Ci è giunta notizia che diversi rivenditori di Google e Microsoft si stanno offrendo "gratuitamente e pro veritate" per suggerire a Dirigenti Scolastici e Animatori Digitali di ignorare le nostre segnalazioni riguardanti Google Workspace e Microsoft Office 365.
Purtroppo queste consulenze gratuite vengono spesso offerte dichiarando titoli altisonanti e/o docenze universitarie, ma senza menzionare il conflitto di interessi di chi le propone.
Ricordando che chi le offre non rischia nulla da un punto di vista legale, speriamo di aiutare i Dirigenti Scolastici che se ne fossero avvalsi rispondendo ad alcune domande di loro interesse.
- Selezionare una data location europea per Google o Microsoft rende il servizio GDPR-compliant?
- Perché i record MX possono evidenziare una violazione dell'articolo 28 comma 1 del GDPR?
- Perché non sono stati verificati, invece dei record MX, i record SPF o TXT?
- Usare le email @posta.istruzione.it sanerebbe l'illecito o cambierebbe solo destinazione (da Google a Microsoft)?
- I titolari del trattamento possono adottare un approccio basato sul rischio, tenendo conto della probabilità delle richieste di accesso ai dati?
- Possiamo ignorare le segnalazioni al Garante di Monitora PA e prosegure nei trasferimenti illeciti perché tanto il Garante della Privacy non ha tempo di occuparsi di tutte le scuole?
Selezionare una data location europea per Google o Microsoft rende il servizio GDPR-compliant?
Come chiarito dal EDPB nelle raccomandazioni relative agli obblighi della PA nella selezione dei fornitori di servizi cloud, adottate il 17 gennaio 2023, Sebbene Microsoft e Google offrano la possibilità di archiviare i dati su server europei ciò si applica solo a ciò che Microsoft chiama "dati dei clienti" e che Google chiama "data-at-rest".
Queste definizioni riguardano qualsiasi file di testo, audio, video o immagine e software, fornito a Microsoft e Google da o per conto della scuola tramite l'utilizzo delle piattaforme.
Invece i "Dati diagnostici" che Microsoft e Google raccolgono o ricevono dal browser in relazione al Servizio online (a volte indicati come dati di telemetria) e dati generati dai servizi che Microsoft e Google generano o deducono nel corso del funzionamento di qualsiasi servizio online non sono interessati da queste regole di archiviazione. Questi dati vengono quindi memorizzati su sistemi negli Stati Uniti. A causa del loro possibile riferimento personale, sorgono questioni relative alla trasmissione legittima alla luce della giurisprudenza della Corte di giustizia europea (ECJ 311/18 ("Schrems II")).
Al fine di impedire la trasmissione di dati di telemetria personali, i responsabili devono pertanto garantire mediante misure contrattuali, tecniche o organizzative (ad esempio filtrando le trasmissioni di dati tramite un'infrastruttura adeguata) che non abbia luogo in modo dimostrabile alcuna trasmissione di dati di telemetria a Microsoft».
Inoltre, la possibilità di archiviazione dei dati su server europei tiene conto solo in parte del problema dell'accesso da parte di autorità statunitensi non conformi alla normativa europea, dal momento che l'American Clarifying Lawful Overseas Use of Data Act (CLOUD Act) del 23 marzo 2018 sancisce che le società statunitensi hanno l'obbligo di consegnare i dati anche se i dati sono archiviati al di fuori degli Stati Uniti.
Per Approfondire:
- https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/
- https://support.google.com/a/answer/9223653?rd=1&hl=it
- https://www.microsoft.com/licensing/docs
Perché i record MX possono evidenziare una violazione dell'articolo 28 comma 1 del GDPR?
Google dichiara espressamente diversi trattamenti, giustificati sulla base del proprio legittimo interesse, che esulano dalle esigenze di trattamento di scuole e ospedali e contrastano direttamente con l'articolo 25 del GDPR e di conseguenza costituiscono per il titolare anche una violazione dell'articolo 28 comma 1 sempre del GDPR.
L'articolo 28 comma 1 impone che un titolare del trattamento (come il Dirigente Scolatico) possa solo scegliere, per trattare dati personali, fornitori che possono garantire un livello di protezione dei dati equivalente a quello garantito in europa.
Nelle politiche di Google al link: https://policies.google.com/privacy?hl=it#europeanrequirements è spiegato chiaramente cosa Google considera come interesse legittimo.
L'utilizzo di record MX di Google indicano che tutta la posta arriva sui server Google che tratta i dati come sopra.
Per Approfondire:
Perché non sono stati verificati, invece dei record MX, i record SPF o TXT?
Ogni record DNS ha la sua funzione:
- MX indicare il server che riceve la posta elettronica
- SPF (deprecato in favore di un record TXT con la medesima funzione) per indicare i server che possono inviare la posta, possono, ma non obbligatoriamente inviano
- TXT sono record di testo utilizzati per verifica una tantum, record DMARC, DKIM e altre operazioni, ma che non indicano per forza l'utilizzo attuale di un servizio.
I Record MX quindi indicano l'IP del server di posta effettivamente utilizzato, permettendo di identificare l'azienda che lo controlla.
Nel caso di Google o Microsoft, la normativa statunitense impone a tali aziende di fornire a qualsiasi agenzia governativa che ne faccia richiesta ogni dato giunto a tale server indipendentemente da dove si trovi fisicamente, segretamente e senza nemmeno l'autorizzazione della Magistratura.
Usare le email @posta.istruzione.it sanerebbe l'illecito o cambierebbe solo destinazione (da Google a Microsoft)?
Usando le email @posta.istruzione.it per docenti e personale, la posta elettronica in arrivo finisce direttamente su server di Aruba, provider Italiano.
Quindi:
- l'utilizzo di caselle @posta.istruzione.it per docenti e personale
- l'utilizzo del registro elettronico per le comunicazioni con studenti
- l'utilizzo di mail personali (ovviamente su provider europei) per studenti con più di 14 anni
- la disabilitazione delle applicazioni Google Gmail in Google Workspace e Microsoft Exchange in Microsoft 365
- la rimozione dal DNS i record MX, SPF e TXT relativi a tali fornitori
permette di interrompere i trasferimenti illeciti di dati personali dovuti all'utilizzo della posta elettronica.
ATTENZIONE! Questo approccio non sana gli altri illeciti commessi dall'istituto con l'utilizzo degli altri componenti delle piattaforme in questione.
I titolari del trattamento possono adottare un approccio basato sul rischio, tenendo conto della probabilità delle richieste di accesso ai dati?
No.
I dati personali trasferiti in un Paese al di fuori dell'Unione Europea devono beneficiare di un livello di protezione "sostanzialmente equivalente" a quello garantito nell'UE.
In particolare, la possibilità di accesso illecito ai dati personali che va al di là di quanto necessario e proporzionato in una società democratica da parte delle autorità pubbliche lede gravemente i diritti e le libertà fondamentali degli interessati.
Nel caso in cui tale accesso sia possibile (e non solo quando l'accesso sia probabile) e le garanzie che regolano l'emissione delle richieste di accesso ai dati non consentano di garantire un livello di protezione dei dati sostanzialmente equivalente a quello garantito nell'Unione Europea (si vedano le raccomandazioni del EDPB sulle salvaguardie essenziali), è necessario adottare misure tecniche aggiuntive per rendere impossibile o inefficace tale accesso.
Tali misure sono previste nelle raccomandazioni del Comitato europeo per la protezione dei dati sulle misure aggiuntive ai trasferimenti.
(dalle FAQ del CNIL)
Possiamo ignorare le segnalazioni al Garante di Monitora PA e prosegure nei trasferimenti illeciti perché tanto il Garante della Privacy non ha tempo di occuparsi di tutte le scuole?
Certamente sì!
Le PEC di Monitora PA servono solo per informarvi di un illecito in corso, mettendovi in condizione di sanarlo rapidamente.
Tuttavia non possono costringervi in alcun modo a sanarlo: è sufficiente essere pronti a risponderne come violazione volontaria e consapevole dalla data della PEC in poi.
Chiunque può infatti fare una segnalazione al Garante della Privacy per tutelare i propri ed altrui diritti. Basta andare sul sito del Garante nella sezione "Reclami e Segnalazioni" nella fattispecie “Chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell'emanazione dei provvedimenti di cui all'articolo 58 del Regolamento”
D'altro canto, continuare a violare il GDPR sperando che il Garante della Privacy non abbia tempo di occuparsi della vostra scuola significa disprezzare palesemente i diritti fondamentali di studenti e dipendenti del vostro istituto.
Per Approfondire:
- https://www.garanteprivacy.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali
- https://www.garanteprivacy.it/garante/document?ID=9829277
- https://www.garanteprivacy.it/web/guest/home/ricerca/-/search/tipologia/Provvedimenti