Sono trascorsi ormai quasi 3 anni dalla sentenza Schrems II ma migliaia di Pubbliche Amministrazioni (fra cui scuole e ospedali) continuano ad inviare i dati personali di milioni di cittadini italiani a Google, utilizzando o imponendo l'utilizzo degli innumerevoli servizi.
Spesso fra questi dati personali compaiono dati estremamente sensibili specificatamente protetti dall'articolo 9 del GDPR come le convinzioni religiose degli studenti che fruiscono dell'insegnamento facoltativo della Religione Cattolica a scuola, o i pazienti le cui malattie vengono comunicate fra specialisti ospedalieri e medicina territoriale nelle ASL che adottano questi servizi.
A settembre 2022, Fabio Pietrosanti aveva inviato un FOIA a tutte le scuole pubbliche italiane, nella speranza che almeno i Dirigenti Scolastici iniziassero a prendere coscienza, se non della gravi menomazione che la piattaforma di Google causa alla libertà futura degli studenti, almeno delle gravi violazioni di legge di cui si rendono personalmente responsabili.
Non potevamo francamente immaginare che la scarsa competenza di centinaia di DPO, spingesse invece i DS ad assumersi pubblicamente la responsabilità di aver adottato servizi che comportano una profilazione sistematica e su larga scala per trattare dati biometrici (come impronta vocale e feature facciali) presso un azienda soggetta a normative incompatibili con i diritti umani degli studenti... senza nemmeno redatto le accurate valutazioni di impatto previste per legge!
A fronte di tale illegalità diffusa, abbiamo deciso di chiedere alle PA che utilizzano GMail e servizi associati come Google Workspace di interrompere i trasferimenti illeciti in corso (o adottare le efficaci misure tecniche supplementari previste dalla Corte di Giustizia Europea).
Oltre 2 mesi dopo, abbiamo rilevato che i Titolari di 3255 Pubbliche Amministrazioni hanno scelto di prosegure nei trasferimenti illeciti, assumendosene la piena e consapevole responsabilità.
Pur consapevoli che la violazione della normativa è spesso dettata dal consiglio di DPO sempre più palesemente incompatibili con l'incarico che nulla rischiano in prima persona (nonché di esperti che si presentano come docenti universitari omettendo il proprio conflitto di interessi come rivenditori dei servizi che difendono), siamo stati dunque costretti a segnalare, per l'ennesima volta, migliaia di PA all'Autorità Garante per la Protezione dei Dati Personali:
Dopo quasi tre anni dalla sentenza Schrems II non è ammissibile, in uno Stato di diritto, continuare a violare la normativa vigente e i diritti fondamentali di milioni di cittadini italiani nell'attesa che il processo di adozione di una nuova decisione di adeguatezza gli USA si concluda positivamente: infatti come chiarito dall'EDPB con parere n. 5/2023 e dal Parlamento UE con risoluzione dell'11 maggio 2023, affinché i dati personali dei cittadini europei possano godere di una protezione equivalente a quella garantita in Europa, saranno necessarie ulteriori e profonde modifiche alla normativa statunitense che, se mai verranno adottate, richiederanno ancora tempi ancora molto lunghi.