Le nuove raccomandazioni dello European Data Protection Board in merito all'uso del cloud da parte della Pubblica Amministrazione sono cristalline:
It stems from the analysis made by the authorities that the sole use of a CSP that is part of a multinational group subject to third country laws may result in the concerned third country laws also applying to data stored in the EEA.
Possible requests would in this case be addressed directly to the CSP within the EEA and would concern data present in the EEA and not data already undergoing transfer.
In this context, the controller/CSP would therefore not necessarily have made the assessment of this legal framework with a view to apply the relevant safeguards.
The analysis of all the elements that may lead to different situations and different violations of the aforementioned relevant provisions of the GDPR in respect of the processing carried out by the processor (acting as an autonomous controller under Article 28(10) of the GDPR when it acts in violation of the instructions of the controller) and/or by the public authority itself if appropriate instructions are not provided according to Article 28(3) of the GDPR or a processor not providing appropriate safeguards as required by Article 28(1) of the GDPR is engaged. EDPB, Use of cloud-based services by the public sector, page 19
È importante sottolineare come le email inviate ad un Professore
universitario o comunque ad un Ateneo possono rivelare anche
categorie particolari di dati personali sul mittente,
quali quelle oggetto di divieto all'articolo 9 comma 1 del GDPR.
Si pensi, ad esempio, ai dati relativi alla salute comunicati dagli
studenti affetti da DSA al personale docente in preparazione degli esami.
Abbiamo dunque chiesto a 45 Atenei che, stando ai record MX pubblicati sul proprio DNS, ancora utilizzano i servizi di Google LLC ed in particolare GMail, Google Drive o Google Workspace for Education, di interrompere entro 40 giorni i trasferimenti illeciti di dati personali che ne conseguono.
Pubblichiamo di seguito il testo di una delle PEC inviate nella speranza che altri cittadini, avendo notizia di analoghi trasferimenti illeciti presso altre Università, aziende o Pubbliche Amministrazioni, possano usarla come modello per esercitare i propri diritti esigendo una piena applicazione del GDPR.
All'attenzione di: - Università XXX, in qualità di soggetto titolare del trattamento ai sensi dell'art. 4 par. 1 n. 7 - GDPR. Il sottoscritto Giacomo Tesio, nato a Asti il 29/11/1980 (codice fiscale: TSEGCM80S29A479Z), nell'ambito nel progetto Monitora PA (https://monitora-pa.it) e con il sostegno delle associazioni elencate in calce, eleggendo ai fini del presente atto domicilio fisico in via Aretusa 34, a Milano c/o Hermes Center e domicilio digitale presso la casella PEC comunicazioni@pec.monitora-pa.it. 1. Tramite l'esecuzione dell'osservatorio di Monitora PA, in data 2023-02-01 21:31:20.409155, ho rilevato che il vostro Ateneo, Università XXX, utilizza per la posta elettronica ordinaria (PEO) i servizi forniti da Google. 2. L'adozione dei servizi di posta elettronica forniti da Google determina trasferimenti sistematici di dati personali degli utenti e dei loro corrispondenti, non attualmente conformi, in assenza di efficaci misure tecniche supplementari, alle disposizioni del GDPR in ordine al trasferimento transfrontaliero di dati personali, fra cui, a titolo esemplificativo ma non esaustivo: - indirizzo IP - indirizzo email - Mail User Agent - sistema operativo - relazioni interpersonali - dati personali descrittivi deducibili dall'incrocio dei dati precedenti, dall'oggetto e dai contenuti dei messaggi trasmessi 3. Tale circostanza può essere verificata facilmente traminte i record MX sul DNS del vostro dominio email: - 1 aspmx.l.google.com. - 5 alt1.aspmx.l.google.com. - 5 alt2.aspmx.l.google.com. - 10 alt3.aspmx.l.google.com. - 10 alt4.aspmx.l.google.com. Le informazioni inviate durante tali trasferimenti, che coinvolgono ovviamente anche persone che decidano di corrispondere con un Vostro indirizzo di PEO, sono più che sufficienti ad identificare mittenti e destinatari, tracciarne le comunicazioni e ad arricchirne i profili cognitivo-comportamentali. Inoltre è importante sottolineare come tali trasferimenti possano includere anche categorie particolari di dati personali, quali quelle oggetto di divieto all'art. 9 comma 1 del GDPR. Si pensi, ad esempio, ai dati relativi alla salute comunicati dagli studenti affetti da DSA al personale docente in preparazione degli esami. 4. Come ben noto anche a seguito della sentenza Schrems II della Corte di Giustizia dell'Unione Europea, l'uso dei servizi sopra elencati non è attualmente conforme, in assenza di misure tecniche supplementari efficaci che non ci risultano indicate sul vostro sito, alle disposizioni del GDPR in ordine al trasferimento transfrontaliero dei dati personali verso gli Stati Uniti o altri Paesi la cui legislazione non fornisca ai cittadini europei una protezione equivalente a quella garantita nell'Unione. 5. Anche l'EDPB, con le Raccomandazioni 01/2020, ha precisato che si possono trasferire dati personali in tali Paesi utilizzando altre basi legali (come le clausole contrattuali tipo di protezione dei dati) ma solo adottando efficaci misure tecniche supplementari (per esempio la cifratura dei dati personali con chiavi indisponibili ai riceventi) di modo che non sia possibile utilizzare i dati personali in violazione dei diritti fondamentali dei cittadini europei al di fuori dell’UE. 6. Il Garante per la protezione dei dati personali della Danimarca, in un caso riguardante l'uso dei Chromebook e di Google Workspace nelle scuole del comune di Helsingør, ha emesso in data 14 luglio 2022 un provvedimento nel quale ha evidenziato gravi violazioni e ha vietato il trasferimento dei dati a paesi terzi e l'uso di Google Workspace [^1]. 7. Durante l'esame tecnico organizzativo sulla piattaforma Microsoft Office 365, compreso Microsoft Teams, nella configurazione del progetto pilota del Ministero dell'Istruzione del Baden - Württemberg, il locale Garante per la protezione dei dati personali ha riscontrato alcune gravi carenze e numerose criticità nell'uso a fini didattici di tali piattaforme [^2]. 8. La Conferenza sulla protezione dei dati (Datenschutzkonferenz, DSK), l'organismo delle autorità tedesche indipendenti di controllo della protezione dei dati a livello federale e statale, il 7/12/2022 ha pubblicato la Relazione finale del gruppo di lavoro DSK "Servizi online di Microsoft” nella quale si leggono le seguenti Conclusioni: “L'utilizzo di Microsoft 365... ...richiede istruzioni obbligatorie da parte del responsabile del trattamento sul trasferimento dei dati personali a paesi terzi, in particolare gli Stati Uniti e tutti gli altri paesi in cui Microsoft o i suoi subprocessori sono attivi. In ogni caso, il trasferimento di dati verso gli Stati Uniti non può essere impedito nemmeno tecnicamente. In particolare, la legge statunitense sulla sicurezza nazionale sotto forma di FISA 702 può mettere in discussione l'adempimento degli obblighi previsti dalle clausole contrattuali standard. Pertanto, sarebbe necessario adottare misure di protezione supplementari per rendere impossibile o inefficace qualsiasi accesso da parte delle autorità statunitensi e anche da parte di Microsoft e dei suoi dipendenti, al fine di impedire a Microsoft di soddisfare le richieste di consegna ai sensi del FISA 702. Tuttavia, l'uso dei servizi Microsoft 365 come servizi cloud classici richiede a Microsoft di accedere a dati in chiaro in molti casi d'uso... ...Le misure fornite da Microsoft sono insufficienti...” [^3]. 9. Nel documento "2022 Azione esecutiva coordinata - Utilizzo di servizi basati su cloud da parte del settore pubblico" adottato come raccomandazione il 17 gennaio 2023, l'EDPB ribadisce che: "..l'utilizzo da parte di un ente pubblico del software fornito dal fornitore di servizi cloud può comportare trasferimenti verso molte destinazioni che non garantiscono un livello di protezione sostanzialmente equivalente a quello dell'UE, compresi gli Stati Uniti d'America (USA). In questi casi, l'ente pubblico - che agisce in qualità di titolare del trattamento - deve valutare attentamente i trasferimenti che possono essere effettuati per suo conto dal fornitore di servizi cloud, ad esempio identificando le categorie di dati personali trasferiti, le finalità, i soggetti a cui i dati possono essere trasferiti e il paese terzo coinvolto. La valutazione dei trasferimenti internazionali di dati personali in atto dovrebbe essere effettuata prima di impegnarsi con il fornitore di servizi cloud. Gli enti pubblici devono fornire istruzioni all'incaricato del trattamento per individuare e utilizzare uno strumento di trasferimento adeguato e, se necessario, per individuare e attuare misure supplementari appropriate che garantiscano che le garanzie contenute nello strumento di trasferimento prescelto possano essere rispettate dall'importatore, in modo da assicurare che il livello di protezione offerto dal GDPR non sia compromesso quando i dati sono trasferiti a un paese terzo.". [^4] 10. Human Rights Watch ha pubblicato nel 2022 un rapporto sulle violazioni della privacy di studenti, genitori ed insegnanti da parte delle piattaforme educative adottate durante la pandemia. [^5] 11. Infine L'Autorità Garante per la Protezione dei dati Personali italiana con Provvedimento del 9 giugno 2022 [docweb n. 9782890] , pubblicato il 23 giugno 2022, ha richiamato _"all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA"_ e invitato _"tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali"_. 12. Il servizio di posta elettronica Google Mail ed eventualmente ogni altro servizio che determini analoghi trasferimenti, come Google Drive o Google Workspace for Education, per la loro modalità di funzionamento, costituiscono di fatto strumenti di tracciamento e profilazione degli utenti, contrari ai principi ed alle norme del GDPR. 13. Ritengo quindi che i trasferimenti di dati personali sopra indicati non siano conformi al disposto normativo vigente - in ragione del trasferimento trasfrontaliero di dati personali e in assenza di una condizione legittimante ai sensi degli artt. 44 e ss. GDPR - e che quindi espongano a rischi ingiustificati tutti gli utenti dei servizi ed i loro corrispondenti. 14. Da ultimo non è trascurabile la sussistenza di esigenze di tutela degli interessi nazionali e dei diritti di proprietà intellettuale ed industriale che, nel descritto contesto normativo internazionale, sconsiglierebbero l'uso dei sopra citati servizi di cloud soprattutto in settori legati alla ricerca ed all'innovazione tecnologica. 15. Pertanto invito l'Ateneo in indirizzo a voler provvedere alla rimozione dei servizi sopra indicati, entro il termine di 40 giorni dalla ricezione della presente. 16. In alternativa e negli stessi termini, invito l'Ateneo ad adottare misure tecniche supplementari efficaci a protezione dei dati personali degli interessati coinvolti nel funzionamento del Vostro sistema di PEO - inclusi quelli del sottoscritto, coivolto quale corrispondente di un Vostro indirizzo di PEO - tali che nessun dato (o insieme di dati), raggiungendo i server in questione, possa permettere di identificare con probabilità non trascurabile, tracciare le comunicazioni e ad arricchirne i profili cognitivo-comportamentali di un qualsiasi cittadino italiano o europeo. 17. In difetto di ottemperanza da parte Vostra, nel termine sopra indicato, agli obblighi di legge in materia di trattamento dei dati personali, mi vedrò costretto a rivolgermi al Garante per la protezione dei dati personali, ai sensi e per gli effetti degli artt. 141 e seguenti del Codice in materia di protezione dei dati personali (DECRETO LEGISLATIVO 30 giugno 2003, n.196 e successive modifiche e integrazioni) per una valutazione della Vostra condotta anche ai fini dell'emanazione di eventuali provvedimenti di cui all'art. 58 del GDPR. Rimango a disposizione per ulteriori chiarimenti. Con osservanza. Distinti saluti Milano, 02/02/2023 Giacomo Tesio Co-fondatore di Monitora PA https://monitora-pa.it Con il sostegno di: - Hermes Center, Associazione con sede in Via Aterusa n. 34, 20129 Milano, in persona del legale rappresentante p.t Fabio Pietrosanti C.F. 97621810155 https://www.hermescenter.org/ - LinuxTrent, Associazione con sede in Via Marconi n. 105, 38057 Pergine Valsugana, in persona del legale rappresentante p.t Roberto Resoli C.F. 96100790227 https://www.linuxtrent.it/ - Open Genova, Associazione con sede in Piazza Matteotti n. 5 c/o Mentelocale.it, 16123 Genova, in persona del legale rappresentante p.t Pietro Biase C.F. 95165570102 https://associazione.opengenova.org/ - AsCII, Associazione con sede in Via del Mare n.108, 80016 Marano di Napoli, in persona del legale rappresentante p.t Avvocato Marco Andreoli C.F. 94200750639 https://www.ascii.it/ - AsSoLi, Associazione con sede in Via San Quintino n. 32, 10121 Torino, in persona del legale rappresentante p.t Angelo Raffaele Meo C.F. 94082140487 https://www.softwarelibero.it/ ________________________________ [^1]:https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/datatilsynet-nedlaegger-behandlingsforbud-i-chromebook-sag- [^2]:https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/ [^3]:https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf [^4]:https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf [^5]:https://www.hrw.org/report/2022/05/25/how-dare-they-peep-my-private-life/childrens-rights-violations-governments