La Storia si ripete...
Come già avvenne nel 2016 per il Safe Harbor 2.0 (anche noto come Privacy Shield) lo European Data Protection Board ha espresso ieri la propria opinione in merito all'adeguatezza della protezione dei dati personali sotto la nuova versione del Safe Harbor, ribattezzato "EU-US Data Privacy Framework".
Esattamente come nel 2016, l'EDPB ha espresso forti preoccupazioni rispetto all'efficacia delle procedure proposte dagli Stati Uniti
a protezione dei nostri dati e della nostra libertà, sia per quanto riguarda lo sfruttamento commerciale degli stessi, sia per quanto
riguarda il rispetto
dei diritti umani da parte delle agenzie di Intelligence statunitensi.
Per intenderci, le stesse agenzie che violavano, in accordo con i Big Tech, la stessa normativa statunitense prima che Snowden ne rivelasse le attività, producendo lo scandalo globale che condusse al riconoscimento della nullità del Privacy Shield da parte della Corte di Giustizia Europea.
Le stesse agenzie che pianificano da anni come rapire e/o assassinare Assange colpevole di aver rivelato i crimini di guerra compiuti dall'esercito degli Stati Uniti.
Se la Storia è destinata a ripetersi, la Commissione Europea ignorerà bellamente i moniti dell'EDPB, ridicolizzando il Governo Francese e quello Tedesco (nonché qualunque velleità di sovranità digitale del Governo Italiano) e confermando la propria sudditanza dagli stati uniti.
...o forse no?
Non è però ancora certo che l'Unione Europea voglia delegittimare la propria esistenza così tanto da correre spavaldamente incontro ad una nuova sentenza Schrems.
O quanto meno questo sembra indicare la Commissione per le Libertà Civili, la Giustizia e gli Affari Interni con la sua proposta al Parlamento Europeo di bocciare il nuovo accordo.
Esattamente come l'EDPB, il LIBE riconosce gli sforzi fatti dall'Executive Order di Biden, ma li giudica comunque insufficienti.
E Monitora PA che fa? Manda 3380 nuove PEC! ;)
Mentre aspettiamo una sentenza Schrems III (pur sperando che non sia necessaria), abbiamo deciso di ricordare alla Pubblica Amministrazione italiana che da due anni tutti i trasferimenti di dati personali in chiaro verso società statunitensi è illegale.
Per farlo abbiamo inviato a 3380 PA che usano GMail la richiesta di dismetterlo, cogliendo anche l'occasione di informarle sulle nuove raccomandazioni del EDPB proprio sugli obblighi della PA nella scelta dei fornitori cloud:
All'attenzione di:
- ${Denominazione_ente}, in qualità di
soggetto titolare del trattamento ai sensi dell'art. 4 par. 1 n. 7 - GDPR.
Il sottoscritto Fabio Pietrosanti, nato a Latina il 31/08/1980
(codice fiscale: PTRFBA80M31E472W), scrive nell'ambito
nel progetto Monitora PA (https://monitora-pa.it) e con il
sostegno dei cittadini che vi collaborano e delle associazioni
elencate in calce, eleggendo ai fini del presente atto
a domicilio digitale l'indirizzo di posta elettronica
certificata comunicazioni@pec.monitora-pa.it, e a domicilio
fisico via Aretusa 34, a Milano c/o Hermes Center.
1. Tramite l'esecuzione dell'osservatorio di Monitora PA,
in data $datetime, ho rilevato che il vostro Ente
${Denominazione_ente}
utilizza per la posta elettronica ordinaria
(PEO) i servizi forniti da Google LLC.
2. L'adozione dei servizi di posta elettronica forniti da Google
determina trasferimenti sistematici di dati personali degli utenti
e dei loro corrispondenti, non attualmente conformi, in assenza di
efficaci misure tecniche supplementari, alle disposizioni del GDPR
in ordine al trasferimento transfrontaliero di dati personali,
fra cui, a titolo esemplificativo ma non esaustivo:
- indirizzo IP
- indirizzo email
- Mail User Agent
- sistema operativo
- relazioni inter-personali
- dati personali descrittivi deducibili dall'incrocio dei dati
precedenti, dall'oggetto e dai contenuti dei messaggi trasmessi
3. Tale circostanza può essere verificata facilmente traminte l'analisi dei
i record MX sul DNS del vostro dominio email $automatism
$issues
Le informazioni inviate durante tali trasferimenti, che coinvolgono
ovviamente anche persone che decidano di corrispondere con un Vostro
indirizzo di PEO, sono più che sufficienti ad identificare mittenti
e destinatari, tracciarne le comunicazioni e ad arricchirne i profili
cognitivo-comportamentali.
4. Come ben noto anche a seguito della sentenza Schrems II della Corte di
Giustizia dell'Unione Europea, l'uso dei servizi sopra elencati non è
attualmente conforme, in assenza di misure tecniche supplementari
efficaci che non ci risultano indicate sul vostro sito, alle disposizioni
del GDPR in ordine al trasferimento transfrontaliero dei dati personali
verso gli Stati Uniti o altri Paesi la cui legislazione non
fornisca ai cittadini europei una protezione equivalente
a quella garantita nell'Unione.
5. Anche l'EDPB, con le Raccomandazioni 01/2020, ha precisato che si possono
trasferire dati personali in tali Paesi utilizzando altre basi legali
(come le clausole contrattuali tipo di protezione dei dati) ma solo
adottando efficaci misure tecniche supplementari (per esempio la cifratura
dei dati personali con chiavi indisponibili ai riceventi) di modo che non
sia possibile utilizzare i dati personali in violazione dei diritti
fondamentali dei cittadini europei al di fuori dell’UE.
6. Il Garante per la protezione dei dati personali della Danimarca, in un
caso riguardante l'uso dei Chromebook e di Google Workspace nelle scuole
del comune di Helsingør, ha emesso in data 14 luglio 2022 un provvedimento
nel quale ha evidenziato gravi violazioni e ha vietato il trasferimento
dei dati a paesi terzi e l'uso di Google Workspace. [^1]
7. Durante l'esame tecnico organizzativo sulla piattaforma Microsoft Office
365, compreso Microsoft Teams, nella configurazione del progetto pilota
del Ministero dell'Istruzione del Baden - Württemberg, il locale Garante
per la protezione dei dati personali ha riscontrato alcune gravi carenze
e numerose criticità nell'uso a fini didattici di tali piattaforme. [^2]
8. La Conferenza sulla protezione dei dati (Datenschutzkonferenz, DSK),
l'organismo delle autorità tedesche indipendenti di controllo della
protezione dei dati a livello federale e statale, il 7/12/2022 ha
pubblicato la Relazione finale del gruppo di lavoro DSK "Servizi online
di Microsoft” nella quale si leggono le seguenti Conclusioni: “L'utilizzo
di Microsoft 365... ...richiede istruzioni obbligatorie da parte del
responsabile del trattamento sul trasferimento dei dati personali a
paesi terzi, in particolare gli Stati Uniti e tutti gli altri paesi in
cui Microsoft o i suoi subprocessori sono attivi. In ogni caso, il
trasferimento di dati verso gli Stati Uniti non può essere impedito
nemmeno tecnicamente. In particolare, la legge statunitense sulla
sicurezza nazionale sotto forma di FISA 702 può mettere in discussione
l'adempimento degli obblighi previsti dalle clausole contrattuali standard.
Pertanto, sarebbe necessario adottare misure di protezione supplementari
per rendere impossibile o inefficace qualsiasi accesso da parte delle
autorità statunitensi e anche da parte di Microsoft e dei suoi dipendenti,
al fine di impedire a Microsoft di soddisfare le richieste di consegna ai
sensi del FISA 702. Tuttavia, l'uso dei servizi Microsoft 365 come servizi
cloud classici richiede a Microsoft di accedere a dati in chiaro in molti
casi d'uso... ...Le misure fornite da Microsoft sono insufficienti...” [^3]
9. Nel documento "2022 Azione esecutiva coordinata - Utilizzo di servizi
basati su cloud da parte del settore pubblico" adottato come raccomandazione
il 17 gennaio 2023 l'EDPB ribadisce che: "..l'utilizzo da parte di un ente
pubblico del software fornito dal fornitore di servizi cloud può comportare
trasferimenti verso molte destinazioni che non garantiscono un livello di
protezione sostanzialmente equivalente a quello dell'UE, compresi gli
Stati Uniti d'America (USA).
In questi casi, l'ente pubblico - che agisce in qualità di titolare del
trattamento - deve valutare attentamente i trasferimenti che possono essere
effettuati per suo conto dal fornitore di servizi cloud, ad esempio identificando
le categorie di dati personali trasferiti, le finalità, i soggetti a cui i
dati possono essere trasferiti e il paese terzo coinvolto.
La valutazione dei trasferimenti internazionali di dati personali in atto
dovrebbe essere effettuata prima di impegnarsi con il fornitore di servizi cloud.
Gli enti pubblici devono fornire istruzioni all'incaricato del trattamento
per individuare e utilizzare uno strumento di trasferimento adeguato e, se
necessario, per individuare e attuare misure supplementari appropriate che
garantiscano che le garanzie contenute nello strumento di trasferimento
prescelto possano essere rispettate dall'importatore, in modo da assicurare
che il livello di protezione offerto dal GDPR non sia compromesso quando i
dati sono trasferiti a un paese terzo. [...]
Emerge dall'analisi effettuata dalle Autorità che il solo uso di un Cloud
Service Provider che sia parte di un gruppo multinazionale soggetto alla
normativa di paesi terzi, può risultare nell'applicazione di tale normativa
anche a dati salvati nel EEA. Eventuali richieste verrebbero inviate direttamente
al CSP presente nel EEA e riguarderebbero dati presenti nel EEA e non dati
già oggetto di trasferimenti." [^4]
10. Human Rights Watch quest'anno ha pubblicato un rapporto sulle violazioni
della privacy di studenti, genitori ed insegnanti da parte delle piattaforme
educative adottate durante la pandemia. [^5]
11. Infine L'Autorità Garante per la Protezione dei dati Personali italiana con
Provvedimento del 9 giugno 2022 [docweb n. 9782890] , pubblicato il
23 giugno 2022, ha richiamato "all’attenzione di tutti i gestori italiani
di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati
verso gli Stati Uniti attraverso GA" e invitato "tutti i titolari del
trattamento a verificare la conformità delle modalità di utilizzo di cookie
e altri strumenti di tracciamento utilizzati sui propri siti web, con
particolare attenzione a Google Analytics e ad altri servizi analoghi,
con la normativa in materia di protezione dei dati personali".
12. Il servizio di posta elettronica GMail ed eventualmente ogni altro
servizio che determini analoghi trasferimenti, come Google Drive,
Google Documents o Google Workspace, per la loro modalità di funzionamento,
costituiscono di fatto strumenti di tracciamento e profilazione degli
utenti, contrari ai principi ed alle norme del GDPR.
13. Inoltre non è mai possibile escludere che l'utilizzo di detti servizi
comporti il trasferimento di dati personali appartenenti alle speciali
categorie protette dall'articolo 9 del GDPR.
Ad esempio una scuola potrebbe inavvertitamente cedere a Google LLC
informazioni sulla religione di uno studente attraverso dati sulla sua
partecipazione agli insegnamenti facoltativi della Religione Cattolica;
un ospedale potrebbe informare Google LLC sulle patologie che affliggono
un determinato paziente permettendo ai medici alla propria dipendenza di
comunicare via email tali dati o più in generale una qualsiasi PA potrebbe
rendere disponibili i dati sanitari di un proprio dipendente a Google,
che li processerebbe per le proprie finalità. [^6]
14. Ritengo quindi che i trasferimenti di dati personali sopra indicati non
siano conformi al disposto normativo vigente - in ragione del trasferimento
trasfrontaliero di dati personali e in assenza di una condizione legittimante
ai sensi degli artt. 44 e ss. GDPR - e che quindi espongano a rischi
ingiustificati tutti gli utenti dei servizi ed i loro corrispondenti.
15. Pertanto invito l'Ente in indirizzo a voler provvedere alla rimozione
dei servizi sopra indicati, entro il termine di 60 giorni dalla ricezione
della presente.
16. In alternativa e negli stessi termini, invito il vostro Ente ad adottare
misure tecniche supplementari efficaci a protezione dei dati personali
degli interessati coinvolti nel funzionamento del Vostro sistema di
PEO tali che nessun dato (o insieme di dati), raggiungendo i server
di Google, possa permettere di identificare con probabilità non trascurabile,
tracciare le comunicazioni e ad arricchirne i profili cognitivo-comportamentali
di un qualsiasi cittadino italiano o europeo.
17. In difetto di ottemperanza da parte Vostra, nel termine sopra
indicato, agli obblighi di legge in materia di trattamento dei dati
personali, mi vedrò costretto a rivolgermi al Garante per la protezione
dei dati personali, ai sensi e per gli effetti degli artt. 141 e
seguenti del Codice in materia di protezione dei dati personali
(DECRETO LEGISLATIVO 30 giugno 2003, n.196 e successive modifiche
e integrazioni) per una valutazione della Vostra condotta anche
ai fini dell'emanazione di eventuali provvedimenti di cui
all'art. 58 del GDPR.
Rimango a disposizione per ulteriori chiarimenti.
Con osservanza.
Distinti saluti
Milano, 01/03/2023
Fabio Pietrosanti
Co-fondatore del progetto Monitora PA
https://monitora-pa.it
Con il sostegno di:
- Hermes Center, Associazione con sede in Via Aterusa n. 34, 20129
Milano, in persona del legale rappresentante p.t Fabio Pietrosanti
C.F. 97621810155 https://www.hermescenter.org/
- LinuxTrent, Associazione con sede in Via Marconi n. 105, 38057
Pergine Valsugana, in persona del legale rappresentante p.t Roberto
Resoli C.F. 96100790227 https://www.linuxtrent.it/
- Open Genova, Associazione con sede in Piazza Matteotti n. 5
c/o Mentelocale.it, 16123 Genova, in persona del legale
rappresentante p.t Pietro Biase C.F. 95165570102
https://associazione.opengenova.org/
- AsCII, Associazione con sede in Via del Mare n.108, 80016
Marano di Napoli, in persona del legale rappresentante p.t Avvocato
Marco Andreoli C.F. 94200750639 https://www.ascii.it/
- AsSoLi, Associazione con sede in Via San Quintino n. 32, 10121
Torino, in persona del legale rappresentante p.t Angelo Raffaele Meo
C.F. 94082140487 https://www.softwarelibero.it/
________________________________
[^1]: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/datatilsynet-nedlaegger-behandlingsforbud-i-chromebook-sag-
[^2]: https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/
[^3]: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf
[^4]: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf
[^5]: https://www.hrw.org/report/2022/05/25/how-dare-they-peep-my-private-life/childrens-rights-violations-governments
[^6]: è importante notare come tali finalità includano esplicitamente
- "migliorare i nostri servizi"
- "sviluppare nuovi prodotti e funzionalità"
- "mostrare pubblicità"
- "effettuare ricerche"
- rispondere "a una richiesta esecutiva del governo"
https://policies.google.com/privacy?hl=it-IT#europeanrequirements