Registro Elettronico

La scuola di mio figlio utilizza come registro elettronico Nuvola di Madisoft. Come ormai molti sanno sono altamente critico sul software sviluppato in PHP, a parte per il linguaggio in sé, quanto per la bassa professionalità in genere degli sviluppatori che lo utilizzano. Non metto in dubbio la qualità del codice prodotto da Madisoft e questo sia chiaro, voglio solo esprimere dei dubbi in merito al sistema.

Nella fase di login del registro elettronico trovo un controllo di accesso a captcha e nello specifico reCaptcha. reCaptcha è un servizio di Google e come la maggior parte dei servizi di Google profila le chiamate. Lo dichiara Google stessa di fare esperimenti su reCaptcha (https://techcrunch.com/2012/03/29/google-now-using-recaptcha-to-decode-street-view-addresses/). Dalle FAQ su reCaptcha si legge chiaramente che può analizzare il traffico (https://developers.google.com/recaptcha/docs/faq) e fornire dati aggregati all'amministratore del portale. La domanda quindi è chi è l'amministratore del portale che le scuole usano? Le stesse scuole o Madisoft?

Controllando il codice della pagina di login si nota come sia presente il blocco di attivazione di Google Analytics in modalità IP anonimo (questo per non incorrere nell'obbligo di comunicazione di profilazione utenti al garante della privacy). Una volta entrati la pagina che accoglie l'utente continua a contenere il medesimo codice ed inoltre un altro per l'attivazione di un 'web-beacon' che innesca un servizio presso il dominio bam.nr-data.net. Da una consultazione veloce tramite un whois si può scoprire che il dominio nr-data.net è di proprietà di una azienda di nome New Relic (https://newrelic.com/) con indirizzo 188 Spear St Suite 1200 - San Francisco - US, CA. New Relic spiega cosa sia il dominio bam.nr-data.net qui: https://discuss.newrelic.com/t/what-is-bam-nr-data-net/13848/2 e dice che serve per il loro Browser Monitoring (https://newrelic.com/browser-monitoring)(https://docs.newrelic.com/docs/browser/new-relic-browser/getting-started/new-relic-browser). Dopo una veloce analisi di alcune pagine interne si trova come contengano tutte il medesimo codice. A cosa serve questo tracciamento in un servizio come un registro elettronico di una scuola?
Questi tracciatori poi, dovrebbero essere segnalati da una adeguata informativa come dalle recenti disposizioni date dal Garante sulla Privacy e da un banner che informa il visitatore: http://garanteprivacy.it/cookie, http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884, http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878.

Andando sul sito Madisoft a parte la segnalazione del premio Cloud Innovation Award (che è segnalato anche nella schermata di login del registro elettronico e quindi pubblicità diretta di una software house da parte delle scuole che lo usano con secondo me conseguente abuso di posizione) ed altre cose si nota il link ad un caso di studio di Seeweb un provider di soluzioni cloud italiano. Seguendo il link (https://blog.seeweb.it/software-nuvola-il-retroscena-di-un-caso-di-successo/) si potrà leggere una pagina in cui si dice che esiste un caso di studio e che il software Nuvola poggia su di loro. Il link al caso di studio è errato e porta ad una pagina dove non può essere trovato (https://www.seeweb.it/help-desk/le-nostre-guide), pagina che invece propone documenti su come sia conveniente passare al cloud e specialmente a quello Seeweb. In fondo questo link era presente nel blog di Seeweb quindi accettabile nei contenuti (l'azienda pubblicizza se stessa), il problema è la provenienza.

Per trovare il caso di studio bisogna spulciare il sito Seeweb ed alla fine si arriva a questa pagina (il link è in basso: community/casi di successo): https://www.seeweb.it/community/casi-di-successo. L'ultimo dei tre è: Case Study sul "Registro Elettronico Nuvola" di Madisoft. Provando a scaricare il 'case study' abbiamo un errore 404, ovvero pagina non trovata. Il caso può essere reperito in rete qui: http://exploredoc.com/doc/1912772/-registro-elettronico-nuvola- e http://docplayer.it/6497860-Registro-elettronico-nuvola-settembre-2014-case-study-sul-di-madisoft.html.

Conoscevo già l'esistenza di Seeweb e dei suoi datacenter, ma per sicurezza ho rinfrescato la memoria. Su questa pagina: https://www.seeweb.it/data-center/i-nostri-data-center si può controllare quali siano i loro datacenter dichiarati e i nomi dei loro fornitori di connettività.

Per quello che riguarda le regole di contratto del cloud Seeweb pososno essere consultate qui: https://www.seeweb.it/azienda/condizioni-generali.

A questo punto è chiaro come ci sia una catena: scuola pubblica -> Madisoft -> Seeweb. Se la scuola non paga, Madisoft stacca ma se Madisoft non paga Seeweb stacca. I dati in caso di controversia di chi sono? Della scuola, di Madisoft o di Seeweb? Quali sono gli accordi di licenza delle parti?

Sul sito Madisoft (https://scuoladigitale.info/) ci sono tre documenti sulla policy dei dati. Nel primo e secondo (https://nuvola.madisoft.it/marketing/privay-policy) è descritta la policy Madisoft in cui si dichiara che:

"Risoluzione dei contratti e fruibilità dei dati

In caso di risoluzione del contratto da parte della scuola del servizio Nuvola, Madisoft SpA garantisce l'accesso ai dati e la fruizione del servizio da parte dell'utente per un ulteriore periodo di un mese dalla data di risoluzione e il mantenimento dei dati per un ulteriore periodo di un anno, al termine del quale i dati vengono rimossi dai server di produzione e dalle copie di backup. L’istituzione scolastica può in qualsiasi momento della durata del contratto in essere con Madisoft SpA effettuare proprie copie di back-up in formati intellegibili (csv e/o pdf)."

Si legge verso la fine: "Impegno del Cliente: I Clienti devono assicurare che i dati personali trasmessi a Madisoft SpA sono trattati dal Cliente stesso in maniera lecita e corretta".

Nel registro elettronico della scuola gli studenti vengono iscritti, mi pare, senza esplicito consenso dei genitori (ma se questa è la legge…).

Il terzo documento invece non si trova al link indicato (https://nuvola.madisoft.it/modulistica/dps-seeweb.pdf).

Si può leggere la policy direttamente da sito web Seeweb: https://www.seeweb.it/privacy. È il solito documento generico sul trattamento dei dati e sui cookies che vi consiglio di leggere.

Sono sicuro che sia Madisoft che Seeweb siano aziende degne di rispetto e che al loro interno lavorino persone di elevata professionalità, però questa catena è un po' poco chiara.

Le scuole dovrebbero indicare chiaramente quale sia il loro contratto in essere con le software house da cui si riforniscono e le stesse fornire alle scuole documentazione tecnica dei loro software. In caso di terzi come in questo caso, anche il terzo dovrebbe partecipare alla definizione di questi documenti.

Un genitore, indipendentemente dalla sua preparazione o cultura deve essere in grado di poter accedere liberamente a questi documenti e poterli analizzare, da solo o con aiuto di terzi, per poterli valutare.

Sarebbe amministrazione trasparente. [m]