica sincrona - | L'amministrazione centrale ha promosso e sostenuto esclusivamente - per quanto concerne la teledidattica sincrona - piattaforme proprietarie private in mano a multinazionali che traggono buona parte del loro profitto dal cosiddetto capitalismo della sorveglianza. Questa scelta, forse in parte giustificabile in un momento d'emergenza, ha però conseguenze politiche e culturali gravi - tanto è vero che se ne è [http://senato.it/japp/bgt/showdoc/0/hotresaula/0/0/index.html?part=doc_dc-ressten_rs-gentit_isaniaodg-intervento_mantovanim5s discusso anche in Senato] - perché, oltre ad affidare il controllo dei nostri dati a multinazionali straniere, comporta anche la rinuncia a sviluppare soluzioni e competenze locali basate su software libero. Il diverso comportamento del [https://poliflash.polito.it/in_ateneo/il_politecnico_digitale_al_via_con_successo_la_didattica_online Politecnico di Torino] indica che questa soluzione non è l'unica possibile. | ||
La nostra preoccupazione è stata accresciuta dal recentissimo [https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html studio] dell'European Data Protection Supervisor, riassunto da un [https://www.corriere.it/esteri/20_luglio_05/unione-europea-lancia-allarme-microsoft-ci-controlla-dati-4bebb408-bef7-11ea-8284-a1c7a3d7e6e0.shtml articolo sul Corriere della Sera] sulle condizioni d'uso dei prodotti e servizi Microsoft per le istituzioni dell'Unione Europea. Secondo questo studio, la Microsoft usa e sposta i dati dei funzionari e dei cittadini europei a sua discrezione, perché, entro un quadro contrattuale mutevole e vago: | La nostra preoccupazione è stata accresciuta dal recentissimo [https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html studio] dell'European Data Protection Supervisor, riassunto da un [https://www.corriere.it/esteri/20_luglio_05/unione-europea-lancia-allarme-microsoft-ci-controlla-dati-4bebb408-bef7-11ea-8284-a1c7a3d7e6e0.shtml articolo sul Corriere della Sera], sulle condizioni d'uso dei prodotti e servizi Microsoft per le istituzioni dell'Unione Europea. Secondo questo studio, la Microsoft usa e [https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html#data-location-transfers-and-disclosure sposta] i dati dei funzionari e dei cittadini europei a sua discrezione, perché, entro un quadro contrattuale mutevole e vago: | ||
* può modificare unilateralmente gli accordi di licenza | * può modificare [https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html#right-of-unilateral-amendment unilateralmente] gli accordi di licenza | ||
* l'ambito dei dati protetti è limitato | * l'ambito dei dati protetti è [https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html#limited-data-protection-obligations limitato] | ||
* i fini per i quali possono essere trattati sono indeterminati. | * i fini per i quali possono essere trattati sono [https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html#insufficient-purpose-limitation indeterminati].<ref>Per esempio con il Data Protection Addendum Microsoft autorizza se stessa a usare i dati personali per offrire una "personalized user experience" in quanto a suo parere ciò è incluso nella fornitura dei suoi servizi on-line, a dispetto del generale divieto di profilazione. E in generale la definizione di tale fornitura è così vaga da poter autorizzare l'azienda a ogni tipo di analisi di dati, compreso l'allenamento di sistemi impropriamente detti di "intelligenza artificiale ([https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html#insufficient-purpose-limitation 48-49]).</ref> | ||
Ciò considerato, preferiremmo che l'amministrazione centrale, fuori dall'emergenza, promuovesse software libero basato su ''cloud'' nazionali, per esempio coordinandosi con gli altri atenei per | Ciò considerato, preferiremmo che l'amministrazione centrale, fuori dall'emergenza, promuovesse l'uso e lo sviluppo di software libero [https://server-nexa.polito.it/pipermail/nexa/2020-July/018260.html basato su ''cloud'' nazionali,] per esempio coordinandosi con gli altri atenei per i [http://server-nexa.polito.it/pipermail/nexa/2020-June/018023.html servizi del GARR], ente pubblico senza scopo di lucro.<ref>Si vedano, in questa [https://www.youtube.com/watch?v=OCn51sTglhA recentissima conferenza], gli interventi di Massimo Carboni del Garr, che spiega fra l'altro (minuto 35) come il Poli.To ha realizzato la sua teledidattica basandosi su otto server fisici per l'uso di circa 20.000 studenti contemporaneamente.</ref> | ||
Se ciò | Se ciò rimanesse alieno alle scelte dell'amministrazione centrale, vorremmo almeno che per le attività istituzionali siano affiancate alle soluzioni proprietarie alternative libere. In particolare chiediamo: | ||
a. di riconoscere la facoltà dei docenti di far uso delle [https://www.garr.it/it/news-e-eventi/1656-videoconferenza-risorse-garr-per-l-emergenza-covid-19 risorse GARR] in quanto strumenti istituzionali gratuiti e basati su software libero (Jitsi), che tutelano la privacy e che permettono una pubblicità paragonabile a quella di esami e lezioni in presenza,, includendole fra quanto raccomandato dall'amministrazione; | a. di riconoscere la facoltà dei docenti di far uso delle [https://www.garr.it/it/news-e-eventi/1656-videoconferenza-risorse-garr-per-l-emergenza-covid-19 risorse GARR] in quanto strumenti istituzionali gratuiti e basati su software libero (Jitsi), che tutelano la privacy e che permettono una pubblicità paragonabile a quella di esami e lezioni in presenza,, includendole fra quanto raccomandato dall'amministrazione; | ||
b. riconoscere come un'opzione che i docenti possono liberamente scegliere la teledidattica asincrona, tramite registrazioni rese disponibili, sotto licenze da loro stabilite, su piattaforme pubbliche, quali Moodle e la Mediateca dell'università di Pisa, e tramite l'organizzazione di ricevimenti collettivi e seminari in sincrono in orari diversi | b. riconoscere come un'opzione che i docenti possono liberamente scegliere la teledidattica asincrona, tramite registrazioni rese disponibili, sotto licenze da loro stabilite, su piattaforme pubbliche, quali Moodle e la Mediateca dell'università di Pisa, e tramite l'organizzazione di attività in interazione con gli studenti durante gli orari di lezione oppure di ricevimenti collettivi e seminari in sincrono in orari diversi concordati con gli studenti. | ||
c. aggiornare l'istanza pisana di [https://unipibox.unipi.it OwnCloud] in modo che i docenti non siano obbligati a far ricorso ai ''cloud'' proprietari di Google e Microsoft se non desiderano farlo. | c. aggiornare l'istanza pisana di [https://unipibox.unipi.it OwnCloud] in modo che i docenti non siano obbligati a far ricorso ai ''cloud'' proprietari di Google e Microsoft se non desiderano farlo. | ||
d. rendere disponibili istanze locali di Jitsi o di Big Blue Button | d. rendere disponibili istanze locali di Jitsi o di Big Blue Button, sia per la teledidattica sia per ogni eventuale didattica mista | ||
e. rendere disponibile, per l'uso di tutti di docenti, un [https://www.mediawiki.org/ wiki] locale come quello che state leggendo ora. | e. rendere disponibile, per l'uso di tutti di docenti, un [https://www.mediawiki.org/ wiki] locale come quello che state leggendo ora. | ||
== Privacy == | == Privacy == | ||
Vorremmo che fosse resa disponibile ai consigli di dipartimento e di corso di studio la parte dei contratti con Microsoft e Google che regola la privacy degli utenti istituzionali (docenti e studenti iscritti all'università di Pisa) e no. | Vorremmo che fosse resa disponibile ai consigli di dipartimento e di corso di studio la parte dei contratti con Microsoft e Google che regola la privacy degli utenti istituzionali (docenti e studenti iscritti all'università di Pisa) e no. Sarebbe inoltre opportuno che l'ateneo informasse ufficialmente, nelle pagine web dedicate, studenti e docenti sull'uso delle opzioni "privacy" e "autorizzazioni" di Microsoft Teams. In generale, come possiamo pensare che queste multinazionali trattino l'università di Pisa con un rispetto maggiore di quello che riservano alle istituzioni europee?<ref>Si veda anche la recentissima [https://www.adnkronos.com/fatti/cronaca/2020/07/08/scuola-per-didattica-distanza-piu-prudente-registro-elettronico_AfhBTShfGK9z3JP2LvNWeM.html audizione] del garante della privacy italiano presso la Commissione parlamentare per l’infanzia e l’adolescenza: "Noi abbiamo posto il problema da un po' di tempo di una piattaforma pubblica italiana che si faccia carico di mettere insieme risorse e competenze; è bene che l'Italia si doti di una sua infrastruttura auspicabilmente nell’ambito di una cooperazione europea. Ma non possiamo vivere appoggiandoci alle piattaforme cinesi e americane di cui non sappiamo assolutamente niente."</ref> | ||
Non ci è chiaro, per esempio, se un esame svolto su MS Teams può aver luogo con la stesso grado di pubblicità e di privacy di un esame in presenza: gli utenti non iscritti all'università di Pisa, se | Non ci è chiaro, per esempio, se un esame svolto su MS Teams può aver luogo con la stesso grado di pubblicità e di privacy di un esame in presenza: gli utenti non iscritti all'università di Pisa, gli utenti ''non istituzionali'', se vogliono assistere a un esame come pubblico, devono registrarsi come utenti dei servizi Microsoft. In un esame in presenza, entro la capienza dell'aula, il pubblico assiste senza venir identificato e profilato, come non avviene per gli utenti Microsoft detti impropriamente "gratuiti" - cioè pagati in fasci di dati personali, pseudonimi o no ma comunque profilati. | ||
Gli utenti istituzionali dell'università di Pisa sono, come quelli delle organizzazioni europee, utenti ''business'': il documento sulle condizioni di privacy della Microsoft dovrebbe essere [https://privacy.microsoft.com/it-IT/privacystatement#mainnoticetoendusersmodule questo] - molto lungo, e mutato di recente. Ad esso sarebbe opportuno sovrapporre un documento breve e ragionevolmente stabile, perché chiunque, studenti compresi, abbia chiare le condizioni d'uso. Le licenze Creative Commons, per esempio, fanno così: | |||
https://creativecommons.org/licenses/by/4.0/ insiste su https://creativecommons.org/licenses/by/4.0/legalcode | |||
Perché ciascuno di noi, per avere un'idea di come vengono trattati i propri dati, deve essere un giurista specializzato in questioni di privacy, con l'aggravante che le condizioni che valgono per oggi possono cambiare domani perché la multinazionale americana ha alterato le sue condizioni d'uso? | |||
Quanto sopra vale a maggior ragione anche per Google. | |||
La situazione è stata ulteriormente aggravata dalla recente [https://fulviosarzana.nova100.ilsole24ore.com/2020/07/16/gdpr-la-corte-di-giustizia-ue-invalida-il-privacy-shield-con-gli-stati-uniti/ sentenza] della corte di giustizia europea sul ''privacy shield'' nei confronti degli USA: i dati europei trasferiti negli USA non sono affatto tutelati da una normativa equivalente al GDPR. E questo è un problema anche per noi, perché non possiamo sapere che cosa succede esattamente in un ''cloud'' proprietario. Di fatto, chi controlla l'''hardware'' può accedere (e copiare) i dati senza lasciare traccia; di diritto, la legislazione statunitense concede al governo [https://www.key4biz.it/le-big-tech-dopo-la-sentenza-schrems-ii-non-possono-rispettare-il-gdpr-anche-se-dicono-di-farlo-cosa-fare/317971/ ampia discrezionalità] nel richiedere dati personali alle aziende americane, anche se collocati in datacenter esteri. | |||
Versione attuale delle 14:07, 18 ago 2020
Software libero e piattaforme nazionali
L'amministrazione centrale ha promosso e sostenuto esclusivamente - per quanto concerne la teledidattica sincrona - piattaforme proprietarie private in mano a multinazionali che traggono buona parte del loro profitto dal cosiddetto capitalismo della sorveglianza. Questa scelta, forse in parte giustificabile in un momento d'emergenza, ha però conseguenze politiche e culturali gravi - tanto è vero che se ne è discusso anche in Senato - perché, oltre ad affidare il controllo dei nostri dati a multinazionali straniere, comporta anche la rinuncia a sviluppare soluzioni e competenze locali basate su software libero. Il diverso comportamento del Politecnico di Torino indica che questa soluzione non è l'unica possibile.
La nostra preoccupazione è stata accresciuta dal recentissimo studio dell'European Data Protection Supervisor, riassunto da un articolo sul Corriere della Sera, sulle condizioni d'uso dei prodotti e servizi Microsoft per le istituzioni dell'Unione Europea. Secondo questo studio, la Microsoft usa e sposta i dati dei funzionari e dei cittadini europei a sua discrezione, perché, entro un quadro contrattuale mutevole e vago:
- può modificare unilateralmente gli accordi di licenza
- l'ambito dei dati protetti è limitato
- i fini per i quali possono essere trattati sono indeterminati.[1]
Ciò considerato, preferiremmo che l'amministrazione centrale, fuori dall'emergenza, promuovesse l'uso e lo sviluppo di software libero basato su cloud nazionali, per esempio coordinandosi con gli altri atenei per i servizi del GARR, ente pubblico senza scopo di lucro.[2]
Se ciò rimanesse alieno alle scelte dell'amministrazione centrale, vorremmo almeno che per le attività istituzionali siano affiancate alle soluzioni proprietarie alternative libere. In particolare chiediamo:
a. di riconoscere la facoltà dei docenti di far uso delle risorse GARR in quanto strumenti istituzionali gratuiti e basati su software libero (Jitsi), che tutelano la privacy e che permettono una pubblicità paragonabile a quella di esami e lezioni in presenza,, includendole fra quanto raccomandato dall'amministrazione;
b. riconoscere come un'opzione che i docenti possono liberamente scegliere la teledidattica asincrona, tramite registrazioni rese disponibili, sotto licenze da loro stabilite, su piattaforme pubbliche, quali Moodle e la Mediateca dell'università di Pisa, e tramite l'organizzazione di attività in interazione con gli studenti durante gli orari di lezione oppure di ricevimenti collettivi e seminari in sincrono in orari diversi concordati con gli studenti.
c. aggiornare l'istanza pisana di OwnCloud in modo che i docenti non siano obbligati a far ricorso ai cloud proprietari di Google e Microsoft se non desiderano farlo.
d. rendere disponibili istanze locali di Jitsi o di Big Blue Button, sia per la teledidattica sia per ogni eventuale didattica mista
e. rendere disponibile, per l'uso di tutti di docenti, un wiki locale come quello che state leggendo ora.
Privacy
Vorremmo che fosse resa disponibile ai consigli di dipartimento e di corso di studio la parte dei contratti con Microsoft e Google che regola la privacy degli utenti istituzionali (docenti e studenti iscritti all'università di Pisa) e no. Sarebbe inoltre opportuno che l'ateneo informasse ufficialmente, nelle pagine web dedicate, studenti e docenti sull'uso delle opzioni "privacy" e "autorizzazioni" di Microsoft Teams. In generale, come possiamo pensare che queste multinazionali trattino l'università di Pisa con un rispetto maggiore di quello che riservano alle istituzioni europee?[3]
Non ci è chiaro, per esempio, se un esame svolto su MS Teams può aver luogo con la stesso grado di pubblicità e di privacy di un esame in presenza: gli utenti non iscritti all'università di Pisa, gli utenti non istituzionali, se vogliono assistere a un esame come pubblico, devono registrarsi come utenti dei servizi Microsoft. In un esame in presenza, entro la capienza dell'aula, il pubblico assiste senza venir identificato e profilato, come non avviene per gli utenti Microsoft detti impropriamente "gratuiti" - cioè pagati in fasci di dati personali, pseudonimi o no ma comunque profilati.
Gli utenti istituzionali dell'università di Pisa sono, come quelli delle organizzazioni europee, utenti business: il documento sulle condizioni di privacy della Microsoft dovrebbe essere questo - molto lungo, e mutato di recente. Ad esso sarebbe opportuno sovrapporre un documento breve e ragionevolmente stabile, perché chiunque, studenti compresi, abbia chiare le condizioni d'uso. Le licenze Creative Commons, per esempio, fanno così:
https://creativecommons.org/licenses/by/4.0/ insiste su https://creativecommons.org/licenses/by/4.0/legalcode
Perché ciascuno di noi, per avere un'idea di come vengono trattati i propri dati, deve essere un giurista specializzato in questioni di privacy, con l'aggravante che le condizioni che valgono per oggi possono cambiare domani perché la multinazionale americana ha alterato le sue condizioni d'uso?
Quanto sopra vale a maggior ragione anche per Google.
La situazione è stata ulteriormente aggravata dalla recente sentenza della corte di giustizia europea sul privacy shield nei confronti degli USA: i dati europei trasferiti negli USA non sono affatto tutelati da una normativa equivalente al GDPR. E questo è un problema anche per noi, perché non possiamo sapere che cosa succede esattamente in un cloud proprietario. Di fatto, chi controlla l'hardware può accedere (e copiare) i dati senza lasciare traccia; di diritto, la legislazione statunitense concede al governo ampia discrezionalità nel richiedere dati personali alle aziende americane, anche se collocati in datacenter esteri.
- ↑ Per esempio con il Data Protection Addendum Microsoft autorizza se stessa a usare i dati personali per offrire una "personalized user experience" in quanto a suo parere ciò è incluso nella fornitura dei suoi servizi on-line, a dispetto del generale divieto di profilazione. E in generale la definizione di tale fornitura è così vaga da poter autorizzare l'azienda a ogni tipo di analisi di dati, compreso l'allenamento di sistemi impropriamente detti di "intelligenza artificiale (48-49).
- ↑ Si vedano, in questa recentissima conferenza, gli interventi di Massimo Carboni del Garr, che spiega fra l'altro (minuto 35) come il Poli.To ha realizzato la sua teledidattica basandosi su otto server fisici per l'uso di circa 20.000 studenti contemporaneamente.
- ↑ Si veda anche la recentissima audizione del garante della privacy italiano presso la Commissione parlamentare per l’infanzia e l’adolescenza: "Noi abbiamo posto il problema da un po' di tempo di una piattaforma pubblica italiana che si faccia carico di mettere insieme risorse e competenze; è bene che l'Italia si doti di una sua infrastruttura auspicabilmente nell’ambito di una cooperazione europea. Ma non possiamo vivere appoggiandoci alle piattaforme cinesi e americane di cui non sappiamo assolutamente niente."