per “servizi cloud” tu non intenda esclusivamente storage cifrato cui gli utenti accedono esclusivamente attraverso un proxy (impedendo al tuo fornitore di vedere l’IP degli utenti)
il tuo fornitore non abbia trovato un modo efficiente di effettuare crittografia omomorfica (nel qual caso, da domani fa chiudere Amazon, Google e Microsoft con la propria concorrenza spietata)
la tua affermazione è tecnicamente impossibile.
Ottimo!
Questo mette al sicuro i dati personali che gli affidate dall’ingerenza di potenze straniere (siano esse governative o private).
Immagina di gestire un’attività commerciale e di affittare uno spazio dove conservi importanti documenti in una cartella cartacea. Il proprietario dello spazio ha le chiavi e potenzialmente potrebbe entrare di notte e leggere tutto il contenuto della cartella.
Nella metafora, lo spazio e il suo proprietario rappresentano il servizio a cui ti affidi. È naturale che abbiano accesso agli stessi documenti, altrimenti come potrebbero offrirti lo stesso livello di accesso?
La situazione sarebbe diversa se i documenti fossero crittografati, ovviamente.
Sì. Un modo per accedere ai dati è quello di fare l’accesso diretto alla memoria RAM della VM. Sicuramente i vostri database hanno bisogno di poter vedere i dati in chiaro (ad esempio per fare una SELECT) e quindi, per accederci, hanno bisogno di decriptare in memoria i dati criptati.
Che in memoria RAM i dai possano essere in chiaro non dovrebbe essere inerente al topic dei dati personali che finiscono in paesi extra-UE.
Cerco di ricapitolare quello che mi sembra di aver capito:
WAI utilizza un servizio di cloud di AMAZON
tale servizio di cloud è su server, di proprietà Amazon, che
risiedono in Italia, cioè entro la UE
Amazon teoricamente potrebbe, a livello di regolamenti (o norme)
trasferire tali dati nei suoi servers exrta-UE (che siano in USA o in Russia
questo non conta)
però i dati di WAI sono criptati e sono in chiaro solo nelle memoria RAM
del server dove risiede la VM di proprietà di WAI all’interno dello spazio dedicato all’interno
dei servers di Amazon in Italia
c’è da annotare che tali dati dovrebbero essere anoniminizzati dal sistema
che WAI utilizza, sempre nel rispetto di norme e regolamenti e sopratutto
nelle “best pratices”
Quindi i “rischi” di elusione della GDPR della mail che monitorPA ha mandato a molti enti italiani che utilizzano WAI per i loro siti sembra altamente aleatorio e legato forse anche ad una lettura della RAM che forse potrebbe anche risultare se non illegale però rischiosa per Amazon a livello probabile mancato rispetto delle noemre contrattuali.
Ricordo che essere prudenti e prevedere ed eliminare anche i rischi “aleatori” è una buona pratica ed io ringrazio monitorPA per il loro lavoro e per la segnalazione.
Però al momento ed allo stato delle informazioni che abbiamo possiamo dire con sufficiente
sicurezza che è molto improbbaile che tali dati finiscano fuori dalla UE, considerato che i servers
risiedono in Italia e che per la lettura dei dati da parte di Amazon, pur possibile a livello di
norme, è altamente improbabile a livello contrrattuale e delle best praticies che sicuramente
WAI avrà adottato.
Riassumo ancora:
server residenti in Italia
VM crittografate quindi in chiaro solo in RAM
dati probabilmente già anonimizzati all’origine
trasmissione in paesi extra-UE (USA o Russia o Cina ecc)
aleatroria ed anche molto probabilmente contraria
alle norme contrattuali [1]
[1] non conosciamo i termini di contratto fra WAI ed Amazon ma possiamo ragionevolmente immaginare che ci siano scritte tutele del trattamento dei dati alla luce della normativa
europea GDPR … cioè io do credito ai tecnici WAI di conoscere le problematiche relative alla GDPR
quindi nel ringraziare monitoPA per la segnalazione devo però anche dire che la propabilità di espertzaione di dati verso paesi extra-UE sia altamente improbabile e forse anche non possibile.
Come detto noi abbiamo già interrogato il nostro DPO in merito.
Buongiorno a tutti, sono RTD in un piccolo ente che, come credo quasi tutti, ha ricevuto la segnalazione oggetto della discussione.
Abbiamo un DPO interno e lo dovremo pure coinvolgere, ma temo che al 99% la risposta sarà: ‘se c’è rischio di esportazione dati verso paesi extra-UE smontiamo tutto’.
La mia domanda è: ci affrettiamo a smontare WAI o attendiamo novità da parte di Agid? Aprire la segnalazione verso l’agenzia mi pare piuttosto inutile, considerato che sarà già sommersa di comunicazioni
Giacomo Tesio, tu dici che (in teoria giustamente) è il titolare che si deve preoccupare di dove vanno a finire i dati dei propri utenti, e che quindi non sarebbe AGID a dover rispondere a questo, ma come la mettiamo quando abbiamo un Piano triennale che ci dive che DOBBIAMO andare su webanalytics italia, pur non essendo un vero e proprio obbligo di legge?
Secondo te noi dovremmo porci il problema di sapere su quale cloud l’INPS mantiene i dati che noi mandiamo al SIUSS? O su quale server è NoiPA a cui mandiamo i dati dei dipendenti (che raccogliamo noi e perciò come minimo si tratta di una contitolarità) o qualsiasi server su cui inseriamo dati di cittadini e colleghi per i più svariati motivi ?
E’ questa la logica ?
Non sarebbe meglio che voi come associazioni (che come ti ho detto in teoria apprezzo) contattaste direttamente gli enti centrali per sensibilizzarli sul tema, oppure faceste direttamente una segnalazione al garante che ha l’obbligo di prenderla in carico ?
mi pare che rivolgersi all’ultima ruota del carro, quali siamo noi, sia un po’ un atteggiamento scorretto…
Come cittadini ne avete il diritto
Ma non è una logica che abbiamo stabilito noi, è il GDPR che funziona così.
E se ci pensi un secondo ha un senso: i cittadini affidano i dati ai Titolari, concedendogli una fiducia che questi devono usare con estrema cautela: in gioco ci sono sia i diritti fondamentali delle persone (strettamente legati ai dati personali) sia la democrazia del nostro Paese.
Lo facciamo da anni e continuiamo a farlo, a vari livelli, noi come altri.
L’attività di sensibilizzazione della Pubblica Amministrazione tutta e quella di difesa dei diritti dei cittadini sono complementari e si completano a vicenda. Se non riduciamo l’afflusso costante di dati personali dei cittadini italiani alle BigTech, queste eserciteranno sempre un controllo invisibile sulle alte sfere, non solo attraverso i loro lobbisti, ma anche attraverso la manipolazione dell’opinione pubblica:
E comunque come già spiegato prima anche da Leonardo Pecorelli, nel DPA allegato ai termini del servizio dichiara esplicitamente di adempiere alle richieste del Governo USA, mantenendole segrete se così richiesto dalla normativa.
Mi rendo conto che la scarsa consapevolezza dei danni concreti che la cessione di dati personali a queste aziende procura alle persone, può far sembrare il GDPR una noiosa formalità, per cui persone assolutamente oneste ed in buona fede non ritengono di doversene preoccupare.
Questa scarsa consapevolezza viene sfruttata da tante aziende, piccole e grandi, che rivendono servizi delle BigTech a scuole ed ospedali, decantandone la sicurezza informatica e ignorando i danni enormi che le BigTech stesse fanno alla libertà delle persone.
Ed è spesso comodo confondere l’illegalità diffusa con la normalità.
Per cui comprendo che vi sembriamo seccatori.
Purtroppo, come detto non abbiamo proprio alternative.
La procedura che seguiamo esiste a tutela della PA (e dei funzionari pubblici, se sanano subito gli illeciti segnalati), ma chi ritiene può sempre ignorare le nostre segnalazioni (e risponderne poi nelle diverse sedi).
Per il GDPR, la responsabilità del trattamento dei dati personali è sempre del Titolare.
Se il Titolare non vuole risponderne, non deve trattare i dati personali.
Per questo un modo semplice di “evitare quei seccatori di Monitora PA” è sostituire tutti i servizi di aziende statunitensi (o russe o cinesi… non è che ce l’abbiamo specificatamente con gli USA! ) o di aziende italiane che usano servizi di aziende statunitensi (e russe etc…) con servizi forniti da aziende completamente italiane (o almeno europee).
Prima lo fate, iniziando a proteggere davvero i dati personali come previsto dal GDPR, prima noi potremo finalmente ritornare a fare cose più divertenti!
Il GDPR non impone al Titolare di proteggere i dati personali quando è facile ed economico farlo.
Il GDPR impone al Titolare di proteggere i dati personali. Punto.
Le valutazioni di rischio sono giustamente previste dalla normativa per i trattamenti che avvengono nell’ambito della normativa europea, ma non per quelli che sono sottoposte a normative incompatibili con essa.
La Corte di Giustizia Europea, con la sentenza Schrems II, ha stabilito che la normativa degli stati uniti, non è in grado di tutelare i diritti FONDAMENTALI dei cittadini europei.
Questo perché le aziende statunitensi sono costrette a fornire alle agenzie governative accesso a tutti i dati tecnicamente disponibili, ovunque si trovino e segretamente.
Dunque il fatto che l’accesso a quei dati sia “improbabile” è irrilevante.
Il Titolare viola il GDPR (in particolare l’articolo 28 comma 1) se permette che tale accesso sia possibile, anche se nessuno mai dovesse essere in grado di dimostrare che questo sia avvenuto: lo ha chiarito in modo cristallino il CNIL un anno fa:
Sicuramente non era mia intenzione non riconoscere che la responsabilità sia in capo al titolare.
Per quanto riguarda le altre tue osservazioni, permettimi di dirti che noi nelle PPAA non trattiamo certo i dati per divertimento o per attirarci problematiche di privacy. Nello specifico, per il nostro Consorzio, registrare le statistiche di accesso ai siti web è un obbligo di legge, visto che dobbiamo fornire questi dati ad ARERA.
Inoltre, come ti ha già fatto presente qualcun altro, abbiamo anche da rispettare gli obblighi previsti dal Piano Triennale per l’Informatica, che fra i suoi obiettivi prevede appunto l’adesione a Web Analytics Italia. Di fatto ci troviamo quindi fra l’incudine e il martello: da un lato Agid che ci impone certe cose, dall’altro la privacy che fa ‘a botte’ con ciò.
Per questo forse sarebbe stato meglio, da parte vostra, aspettare una prima risposta da Agid, piuttosto che gettare nel panico migliaia di amministrazioni che fanno il massimo per adeguarsi a norma di legge
Si però sempre nell’ottica di difesa dei dati del cittadino, abbiamo, secondo me, urgenze molto più pressanti e più importanti per il cittadino stesso che riguardano la sicurezza, l’integrità, la business continuity eccetera. Tutto sommato, capisco che è un nostro problema ma ne abbiamo dei ben più gravi a mio modesto parere.
Tutto è importante e il GDPR e la storia ce lo insegnano, e nessuno (almeno non io) sottovaluta il fatto che un paese amico, potrebbe diventare nemico, o anche esserlo già senza che lo sappiamo, ma ci sono priorità, e scusami, questa non è tra le prime; forse non conoscete bene le realtà degli enti locali, nessuno intende sottovalutare nulla, ma credo (e forse sbaglio eh) che per un cittadino sia più importante che i propri dati anagrafici o relativi alle proprie richieste di assistenza sociale ed economica, siano ben protetti, rispetto al fatto che i propri dati di navigazione (…) possano essere visti da un governo straniero.
Lo sappiamo tutti ormai che sono dati importanti , ma ripeto, abbiamo risorse limitate (anche di tempo) e con tali risorse dobbiamo fare tutto, per forza dobbiamo dare precedenza alle questioni più gravi. Lo so che non è rassicurante, ma tant’è.
Sul sito AWS, nella pagina relativa al Centro per il Regolamento generale sulla protezione dei dati (GDPR) (GDPR – Amazon Web Services (AWS)), AWS afferma di essere conforme al Codice CISPE (Cloud Infrastructure Services Providers in Europe) ossia l’associazione dei principali fornitori di servizi di cloud computing che serve milioni di clienti in Europa. Il Codice di condotta CISPE per la protezione dei dati (Codice CISPE) è il primo codice di condotta pan-europeo per la protezione dei dati incentrato sui fornitori di servizi infrastrutturali cloud ed è stato approvato dal Comitato europeo per la protezione dei dati, che agisce per conto di 27 autorità per la protezione dei dati in tutta Europa.
Alcuni vantaggi chiave del codice CISPE includono:
Incentrato sull’infrastruttura cloud: chiarisce il ruolo del fornitore di servizi infrastrutturali cloud ai sensi del GDPR per quanto riguarda il trattamento dei dati del cliente, ovvero qualsiasi dato personale elaborato per conto del cliente utilizzando il servizio di infrastruttura cloud.
Dati in Europa: richiede ai fornitori di servizi infrastrutturali cloud di offrire ai clienti la possibilità di utilizzare servizi per archiviare ed elaborare i dati dei clienti esclusivamente all’interno dello Spazio economico europeo (SEE).
Privacy dei dati: il Codice CISPE garantisce alle organizzazioni che i loro fornitori di servizi infrastrutturali cloud soddisfino i requisiti applicabili ai dati personali processati per conto loro (dati dei clienti) nell’ambito del GDPR.
Ora, capisco che come dice Tesio che “l’oste sostiene che il vino è buono.” e che AWS abbia precedenti già noti (in realtà presunti e tra l’altro nell’articolo si parla anche del fatto che a maggio 2021 Amazon abbia vinto una battaglia legale per oltre 250 milioni di euro di tasse che era stata a condannare a pagare al Lussemburgo e guarda caso, poi, a luglio dello stesso anno la Commissione nazionale lussemburghese per la protezione dei dati emette una sentenza per presunta violazione delle leggi sulla protezione dei dati dell’Unione Europea per 886,6 milioni di dollari, che coincidenza!), però presumo, pur essendo ignorante in materia legale, che dal momento che AWS ha deciso di installare delle server farms su suolo Europeo debba attenersi alla normativa europea pur essendo una società con sede in America e che se qualsiasi agenzia governativa statunitense dovesse chiedere i dati ad AWS si profilerebbe un problema ben più grave di quello solo relativo alla privacy.
È vero che bisogna prevenire, ma se si parte da un presupposto di un uso in malafede dei dati che consegnamo ai nostri fornitori, anche con server in italia da società italiane e/o europee, allora l’unica soluzione è tutti tornare ad avere i propri CED qualificati ed in casa
L’uso di sistemi decentralizzati, con centri di elaborazione sicuri e sparsi capillarmente sul territorio italiano avrebbe straordinari vantaggi culturali, economici e strategico militari per questo Paese.
Detto questo, nessuno sostiene che si debba evitare i servizi cloud forniti da società italiane o europee. L’importante è assicurarsi che non si limitino a rivendere servizi forniti da società di Paesi sprovvisti di una decisione di adeguatezza.
E anche in tal caso, non è escluso che si possano usare: tutto dipende dalle misure tecniche supplementari adottate dal Titolare per proteggere i dati personali.
Ad esempio, se il vostro fornitore europeo di servizi cloud salva i backup del vostro db sul cloud di Amazon con una cifratura forte, utilizzata correttamente e con chiavi indisponibili ad Amazon, non c’è alcun problema.
(almeno in teoria) Non è colpa di Amazon se è stata fondata negli USA.
Te lo dice pure, lo scrive nel contratto che accetti… cosa può fare di più? ( )
Secondo me stai sottovalutando enormemente il potere veicolato dall’accumulo di dati personali.
Detto questo, Amazon è liberissima di investire in Europa come e quanto desidera e la PA è liberissima di utilizzarne i servizi QUANDO compatibili con la normativa vigente, che effettivamente non si limita al GDPR, come spiegato dall’Avvocato Ciurcina durante questo recente seminario.
L’importante è farlo nel modo corretto, ad esempio, impedendo a dati personali dei cittadini europei (fra cui anche solo l’IP dell’utente) di raggiungere i suoi server.
“[…] se il fornitore dichiara di rispettare la normativa cui è sottoposto ed è sottoposto ad una normativa liberticida.”
Torno a ripetere, nn sono competente in maniera di contratti, quindi mi sta dicendo che siccome dichiara di rispettare la normativa “liberticida” americana non è soggetto ai vincoli e alle sanzioni europee ?
A naso mi sembra un po’ strano
E poi, se dobbiamo accettare per vero che AWS dichiara di rispettare la normativa americana allora dobbiamo accettare per vero anche il fatto che sono conformi al GDPR e che hanno aderito al Codice di condotta CISPE
vorrei ribadire quello che Giulia Bimbi ha scritto nel primo intervento che ha creato questo thread:
“il progetto WAI non raccoglie dati personali…”
se mettiamo assieme ancora una volta tutte le cose:
Amazon dichiara i propri servers residenti in Italia GDPR compliant
i server sono effettivamente residenti in Italia
WAI dichiara che i dati sono protetti
per leggere i dati AMAZON deve attivare delle procedure particolari
e può trasmetterli solo su richiesta (penso motivata) del governo USA
per il mio modestissimo parere mi sento di dar ragione a PERRCLA quando
dice che la questione è “squisitamente politica”
Si sono fatti molti riferimenti al TITOLARE ed alle norme GDPR che mettono in capo
al titolare tutta la responsabilità della privacy dei dati ecc.
Ma nel contempo ci sono grandi aziende extra-UE che forniscono servizi di cloud
che hanno server e sedi entro la EU.
Io credo che nessun tribunale alla luce di nessuna norma della GDPR possa
incolpare un titolare che si è avvalso di servizi di queste aziende, servizi
fatti ad-oc per clienti EU, servizi che si dichiarano GDPR compliant e che
hanno ottenuto tutta una serie di certificazioni ecc.
io credo che nessun tribunale possa incolpare un titolare se “nascostamente”
cioè “segretamente” una di queste aziende extra-UE trasmette dati,
in modo sconosciuto al titolare, dai proprio servers UE ai propri servers extra-UE.
Se così fosse sarebbe la GDPR ad essere sbagliata dal punto di vista della
coerenza giuridica.
Anche la cosa del :“amazon in passato è stata condannata” ecc.
penso che sia giuridicamente sbagliato il concetto di “presunto colpevole”
che si tenta di dare a tutta la questione…
Davvero Giovanna, credo che tu debba approfondire molto sia le questioni tecniche che quelle legali legate alla questione.
Anche se non li “raccoglie”, li riceve.
E li riceve su server di proprietà di Amazon Web Server, Inc.
Perché lo so?
Perché il browser dei visitatori effettua chiamate verso un server di proprietà di Amazon, e queste chiamate includono molti dati personali, dall’indirizzo IP, al sistema operativo, alle lingue preferite dell’utente.
Sì esatto.
Ed il fatto che possa tecnicamente farlo (perché controlla il software che accede a quei dati) determina una violazione del GDPR da parte della PA che tali dati li affida proprio a lui (invece che scegliere un altro fornitore europeo).
Beh, sicuramente gli informatici e gli avvocati che lavorano a Monitora PA lo fanno perché hanno a cuore la Polis: il nostro motto è “Viviamo in una Società Cibernetica. Vogliamo che sia Democratica”.
Ma questo non cambia nulla.
Solo gli stati totalitari possono permettersi di violare le proprie Leggi.
La Pubblica Amministrazione è parte dello Stato: fintanto che l’Italia rimane una democrazia, le PA devono rispettare la Legge.
Poi per carità, come detto le nostre PEC vengono inviate a tutela dei legali rappresentanti, ma se preferiscono assumersi la responsabilità di ignorarle, è anzitutto un problema loro.
tu scrivi “invece che scegliere un altro fornitore europeo”
ma in realtà la garanzia che questo fornitore europeo non
spedisca dati extra-UE non è maggiore di quella data da fornitori
extra-UE ma che hanno servers all’interno dei paesi UE
tu scrivi che si devono rispettare le leggi ma è proprio nel rispetto
della legge che non si possono incolpare titolari con la “presunzione”
perchè la differenza è molto sottile ed il fatto, se un fatto è,
che Amazon sia sottoposta alle leggi USA anche nei suoi server
e nelle sue sedi in UE, non è così differente rispetto alla presunzione
che tali azioni di esportazione dati le possano fare ancher aziende europee
il punto che voi sottolineate è solo che Amazon è una ditta extra-UE
e che ha già subito condanne… ma questo però non impedisce che Amazon
possa rispettare, come dichiara, anche le leggi EU…
Amazon è una ditta che appartiene ad uno stato DEMOCRATICO e non totalitario
e che opera in EU dove sono tutti stati democratici… quindi è normale aspettarsi che
rispetti le leggi e le norme… ovvero se presumioamo che non le rispetti o le aggiri,
lo possiamo presumere anche di qualsiasi altra azienda anche europea…
e se vogliamo cercare leggi non rispettate da aziende nazionali ne troviamo
vagonate… ma -di nuovo- non è la “presunzione” che fa la colpa…
il fornitore europeo non esegue software controllato dagli USA.
la succursale europea dell’azienda statunitense, sì.
Infatti noi abbiamo contattato solo le PA (i Titolari) dopo aver verificato che il loro sito trasmetteva dati personali ad una società statunitense senza adottare alcuna misura tecnica supplementare in grado di proteggerli.
Nessuna presunzione insomma.
Se una azienda europea manda dati personali di cittadini europei al Governo USA (senza una legittimazione legale) viola la Legge del Paese in cui risiede.
Se una azienda statunitense preleva segretamente dati personali di cittadini europei per fornirli al Governo USA rispetta la Legge del Paese in cui risiede.
Temo tu mi abbia frainteso: quel link serviva solo a spiegare che un Titolare che affidi dati personali ad Amazon non può dire “eh ma credevo che di Amazon ci si potesse fidare!”
Non è la condotta precedente di Amazon che gli impedisce di rispettare il GDPR.
E’ la Legge degli USA.
Ed infatti, sul DPA, Amazon lo scrive, così che chi lo sottoscrive accetti formalmente questa responsabilità.
) o di aziende italiane che usano servizi di aziende statunitensi (e russe etc…) con servizi forniti da aziende completamente italiane (o almeno europee).