Web Analytics Italia - trasferimenti verso Amazon Web Service

Abbiamo ricevuto una segnalazione da parte di MonitoraPA in merito a trasferimenti sistematici di dati personali verso Amazon Web Service, Inc., dovuti all’utilizzo di Web Analytics Italia. Secondo quanto riportato nella segnalazione, AgID ha recentemente affidato l’esecuzione di questo servizio ai server di Amazon. Ci invitano quindi ad adempiere agli obblighi di legge in materia di trattamento dei dati personali, dismettendo il servizio Web Analytics Italia.

Su Web Analytics Italia - FAQ - Domande frequenti si dichiara
“Il progetto WAI non raccoglie dati personali, ad eccezione dell’indirizzo IP per il quale è prevista l’anonimizzazione. Maggiori informazioni sono disponibili nella pagina dedicata alla privacy.”

Su Web Analytics Italia - Informativa sul trattamento dei dati personali si fa riferimento solo alle " le modalità di trattamento dei dati personali degli utenti che consultano il presente sito web", e non ai dati raccolti.

AgID è al corrente della segnalazione? ritiene che sia possibile dare un riscontro di valore generale?
Siamo passati (in tanti) a WAI per risolvere il problema legato all’utilizzo degli strumenti Google Analytics.

Buongiorno,
confermo che anche noi abbiamo ricevuto analoga segnalazione. Sottoscrivo pienamente la richiesta di @Giulia_Bimbi che venga data una risposta generale ufficiale da parte di AGID.

Salve a tutti,

anche ad un nostro cliente PA è arrivata la segnalazione di Monitora PA, concordiamo che AGID dovrebbe comunicare un chiarimento, sembra ci sia stato un cortocircuito … anche a se nostro avviso MonitoraPA sta cominciando ad “esagerare” po’. In questo caso infatti non ci sarebbe un Big G che incrocerebbe i dati per identificare gli utenti e trarne profitto.

A parte tutto speriamo in un chiarimento a breve.

Buongiorno, anche qui (per quanto riguarda l’Unione Montana Barge Bagnolo) è arrivato l’avviso, prevedo che a breve arrivi anche per il Comune.

Giampiero

Abbiamo ricevuto anche noi identica diffida da parte di Monitor Pa, che ci invita ad imporre ad AgID - Agenzia per l’Italia Digitale la sostituzione del servizio di Web Analytics Italia con altro fornitore. In attesa di una comunicazione sull’argomento da parfte di AgID, abbiamo girato la questione al nostro DPO e ai tecnici informatici.

Salve a tutti, sono Giacomo Tesio, firmatario della segnalazione che avete ricevuto.

Ovviamente, anche perché AgID stessa, sul proprio sito web, utilizza Web Analytics Italia e ha dunque ricevuto la vostra stessa PEC.

Ed avete fatto benissimo!

Per quanto ne sappiamo, all’epoca Web Analytics Italia era eseguito da server sotto il pieno controllo di AgID, tant’è che noi stessi consigliammo di risolvere il problema adottando WAI (per la prima ed ultima volta, perché fummo subito accusati di fare SPAM per aver osato menzionare la piattaforma di AgID.

Purtroppo da allora il servizio è stato spostato su server di Amazon Web Service, Inc, società statunitense che ripropone le stesse problematiche legali poste da Google LLC.

Noi abbiamo scritto ai Titolari del Trattamento (Data Controller): AgID in questo caso ricopre il ruolo di Responsabile del Trattamento (Data Processor) e Amazon Web Service, Inc di Sotto-responsabile del Trattamento (Subprocessor) (eccetto, ovviamente che per il sito di AgID stesso, di cui AgID è Titolare).

Ai sensi del GDPR è sempre il Titolare del Trattamento che deve rispondere dei trattamenti compiuti da ciascuno dei Responsabili (e Sottoresponsabili, ricorsivamente) cui affida i dati personali di cittadini europei.

Dunque dubito che AgID possa rispondere al posto dei singoli Titolari.

Anzitutto il problema segnalato riguarda il trasferimento transfrontaliero di dati personali in chiaro ad una società soggetta a normative incompatibili con i diritti fondamentali dei cittadini europei, come stabilito dalla Corte di Giustizia Europea nella sentenza Schrems II.

E’ ben vero che, anche in presenza di un nuovo accordo internazionale, l’uso dei servizi di Google per trattare dati personali di terze parti costituirebbe comunque una violazione dell’articolo 25 del GDPR in quanto Google dichiara espressamente nella propria informativa privacy di utilizzare i dati personali raccolti per finalità che esulano dalla mera erogazione del servizio, come sviluppare nuovi prodotti e personalizzare la propria offerta:

image803×611 38 KB

Tuttavia anche Amazon fornisce servizi del tutto analoghi a quelli forniti da Google sul suo sito e altrove.

Amazon ha dunque tutto l’interesse e la capacità tecnica di identificare e profilare ogni visitatore dei vostri siti web.

ATTENZIONE: questa è solo una delle possibilità. Come Titolari del Trattamento, potete comunque imporre ad AgID di risolvere il problema, sostituendo Amazon Web Service con un altro fornitore, italiano o europeo, riportando il servizio su data center propri etc… il tutto in modo del tutto trasparente (una volta installato e configurato il servizio, sarà sufficiente che AgID aggiorni il record DNS e non ci sarà alcun disservizio)

@Giacomo_Tesio

Gentile Giacomo,

(scusa se ti do del tu), premesso che sono solo un semplice piccolo imprenditore privato, sinceramente all’inizio apprezzavo il vostro sforzo per la sensibilizzazione della problematica della gestione/trattamento dei dati delle piattaforme della PA, ma scuami se ora mi ti dico che mi sembra che si stia esagerando un po’.

A parte disquisire (e sicuramente ti mi potrai insegnare qualcosa) sul fatto che i dati, anonimizzati etc …, passando dalla piattaforma di matomo di webanalytics italia su hosting aws eu sud 1, possano finire effettivamente in mano ad amazon per identificare o tracciare dati personali,
secondo me sarebbe stato meglio fare questa “segnalazione” direttamente allo staff di webanalytics Italia e non chiamare in causa, anche se come indicato era il modo formalmente più corretto, tutti i titolari del trattamento dei vari siti PA.
In questo modo si genererà un loop di segnalazioni che non è detto che sia il modo migliore per raggiungere il risultato.

Scusate lo sfogo ma ormai stare dietro a queste, per carità giuste, segnalazioni sembra sempre più un corsa senza traguardo.

Salve!

Io ho fatto un sempplice PING ed un TRACERT utilizzando un semplice PC con Windows 10, connesso alla rete della mia azienda che usa WAI…

gli indirizzi IP dei servers di AMAZON usati dal WAI del nostro sito aziendale corrispondono a SERVER di proprietà di Amazon ma tutti RESIDENTI in ITALIA e non negli USA, quindi penso risolta la questione dela trasferimento dati extra-UE.

grazie molte e saluti.

GP

Salve Giovanna,

non credo che questo risolva il problema visto che se l’Azienda è comunque USA debba comunque rispettare le relative normative, fra cui quelle indicate nella PEC di MonitoraPA:

Inoltre l’AWS Data Processing Addendum [^5] che integra l’AWS Customer Agreement [^6]
dichiara esplicitamente di rispettare le normative statunitensi cui
Amazon Web Services, Inc (parte dell’accordo, come indicato in premessa) è sottoposta:

• al punto 1.4, chiarendo che ogni sottoscrittore rispetterà “tutte le leggi,
  le regole e i regolamenti ad esso applicabili e per esso vincolanti”
• al punto 3, chiarendo che “_AWS non accederà, utilizzerà o rivelerà a terze
  parti i dati del cliente eccetto che per rispettarle la legge o un ordine
  valido e vincolante di un’agenzia governativa. […]”.
  Inoltre AWS dichiara che “_se costretta a rivelare dati del cliente ad una
  agenzia governativa, AWS darà al cliente una ragionevole notifica della
  richiesta […] a meno che ciò non sia vietato dalla normativa in questione.”

Salve Giovanna,

ahimè temo che non sia così semplice.

Nella DPA allegata ai termini contrattuali offerti da Amazon Web Service Inc si dichiara espressamente di rispettare le normative cui AWS è sottoposta.

Fra queste c’è il CLOUD Act che permette a qualsiasi agenzia governativa di esigere da Amazon i dati di qualsiasi cittadino europeo, ovunque si trovino.

D’altro canto, quand’anche AgID avesse strappato ad Amazon termini contrattuali che non includessero tale esplicita dichiarazione, la Legge prevale sempre sui contratti (per il semplice fatto che la validità dei contratti si basa su norme di legge), quindi Amazon non potrebbe rifiutare i dati neanche se volesse (e comunque probabilmente non vuole).

Dal punto di vista tecnico, se costretta dalla normativa statunitense, Amazon può facilmente prelevare i dati segretamente dai propri data center europei senza nemmeno richiedere la collaborazione del personale presente fisicamente lì: tutto il software eseguito da ciascuna delle filiali è sviluppato e distribuito dagli USA, ed è sufficiente un aggiornamento che prelevi i dati ed elimini eventuali evidenze prima del riavvio dei servizi.

Salve!

Nella mail di monitorPA, NON viene detto che i server , di proprietà di Amazon, che WAI utilizza, sono in Italia. Nella mail viene solo consigliato di usare “un servizio presente in rete” per fare i controlli.

Secondo il mio modesto parere di semplice tecnico di rete, cioè io non sono una responsabile GDPR ma solo una semplice tecnica addetta alla rete, secondo il mio modesto parere e leggendo anche le risposte di Pecorelli e Tesio, il trasferimento dei dati extra-UE non è certo, anzi, è solo legato ad una serie di cavilli nei vari contratti.

Quindi di certo sappiamo che i server di proprietà AMAZON che WAI utilizza NON SONO fuori dalla UE ma sono proprio in Italia! e questo, ripeto, NON è assolutamente indicato nel testo di monitorPA.

Quindi al momento NON E’ DIMOSTRATA nessuna fuoriuscita di dati verso gli USA.

Il resto sono al momento cose legaloidi che io non posso verificare perchè non rientrano nelle mie competenze per questo il nostro resposabile ha aperto una opportuna richiesta al nostro DPO.

saluti

GP

E’ vero: non abbiamo scritto che il server che riceve i dati si trova a Milano semplicemente perché, sia da un punto di vista legale che tecnico, è un aspetto del tutto irrilevante.

Dal punto di vista legale infatti, il subresponsabile del trattamento risulta essere comunque Amazon Web Service, Inc e dal punto di vista tecnico, chi controlla il software che accede ai dati registrati ha inevitabilmente accesso a tali dati.

Quanto al fatto che il trasferimento sia già avvenuto o meno, è ovviamente irrilevante: il GDPR assegna a ciascun Titolare il compito di proteggere quei dati personali rendendo tecnicamente impossibili tali trasferimenti e selezionando esclusivamente cloud service provider che possono effettivamente garantire il rispetto della normativa e dei diritti dei cittadini europei.

AWS non può, perché la normativa cui è sottoposta negli States glielo impedisce.

Tant’è che lo European Data Protection Board, nelle raccomandazioni del 17 gennaio 2023 sugli obblighi della PA nella selezione dei fornitori di servizi cloud ha chiarito che:

It stems from the analysis made by the authorities that the sole use of a CSP that is part of a
multinational group subject to third country laws may result in the concerned third country laws also applying to data stored in the EEA.

(pagina 19)

Salve Leonardo, piacere di conoscerti.

Ahimè, pur comprendendo la fatica, temo che non abbiamo alternative.

Come tu stesso rilevi, da un punto di vista legale, non potremmo agire diversamente da come agiamo.

Contrariamente a quanto si pensi, le nostre PEC seguono una prassi consolidata nelle segnalazioni di illeciti alle Pubbliche Amministrazioni che ne sono responsabili, ideata per tutelare i funzionari che ne rispondono legalmente.

Infatti, se una PA sana prontamente un illecito non appena ne viene a conoscenza su segnalazione di un comune cittadino, fatte salve eventuali responsabilità penali, il legale rappresentante non può più essere chiamato a risponderne. Può infatti sostenere di non essere stato a conoscenza dell’illecito fino alla data della segnalazione (la PA è una macchina estremamente complessa).

Per contro, se la PA non sana prontamente l’illecito segnalato, il legale se ne assume pienamente la responsabilità, non potendo più sostenere di non esserne stato a conoscenza.

Come mi hanno spiegato gli avvocati che collaborano al progetto Monitora PA, questa prassi persegue due scopi: minimizzare la durata dell’illecito e minimizzare i rischi per la PA.
Se il funzionario sana prontamente l’illecito, si minimizza la durata; se non lo sana, si minimizza il rischio per la PA, che potrà rifarsi sul legale rappresentante per sanzioni, risarcimenti e via dicendo.

Il nostro intento, ovviamente è sanare questa forma di illegalità diffusa in questo Paese, che danneggia milioni di italiani i cui dati personali sono utilizzati per manipolarne in vario modo il comportamento, riducendone la libertà e svuotando di significato la nostra Democrazia.

In realtà il traguardo è piuttosto vicino: basta bonificare i propri sistemi informativi, sostituendo i servizi statunitensi (o russi o cinesi o…) con analoghi servizi europei.

E questo non vale solo per le PA, ma per qualsiasi organizzazione che tratti dati personali, pubblica o privata.

Per la PA è però più semplice, perché oltre al GDPR, la normativa vigente include il CAD al cui articolo 68 si impone l’utilizzo di software libero o opensource ovunque sia tecnicamente possibile (stabilendo la necessità di una accurata valutazione comparativa che dimostri tale impossibilità tecnica prima di scegliere un software o un servizio proprietario).

E le alternative sono innumerevoli, come mostrato recentemente in un incontro organizzato per 150 scuole dal Provveditorato di Vicenza e dall’Intendenza Scolastica di Bolzano: PNRR e Scuola 5.0. Consigli per investimenti rispettosi di CAD e GDPR.

Il capitalismo di sorveglianza è un cancro.
L’Italia, purtroppo, è piena di metastasi.

La guarigione è difficile e faticosa.
Ma l’alternativa è peggiore!

@Giacomo_Tesio resta però il fatto che Amazon Web Services risulta essere un provider certificato i cui servizi sono disponibili su ACN Cloud Marketplace: https://catalogocloud.acn.gov.it/show/all?searchType=IaaS che ricordo essere il catalogo da cui obbligatoriamente le pa devono scegliere i servizi cloud. Se da un lato la stessa ANC certifica che AWS è idoneo ad ospitare i dati della PA come si può chiedere alla stessa AGID di cambiare provider?

Oh ma ACN ha fatto benissimo a qualificare (non “certificare”) Amazon Web Services!

La PA ha molte esigenze diverse: per analizzare dati sismici o meteorologici AWS è un’ottima soluzione!
Oppure se devi storare dati personali cifrati con una chiave indisponibile ad Amazon e cambiata ad ogni scrittura, sebbene estremamente più costoso di molte altre alternative, rimane comunque un servizio legittimo che può fornire un valore aggiunto quando scalabilità istantanea e latenza ridotta da qualsiasi punto del pianeta sono requisiti indispensabili all’applicazione.

Insomma, tutto dipende da come lo usi.

In questo caso specifico, però, AWS sta ricevendo gigabyte di dati personali in chiaro ogni giorno da chiunque visiti una pagina web delle PA che adottano WAI, sia essa un ministero, un ospedale, una scuola etc…

Il GDPR in merito è cristallino:

the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.

Un fornitore che è adatto ad un certo tipo di trattamento, può non esserlo per un altro.

Per questo è responsabilità del Titolare (la PA, nella persona del suo legale rappresentante) selezionare all’interno del MarketPlace ACN il fornitore adatto allo specifico trattamento che vuole effettuare.

E non dubito che per alcuni AWS sia la scelta ideale.

Per questo, no.

Ciao Giacomo,

comprendo tutte le risposte che hai dato ma scusami continuo a non condividerle, nel caso di GA3 (Goolge Universal Analytics) potevo essere d’accordo con te ma in questo caso si tratta del servizio cloud di Amazon AWS la cui finalità non è (credo) identificare e tracciare dati personali, ripeto che a mio avviso era meglio ingaggiare un canale più diretto con AgID considerato che il vostro collettivo ha tutta la forza e l’esperienza per farlo.

Oltre a quanto giustamente segnalato da
@cristianorevil

queste PEC e segnalazioni su “illegalità diffusa” a mio avviso creano dei cortocircuiti “istituzionali” che rischiano di fare ulteriore confusione.

scusa l’ignoranza ma su ACN non ho trovato differenze fra certificazione e qualificazione ma solo i vari livello di qualificazione:

le certificazioni sono relative ai vari livelli di qualificazione (sopra il QC1, QC2, ne ho trovati solo 2 …) , e comunque a questo punto per capire se un servizio Cloud è idoneo a quello che devo realizzare mi serve comunque una valutazione legale che mi aiuti a comprendere se il tutto è GDPR compliant, fermo restando che il topic è sempre relativo a dati statistici di un sito web e che i Gb che arrivano ad AWS “dovrebbero” essere sempre anonimizzati (come già ribadito da @Giulia_Bimbi).

Detto questo, per quanto mi compete la vostra richiesta verrà giustamente presa in carico e gestita dal DPO, considerato che è legittima e formulata in modo corretto, ma ribadisco che secondo me era meglio un altro modo.

Grazie

Penso che a questo punto l’unica soluzione sia interessare un Ente di livello superiore, come ad esempio l’Avvocatura dello Stato, e chiedere formalmente un parere in merito alla questione.
Chi è “nell’ambiente” sa bene che moltissime PA Centrali utilizzano questo tipo di servizi forniti da società extra UE.

Non possiamo di certo lavorare alla mercé di di qualunque segnalazione arrivi al protocollo.

In effetti, aggiornando la DPIA effettuata per WAI alla luce della mutata situazione tecnologica, potreste chiedere una consultazione preventiva al Garante per la Protezione dei Dati Personali.

image800×569 97.1 KB

mi pare evidente che il garante privacy non si esprimerà mai in merito alla questione, almeno in un tempo utile a dirimerla. Altrimenti lo avrebbe fatto mesi e mesi fa.
Credi davvero che non ci sia stata interlocuzione tra AGID e GPDP prima di migrare ad AWS?

La questione è squisitamente politica. Non si risolve con due pec e nemmeno investendo AGID con migliaia di richieste.

Salve!

La questione dei “servizi di cloud” che è stata sottolineata da qualcuno mi sembra che confermi ancora una volta la mia tesi.

Se poi questi servizi sono anche stati in qualche modo certificati io non vederei dove sia la possibilità uscita dei dati extra-UE.

HO capito che c’è una possibilità, una teorica possibilitò che AMAZON possa traferire i dati dai suoi servers in UE ai suoi servers in USA, ma è solo una teorica possibilità, basta sulla interpretazione di alcuni regolamenti.

Ripeto che io, per mia competenza, non ho la capacità nè la possibilità di avere sotto mano tutti i regolamenti perchè, come detto da qualcuno, alcuni contratti potrebbero prevedere o innescare altri aspetti giuridici, Non è il mio campo e mi astengo.

Nondimeno il nostro fornitore di servizi di cloud NON ha la possibilità di vedere i nostri server in CHIARO, cioè tutti i dati di tutti i nostri servers, sia applicativi che di database, sono criptati e solo noi li possiamo vedere in chiaro.

nota: il nostro fornitore è ditta italiana che ha servers solo in Italia.

Quindi anche AMAZON, come fornitore di servizi di cloud, non ha la possibilità di leggere i dati contenuti nei servers in gestione da WAI. Ha la possibilità di trasferire tali dati su servers extra-UE ma non di leggerli in chiaro.

Per le mie competenze e per la pratica del cloud che conosco tale possibilità non c’è.
E ribadisco che i servers Amazon in questione sono residenti in Italia.

saluti

GMG