AgID difende Web Analytics Italia senza smentire che alcuni dati vengano trasferiti dalla piattaforma verso paesi extraUe, ma concentrandosi più sulla natura di tali dati che, a detta dell’Agenzia, non possono essere considerati personali e/o risulterebbero comunque anonimi. Due sono gli ordini di problemi che nascono da questa risposta […]
Ove AgID non dovesse chiarire ulteriormente la propria posizione il suggerimento per tutelare le Amministrazioni è quello di veicolare una richiesta di dettaglio ad AgID (in una alla richiesta di formalizzare il rapporto titolare/responsabile fra le parti), sospendendo se del caso l’utilizzo di WAI in caso di mancato riscontro. C’è però da augurarsi che non ci sia la necessità di arrivare a questo e che AgID risolva la problematica con la reattività e trasparenza che l’hanno già in altre occasioni contraddistinta.
Perché è inutile e irrilevante? Sono comunque informazioni in meno potenzialmente utili, se combinate con altre informazioni.
E’ inutile e controproducente, perchè tra le miliardate di informazioni che AWS gestisce ogni minuto, quei dati sono informazioni assolutamente insignificanti. Meno di un granello di sabbia sulla spiaggia.
E’ già stato detto che oltre a WAI ci sono decine e decine di servizi pubblici che usano AWS. Si è spiegato che è la stessa CONSIP che fa gare riguardo AWS. Che AGID mette AWS nel marketplace.
Che su AWS ci sono informazioni, trasferite da PA, molto più invasive della privacy che non le statistiche di visita di siti web informativi degli enti locali.
Ma niente, MonitoraPA si ostina a colpire solo ed esclusivamente nel settore più insignificante di tutti. A pensar male si fa peccato ma si indovina, diceva uno molto scaltro.
Se alla fine salta fuori che ci sono interessi personali e non ideali dietro a queste PEC, la sacrosanta battaglia per la privacy prende un colpo così grosso che non si rialza per i prossimi 40 anni. Spero sia chiaro perchè MonitoraPA ha veramente stufato.
Scusa, ma questa è la pessima mentalità italica per cui quelli che passano col rosso e prendono la multa dicono che è ingiusta perché c’è tanta altra gente che passa col rosso e non viene fermata. Se violi la legge è giusto chiederti di rispettarla, indipendentemente da quante altre violazioni avvengano; se mai, questo caso sia di esempio a tutte le altre PA e a tutti gli altri servizi pubblici che usano AWS, in modo che smettano di usarlo anche lì.
Per il resto sinceramente ho già spiegato la mia idea, continuare a discuterne confermerebbe la mia tesi che questa cosa fa solo perdere tempo ed io sinceramente non ne ho voglia.
Buona giornata
Non trovo il paragone calzante. L’esempio più calzante è questo: un comitato di cittadini che si professa a favore della sicurezza stradale che controlla se le targhe delle auto degli enti pubblici siano perfettamente pulite (e quindi leggibili). Hanno ragione? Certo che sono nel giusto, è una norma del codice della strada. Serve a qualcosa per la sicurezza stradale? No, a niente, né in termini di sicurezza generale e neppure in termini numerici (le auto degli enti sono in quantità enormemente inferiore a quelle dei cittadini). Perché lo fanno? Perché è l’unica cosa che possono fare non avendo il potere di chiedere patente e libretto ecc ecc o denunciare i privati.
Ribadisco: che il problema “sicurezza stradale”/dati personali a paese exra-EU ci sia nessuno lo mette in dubbio, se il mezzo più più efficace per raggiungerlo è mandare le auto degli enti all’autolavaggio una volta in più al mese io non son convinto.
Quello che c’è di mentalità italica qua è continuare a fare carte e burocrazia per il nulla e fare i forti con i deboli.
m2c
Perché un link no? Non è detto che chi clicca sul link abbia capito che stia andando su un sito terzo, magari extraeuropeo. Quantomeno dovrebbe essere inserito nell’informativa. Ti faccio presente che l’intero concetto di world wide web si basa sui collegamenti ipertestuali tra documenti distribuiti su più server in giro per il mondo…
In data odierna - 10 Luglio 2023 - la Commissione Europea ha formalmente adottato la nuova decisione di adeguatezza per Data Privacy Framework UE-USA / trasferimenti di dati personali verso USA :
Ah beh, la Commissione UE viene rassicurata dagli ordini esecutivi del Presidente degli Stati Uniti e dagli impegni delle Agenzie federali, come dire “fino ad ora abbiamo scherzato” … se non altro le Amministrazioni Pubbliche italiane potranno finalmente occuparsi di questioni più critiche e serie… (in attesa di una eventuale prossima pronuncia della CGUE).
Da domani (in virtù anche dell’attesa pubblicazione in EU Official Journal) parte una finestra transitoria di 90gg per cui le aziende con EU-US Certification ancora attiva - cfr. Participant status ACTIVE in elenco Privacy Shield - potranno migrarla direttamente/instant, mantenendo invariata l’attuale scadenza & senza necessità di procedere con iter/costi di nuova certificazione.
Come già comunicato a suo tempo da Dipartimento del Commercio USA - ITA, tali aziende dovranno infatti procedere dal loro pannello account \ application (program) solo con :
aggiornamento privacy notice
conferma/aggiornamento valutazione (propria o terza) & riferimenti
sottoscrizione nuove condizioni Data Privacy Framework
.
Una volta fatto ciò, le aziende potranno aggiungere la nuova decisione di adeguatezza ex art. 45 GDPR agli strumenti di trasferimento extraeuropei già indicati/disponibili nelle loro privacy notice & contestualmente i titolari potranno aggiornare - se necessario/opportuno per il loro specifico scenario/caso - le rispettive valutazioni d’impatto DPIA/TIA & informative privacy.
Come indicato infatti non solo nelle FAQ sulla nuova decisione di adeguatezza, ma anche nelle FAQ sui trasferimenti extraeuropei già aggiornate da alcune DPA - Autorità Garanti (e.g. Datatilsynet Norvegia) , la Commissione europea ha comunque preso anche in considerazione la legislazione e le pratiche commerciali statunitensi nella decisione di adeguatezza.
.
Pertanto, in caso di trasferimento ad attività USA non ancora nel nuovo elenco DPF, ma comunque non soggetta a leggi diverse da quelle normali delle attività commerciali americane, NON è più necessario valutare eventuali misure addizionali (tecniche / organizzative / contrattuali) lato titolare, onde eliminare/affrontare rischio legal / government access per paese extraUE nelle valutazioni d’impatto con ricorso ad altri strumenti di trasferimento contemplati da art.46 GDPR senza previa autorizzazione da parte del Garante (quindi SCC 2021 e non solo).
Proprio perché il reinserimento degli USA come nazione adeguata ex Art. 45 GDPR comporta condizione di ‘equivalenza essenziale’ con livello di protezione UE e reintroduce quelle salvaguardie, che erano state escluse dopo sentenza Schrems II / invalidamento Privacy Shield.
… se non altro le Amministrazioni Pubbliche italiane potranno finalmente occuparsi di questioni più critiche e serie… (in attesa di una eventuale prossima pronuncia della CGUE).