Web Analytics Italia - trasferimenti verso Amazon Web Service

Agid ha risposto qui:

Duplicato di Web Analytics Italia - trasferimenti verso Amazon Web Service - n°98 da AlessandroVecchi

Scusate, domanda da ignorante lo so, ma dire che AWS (Amazon quindi) è in grado sostanzialmente di fare un Men in Middle per leggere i dati non è un po’ troppo “complottista/calunnioso”? Proviamo un attimo ad espandere il ragionamento:

1. Scrivo dati personali in chiaro su server AWS (o altra azienda extra-UE): non posso perché il governo (in particolare USA) potrebbero richiedere i dati ecc ecc, ok, fin qua ci siamo.

2. Scrivo dati personali ma anonimizzati/crittografati su server AWS ma arrivano tramite traffico trasmesso in chiaro: ripeto la domanda di prima, non è eccessivo o addirittura calunnioso dire che AWS me li intercetti e se li scriva da qualche parte in attesa che il governo glieli chieda?

2bis) ammesso e non concesso che AWS faccia intercettazione, la farebbe nel momento in cui gli arriva l’ordine dal governo USA? o la farebbe già adesso perchè, in stile italico direi, “non si sa mai’”? Questo non sarebbe un’aggravante della seconda ipotesi, cioè stiamo accusando AWS di intercettare sistematicamente tutto il nostro traffico per eventuali esigenze future?

3. ripeto che sono ignorante in materia GDPR, ma assumiamo appunto che non possiamo trasmettere traffico in chiaro verso server di aziende extra-EU perché in effetti c’è il rischio di intercettazione, parliamo solo del potenziale quindi, non accusiamo AWS di nulla ma visto che c’è un potenziale rischio allora non lo si fa. Bene. Ma per lo stesso principio allora i dati non potrebbero transitare da nessun dispositivo che abbia il software di proprietà extra-EU. Ad esempio, ho un firewall Fortinet, l’hardware è mio ma il software è in licenza (quindi non mio), i dati transitano e vengono elaborati da tale software, addirittura a volte elaborato in server esterni (si pensi alle sand-box in cloud ecc ecc)… a questo punto non avremmo lo stesso potenziale rischio che abbiamo con AWS?

Faccio queste domande peché non capisco e non so se esiste una legge o direttiva chiara che definisce un limite alla “paranoia”, cioè fino a che punto non è permesso utilizzare server/servizi extra-UE in caso di trattamento di dati personali, prima si parlava di dati scritti in chiaro su server, poi si è parlato di dati crittografati ma la cui chiave di decifrazione è scritta nel server, adesso il livello è passato ai dati che addirittura transitano se ho capito bene.
Cosa mi sfugge?
Grazie per la gentile risposta e buon lavoro a tutti

Una delle tante cose che sfugge é che prima ancora del dato (il contenuto trasmesso ad aws) c’é il metadato (che é un dato) come ad esempio l’indirizzo ip

Anche esso é un dato che viene ricevuto da aws (ricevuto = trattato) e quindi segue tutta la discussione di questo thread con i possibili pericoli di trasferimento agli USA

L’indirizzo IP può essere dato o metadato ed a livello privacy è considerato dato personale (va be’, anche se è nattato e dietro ci sono 100 persone? non importa, mi sembra abbiano già detto che lo è), il punto credo però che sia un altro: ricevuto è uguale a trattato? allora anche i router del mio provider e tutti quelli che transito stanno trattando i miei dati personali? E metti anche che abbia un contratto con TIM ad esempio, dove viene spiegato che i miei dati vengono trattai in un certo modo, appena il traffico transita per una dorsale o finisce in una rete di destinazione non TIM, ad esempio Vodafone, come la mettiamo? Dovrei avere un rapporto legale con tutte queste aziende ed autorizzarle a “trattare i miei dati”?
Ma voglio espandere per assurdo: quando scrivo una lettera a qualcuno, il nome ed indirizzo di destinazione sono dati personali, devo far firmare qualcosa al postino che consegna (o alla compagnia postale)? E posso mandare posta extra-EU visto che leggono l’indirizzo?

Non so, ma io ad occhio direi che il dato o metadato in transito e necessario per il corretto instradamento non sia “trattato” dai dispositivi che attraversa. Però potrei sbagliarmi, ovvio. A me basta che qualcuno mi spieghi quali sono i paletti, io poi mi adeguo

Gentilissimi/e,

“Non conosco il GDPR ma…”

In questa frase sta tutto il problema. Non mi riferisco a nessuno in particolare, ma abbiate pazienza: senza un’adeguata conoscenza (e comprensione!) della norma non è semplice cogliere le sfumature e le implicazioni giuridiche del discorso trasferimento extra UE. È complesso. Veramente.

Perciò i mille tecnicismi o casi particolari, critto qui, salvo là, anonimizzo qui e là etc… se NON si conosce adeguatamente il piano giuridico, passano in secondo piano. E sono onestamente faticosissimi da leggere.

Lungi da me difendere i metodi di MonitoraPA (gli obiettivi invece sì, li condivido), ma suggerisco un’attenta lettura come minimo del Regolamento, delle sentenze Schrems (tutte e due), delle raccomandazioni EDPB sulle misure supplementari e dei provvedimenti del CNIL e del Garante su Google Analytics.
Sta tutto lì.

Secondo me invece il problema è tutto qui

Anche io sono assolutamente a favore della protezione dei dati personali (e non solo) dei cittadini europei, solo che io dico una cosa molto semplice: vogliamo affermare un principio? affermiamolo ma andiamo con coraggio fino in fondo. La mia impressione, ma ribadisco che è solo una impressione, è che la legge e le norme (difficilissime da capire come dice lei stesso) si stanno “infognando” perché hanno stabilito il principio prima di vedere se è attuabile. Magari non è compito dei legislatori, ma chi rimane con il cerino in mano poi è chi lavora, quindi qualche domanda, mi permetta, la faccio senza prima diventare un legale perché io ho studiato altro e non voglio prendermi una laurea in giurisprudenza per capire se posso fare o meno un ping ad AWS.

Chiedo a chi sa e la prime due risposte sono state “non puoi nemmeno fare arrivare l’IP ad AWS” e “studiati il GDPR” spero nella terza risposta sinceramente.

No, è una verità universalmente* ritenuta vera dagli informatici, ovvero che se un software gira sopra un software o un hardware, il software o l’hardware che c’è sotto è potenzialmente in grado di controllare quello che c’è sopra.

• penso. Non sono riuscito a trovare qualche fonte più specifica.

I metadati delle richieste HTTPS e dei protocolli sottostanti arrivano comunque, anche se i dati applicativi (specifici di matomo) vengano criptati.

Tranquillo che i dati anonimizzati vengono trasmessi comunque cifrati (per l’HTTPS).

Non abbiamo la certezza che vengano intercettati sistematicamente, però c’è un tessuto legislativo (FISA, cloud act, eo 12333, …), storico(le rivelazioni di snowden) e la possibilità tecnica che rende ciò possibile, e ai fini del GDPR non è necessario essere certi che avvenga.

Sì, ma credo che abbia già ricevuto un ordine in passato per la raccolta indiscriminata di dati, quantomeno per le configurazioni più comuni.

Più che italico direi europeo (come dice le guide linee per le PA dell’EDPB).

Non credo che esiste questo principio, in quanto il software è comunque in esecuzione sul tuo hardware, sebbene come dice la FSF da quarant’anni, è fortemente sconsigliato.

Questo potrebbe essere un problema, se il traffico contiene “tanti” dati personali e i server/la configurazione non possono essere conformi al GDPR.

Sì, è così se i fornitori dei server sono obbligati per legge a sorvegliare, in linea di quello che ho detto prima.

Credo sia il GDPR (e sentenza schrems II), a meno che esiste qualcosa di più specifico.

Che qualunque configurazione possa AGID aver messo in atto, è fallace ai sensi del GDPR

Sì

Sì, sono sicuro che gli ISP non possono permettersi di fare qualunque cosa che vogliono con i dati del traffico, ma quantomeno hanno accesso a meno dati rispetto a AWS (in quanto ha accesso, in questo caso, hai metadati delle richieste HTTPS).

Non cambia niente. Il routing è un trattamento di pubblico/legittimo interesse.

Se non sbaglio, una delle basi legali riconosciuta dal GDPR è l’obbligo di legge (art. 6 comma c)

Il GDPR non regola i trattamenti “personali”, quindi puoi scrivere i numeri dei tuoi amici nella rubrica, però per quanto riguarda il tuo esempio, le poste non possono fare una raccolta dei dati delle corrispondenze per fare una profilazione(assumendo che non hanno un obbligo di legge per questo punto).

No

Sì

Un pochino anche gli allegati tecnici di MPA, che sono tecnicamente corretti.

Secondo me è perfettamente attuabile. Il problema è che ci sono moltissime non conformità in giro…

Vi ho fatto uno schema per capire il flusso dei dati (secondo la configurazione più probabile). Con le frecce da/per AWS ho voluto indicare i vari posti in cui AWS può prendere i dati.

WAI-AGID.drawio991×873 66 KB

EDIT: ho corretto l’immagine in quanto c’erano un paio di errori. Il più rilevante è che credevo supportasse l’anonimizzazione lato browser, però facendo una rapida ricerca sul web non ho trovato nulla di più specifico.

Scusate, da frequentatore dei dibattiti regolatori di Bruxelles questa frase mi ha colpito e quindi vorrei fornire una prospettiva politica.

Quanto sopra è effettivamente l’obiettivo, ma non di MonitoraPA, bensì dell’Unione Europea e delle sue leggi. È un obiettivo economico, certo, ma prima ancora di questo c’è l’idea che l’UE si fonda su valori e diritti e che l’economia è subordinata e non superiore ad essi: quindi, è necessario garantire che l’offerta di servizi e prodotti in Europa rispetti questi diritti.

Tra questi diritti c’è la privacy, ma ce n’è anche uno che in questa discussione è altrettanto importante: la libertà e l’indipendenza dell’Europa da qualunque altra potenza straniera, che include la garanzia che le comunicazioni dei cittadini e delle aziende europee non possano venire spiate da agenzie straniere. Per questo motivo, le leggi UE non chiudono affatto la partecipazione di aziende straniere al proprio mercato, ma la subordinano al rispetto di questi diritti.

Sfortunatamente, gli Stati Uniti non sembrano intenzionati a rispettare questi diritti:

• sono tra i pochi paesi del mondo cosiddetto “sviluppato” (e anche di gran parte del resto del mondo) a non essersi dotati di una legge sulla privacy decente, tranne che in alcuni stati;
• hanno leggi che discriminano i cittadini non americani dagli altri, e obbligano le aziende americane a spiare i cittadini non americani e a dare informazioni su di loro alla polizia e ai servizi segreti USA.

Queste due cose non sono compatibili con i valori e i diritti europei: per questo, nonostante fortissime pressioni diplomatiche, le minacce di ritorsione delle aziende big tech e l’accondiscendenza di una parte delle istituzioni europee, ce ne sono molte altre, in primis il Parlamento Europeo, il “garante della privacy europeo” (EDPB) e la corte di giustizia, che tengono il punto.

Dunque, fino a che gli Stati Uniti non cambieranno le due leggi di cui sopra, o fino a quando l’UE non cederà alle pressioni americane, è legalmente impossibile far trattare dati personali ad aziende americane; non per cattiveria o per protezionismo, ma per tutelare i diritti dei cittadini europei.

Piccolo aggiornamento (con qualche consiglio finale per le PA):

Intanto grazie per la risposta

Sono informatico anche io e questo lo so bene, ti ringrazio comunque di averlo ricordato. E da informatico posso anche dire che:

1. la sicurezza è un processo che prevede una valutazione dei rischi
2. la perdita/non accessibilità dei dati (o furto) è anche un problema che riguarda il GDPR
3. dati i punti 1 e 2 ognuno valuti dove gli conviene ed in che modo tenere i dati
4. se soddisfare la compliance mi fa abbassare il livello di protezione, da tecnico dico che c’è qualcosa che non va
5. i problemi politici vanno risolti nelle opportune sedi poliiche, non che “in attesa di…” perdiamo un sacco di tempo e denaro in questione di lana caprina (e che comunque avvantaggiano chi si sta cercando di “combattere”)
   Buon lavoro a tutti
   m2c

ciao,
per cominciare grazie per l’opera di sensibilizzazione che state svolgendo, il livello di consapevolezza medio purtroppo è ancora molto basso, l’aspetto inquietante è che da un lato giustamente ci impongono di rispettare le regole dettate dal GDPR e dalla giursprudenza di contorno: sentenze, raccomandazioni, ecc., ma nel frattempo CONSIP e ACN sottoscrivono accordi e validano piattaforme che sono palesemente in contrasto con la normativa e la sentenza SCHREMS II, delegando il controllo e la responsabilità agli enti che sottoscrivono i contratti e diventano titolari dei dati, rischiando di esporre i dati degli interessati: i cittadini ad usi quantomeno impropri.
Graduando i rischi è ancora più grave che strumenti legati a google vengano utilizzati nelle scuole, in questo caso parliamo di minori, ma in generale è un’occasione persa per le aziende italiane ed europee di erogare servizi dovendosi scontrare con colossi che non rispettano le regole e nessuno concretamente li sanziona…

Purtroppo sì, su questo ci sono sentenze della corte di giustizia europea che parlano chiaro: visto che l’indirizzo IP in qualche modo (anche se non sempre e cmq in modo indiretto) può essere associato ad una persona fisica, deve essere sempre considerato un dato personale. Secondo me questo ragionamento, portato per l’assurdo, rende di fatto il WWW incompatibile con il GDPR. Anche un semplice link o un’immagine embeddata da questo punto di vista rappresentano potenzialmente una violazione. Quello che queste sentenze dovrebbero sanzionare non è tanto il trasferimento di indirizzi IP, ma l’esecuzione di codice di terzi (vedi i vari embed di facebook, twitter, etc.) all’interno di siti web, che potenzialmente permettono a queste aziende di tracciare tutto il comportamento dell’utente via javascript…

Ma è tutto un assurdo perché, parliamoci chiaro, se non si vuole che un ipotetico governo cattivone non raccolga dati sui cittadini europei è assolutamente inutile e irrilevante non fargli arrivare dei dati sulle statistiche di accesso ad un sito istituzionale. E’ inutile ed irrilevante perché il governo straniero cattivone ha già tutto quello che vuole perché o glielo diamo noi attraverso i social (perfettamente legale) o non coperto da leggi sulla protezione dei dati (dati su progetti o business-plan ecc ecc).

Alla fine abbiamo il governo super cattivone che continua a prosperare e fare business e potenzialmente sapere anche quando andiamo al bagno, dati sanitari, le medicine che compriamo ecc ecc, e noi che perdiamo tempo e denaro per assicurarci che tizio che va nel comune di pincopallo non gli arrivi l’IP ad AWS che potrebbe intercettarlo. Ripeto: non è benaltrismo ma un problema politico e culturale che non si risolve (e neppure si intacca minimamente) a colpi di PEC e segnalazioni al garante. Ma proprio per niente. Anzi, è il miglior modo per perderla questa guerra.
m2c

Sicuramente molte persone, mancanti di una “cultura per la privacy” divulgano volontariamente (o quasi) molte informazioni a terzi, ma su questo poco ci si può fare (oltre ad una maggiore cultura della privacy)

Tuttavia lo stato (l’europa, una PA, ecc) non può permettersi di comportarsi come un privato.
I cittadini informati e attenti alla loro privacy (come me) non fanno i test “che verdura sei” o pubblicano foto sui social o hanno uno smartphone, e quando si interfacciano con lo stato hanno il diritto ad avere i loro dati personali tutelati e non trasmessi/venduti a terzi.

Non mi interessa delle abitudine delle masse e le varie mode, ciò che fanno gli altri non deve influire sui miei diritti perché “tanto tutti diamo i dati lo stesso”

No, io no.

i nostri uffici gestiscono anagrafiche di oltre 600 mila persone e ditte
è una piccola cifra ma è significativo che da quando forniamo servizi anche per
e-mail queste persone possono liberamente fornirci i loro indirizzo e-mail

così possiamo dire che quasi l’ 80% di questi ha una gmail perchè ha uno
smartphone android… e gli altri avranno uno smartphone Apple ma il concetto
“mancanza di privacy” resta uguale…

TU dichiari di non usare uno smartphone perchè hai una sorta di “ossessione”
alla tua privacy, ed io lo rispetto, rispetto al tua scelta personale…
Anche io non ho alcun social di nessun genere però ho uno smartphone
con android, quindi un account google ed anche un account amazon
e su booking per le rare vacanze…

qualcuno in questo thread ha scritto che la GDPR interpretata con tutti
i cavilli di fatto impedisce l’uso del World Wide Web perchè è di fatto
impossibile avere il 100% della privacy almeno ad oggi…

nelle città ci sono le telecamere… chi legge i cartelli di avviso
della presenza delle stesse?

Caro, carissimo PRO, fare il “paladino” della privacy è una buona intenzione
e se lo riesci a seguire tu personalmente con il tuo impegno io ti rispetto,
ma le persone non sono tutte “incosapevoli” o “disinformate” ecc.
Le persone, diverse da te, fanno scelte diverse dalle tue,
si chiama libertà, se per le persone è comodo l’uso dei
social o di un telefonino dove hanno GPS, fotocamera, account vari
(amazon, yoox, booking, ebay, ecc. ecc.) mettendo a rischio un poco
della propria privacy, tu sei chiamato a rispettare la loro libertà
di scelta, puoi dire sicuramente “No, io no” ma devi lasciare liberi
gli altri di poter dire “io, invece io sì”…

Quindi il tema della missione attuale di monitoPA, lo ripeto ancora per la quinta volta,
è già stato assolto dalle dichiarazioni di Agid e di Wai (e dalle certificazioni di AWS Europa)
si può migliorare? certo che si può… e miglioreremo tutti assieme,

ma possiamo migliorare solo se comprendiamo che gli altri sono diversi da noi e noi dobbiamo
accettare le loro libere scelte anche se influiscono sulle nostre vite,
come le nostre scelte influiscono sulle loro… siamo interconnessi perchè
siamo su una palla di roccia sparata nel vuoto e respiriamo la stessa aria
e siamo fatti delle stesse cellule… non possiamo chiamarci fuori… e se una legge
lo fa, è una legge sbagliata…

anche le leggi possono e devono essere migliorate e se la GDPR ha delle lacune
andrebbe migliorata anche la GDPR…

Adesso hanno richiesto dei documenti in base alla legge sull’accesso ai dati
e giustamente otterranno la documentazione che hanno richiesto
e la cosa finalmente avrà una fine anche per quelli di monitorPA.

Caro PRO le PA non sono contro il cittadino e non hanno interessi commerciali,
è per quello che possono e VOGLIONO tutelare la privacy dei cittadini
meglio delel ditte private. Capire questo è un impegno del buon cittadino.
Diffida sempre di chi ti parla male della PA, di solito ha interessi nascosti.

Tieni anche presente che gli enti dove faccio la tecnica conoscono
già i redditi, le residenze, i parenti, figli, consorti, anche la situazione
sanitaria, cioè conoscono già tutto delle persone… non hanno mai venduto
tali dati a nessuno e li conservano gelosamente da
molto prima che tu nascessi e da molto prima che esistessero
i computer ed internet… lo stato non funzionerebbe senza la PA
e quindi non funzioneresti nemmeno tu, nè se dici “no” e nemmeno se dici “sì”.

saluti

GP

In Italia hanno bloccato l’accesso a chatgpt (o si è autobloccato ok, ma comunque perché c’era un approfondimento in corso). Adesso è appena uscito threads ed in Europa non c’è. Immagino quindi che quando vogliono le istituzioni possono indicare, bloccare ed esprimersi in maniera chiara anche contro grandi interessi. Non parliamo dei casi extra EU dove, ad esempio, TikTok viene bloccato su dispositivi governativi o addirittura si parla (o forse già fatto) su dispositivi personali.

Io quello che chiedo è che chi di dovere affronti in maniera chiara e con coraggio questi argomenti, a me sinceramente vedere centinaia di enti passare a WAI e dopo pochi mesi vengono “minacciati” nuovamente per colpe non loro mi sembra una cosa estramemente autolesionista per quanto formalmente corretta: non c’è nessuna visione, non c’è alcun vantaggio competitivo, non c’è alcun tentativo di risoluzone del problema alla radice, è la cosidetta “guerra tra poveri” mentre i “ricchi” continuano a farsi gli affari loro.

Il problema qua non è “tanto tutti diamo i dati lo stesso”, infatti tu non lo fai ed anche io personalmente penso di darne pochi (non ho social, non uso google ecc ecc), ma il punto è che se un mio amico ha whatsapp su telefono android ha già mandato il mio numero di telefono a Meta e Google, si fa geolocallizare quando viene da me e dove andiamo insieme ecc ecc, il tutto incrociato con dati di altri miei amici. Quindi il problema non è solo personale, è globale, e lo Stato e l’Europa non può far finta di niente, esattamente come quando hanno deciso che il fumo passivo danneggiava anche chi non fumava: ok la libera scelta ma che sia consapevola e che non coinvolga gli altri.

m2c

tu scrivi: “formalmente corretta” infatti c’è la risposta “formale” di WAI e di AGID e le certificazioni di AWS Europa…

le cose devono poter funzionare e le risposte “formali” ed “esplicite” devono essere accettate per tali… cercare un capello, che non è detto che ci sia, sulla superficie di un uovo non è sempre il modo più efficace di fare le cose…

come ho già scritto non c’è giudice che possa accusare qualcuno per le mere “intenzioni” e qui mancano anche le “intenzioni”… se ci sono delle sentenze che sembrano dire quello che dice monitorPA in questo specifico caso. ma ricordo che NON ci sono sentenze su questo specifico caso,
le cose sono due: o sono intepretate male le sentenze o si tentano di applicare ad un caso diverso…

GP

Più che “non di monitorapa”, direi “non solo di MPA”.

Certo!

Perché soddisfare la compliance potrebbe far abbassare il livello di protezione?

Ma questo oltre a essere un problema politico, è un problema con un impatto diretto sui cittadini

Perché dovrebbe avvantaggiare chi si sta cercando di “combattere”?

Ci sono delle sanzioni, però sono ancora rare (e fuori dall’italia…).

Perché? Non esistono solo fornitori/siti web statunitensi.

Un link magari no (se intendi tipo ), le immagini embeddate finché sono fornitore da un fornitore conforme al GDPR non è un problema.