Sulle inquietanti rassicurazioni... di AgID

Negli scorsi giorni, diverse pubbliche amministrazioni ci hanno segnalato un'articolo sul blog di AgID - Agenzia per l'Italia Digitale, chiedendoci se le rassicurazioni ivi contenute possano sollevare il Titolare del Trattamento dalle responsabilità nei confronti degli interessati o se le criticità che abbiamo segnalato loro persistano.

AgID precisa che non viene effettuato alcun trasferimento di dati personali verso Paesi extraeuropei mediante l’applicativo, in conformità alla vigente normativa unionale europea e nazionale in materia di protezione dei dati personali.

I dati analitici acquisiti mediante WAI non identificano o rendono identificabile, direttamente o indirettamente, una persona fisica; in considerazione dell’applicazione di tecniche di anonimizzazione, si assicura la piena conformità alla normativa sopra richiamata.

Si rassicurano quindi le pubbliche amministrazioni e i cittadini che la piattaforma WAI eroga un servizio conforme alla normativa vigente.

Lungi dal rassicurarle rispetto alle proprie responsabilità come Titolari del Trattamento, alcune Pubbliche Amministrazioni hanno definito "vaga e superficiale" (in un caso persino "inquietante") tale risposta.

Le PA rassicurate da AgID

Sorpresi e onorati dalla fiducia che tali richieste evidenziano, abbiamo deciso di approfondire la nostra analisi del servizio in questione alla luce del comunicato di AgID, nella speranza che nuove misure tecniche supplementari confermassero le parole di AgID in proposito.

I trasferimenti in corso

Come già spiegato nella nostra segnalazione alle Pubbliche Amministrazioni, la collocazione fisica dei server che persistono i dati personali è del tutto irrilevante se tali server e la rete cui sono connessi eseguono software realizzato e distribuito da una società statunitense come Amazon Web Service, Inc. che dichiara espressamente nei propri Termini di Servizio di poter essere costretta a fornire segretamente i dati personali che raggiungono i propri servizi al Governo del proprio Paese.

Abbiamo dunque verificato che il servizio che riceve le chiamate HTTPS dai browser dei visitatori dei siti delle PA che utilizzano Web Analytics Italia continua ad essere ospitato dai datacenter milanesi di Amazon Web Service, Inc.

Tali chiamate rendono facilmente identificabili molti dei visitatori dei siti web delle PA in questione: è sufficiente, ad esempio, che in un altro tab del browser il visitatore sia autenticato al noto negozio online di Amazon, per ricondurre ogni pacchetto IP ed il suo contenuto all'identità del visitatore.

Amazon inoltre, avendo accesso fisico alla rete e al server che esegue Matomo per conto di AgID, dispone di innumerevoli modi per accedere ai dati ricevuti dal software prima che vengano anonimizzati e aggregati in report statistici.

Ad esempio, come ben spiegato da questo schema realizzato da Amreo, Amazon potrebbe essere costretta ad estrarre le chiavi crittografiche utilizzate dalle proprie macchine virtuali per cifrare il traffico HTTPS del servizio che attraversa la propria rete, decifrando poi tutti i dati personali inviati al servizio dai browser degli interessati.

Schema delle comunicazioni fra il browser dell'utente e WAI con possibili punti di esfiltrazione dei dati personali.

In altri termini, senza dover manomettere in alcun modo il server utilizzato da AgID, Amazon può facilmente accedere a tutti i dati ricevuti dagli utenti, prima che Matomo possa anche solo provare ad anonimizzarli ed aggregarli in report statistici.

Un primo FOIA per fare chiarezza

Dopo un'attenta analisi tecnico-giuridica della questione, abbiamo deciso di chiedere ad AgID le informazioni necessarie per dirimere definitivamente la questione e rispondere in modo serio e rigoroso alle Pubbliche Amministrazioni che ci hanno chiesto un parere.

Abbiamo dunque inviato un primo accesso civico generalizzato ad AgID in cui richiediamo:

  1. copia della valutazione d'impatto della protezione dei dati (DPIA) effettuata dall'AgID - Agenzia per l'Italia Digitale nell’ambito dell’utilizzo di Web Analytics Italia sui server di Amazon Web Service, Inc (AWS), riportante le misure tecniche e organizzative individuate ed adottate per impedire ad Amazon Web Service, Inc di accedere agli IP dei visitatori e agli altri dati personali che ne raggiungano la rete con destinazione ingestion.webanalytics.italia.it, anche alla luce della possibilità per Amazon di estrarre dalle proprie macchine virtuali o fisiche la chiave crittografica utilizzata per la cifratura del traffico HTTPS;
  2. copia della valutazione di impatto del trasferimento dei dati all'estero (TIA), eseguita dall'AgID - Agenzia per l'Italia Digitale, afferente all'eventuale trattamento dei dati in paesi terzi (ovvero che si trovino al di fuori dell'Unione Europea), necessario per la fruizione ed il funzionamento di Web Analytics Italia sui server di Amazon Web Service, Inc. anche alla luce di quanto esplicitamente dichiarato ai punti 1.4 e 3 dell'AWS Data Processing Addendum che integra l'AWS Customer Agreement;
  3. copia del parere o del provvedimento emesso dal Garante per la Protezione dei Dati Personali all'esito della necessaria consultazione preventiva;
  4. copia dei Termini di Servizio sottoscritti da Amazon Web Service, Inc. (o società consociate) per la fornitura di tutti i servizi connessi all'esecuzione del software Matomo per Web Analytics Italia;
  5. copia dei contratti stipulati fra AgID - Agenzia per l'Italia Digitale e Amazon Web Service, Inc. nell'ambito della fornitura del servizio Web Analytics Italia.

E intanto le PA?

Nell'attesa di chiarire con AgID gli aspetti tecnici e giuridici dei trasferimenti in corso verso AWS, abbiamo deciso di rimandare di 30 giorni la segnalazione al Garante delle circa duemila PA che rispondono, come Titolari del Trattamento, della condotta di AgID.

La nostra speranza è che le PA in questione abbiano così il tempo di effettuare gli audit previsti presso AgID, di preparare la propria DPIA in merito al servizio (anche con il supporto di AgID stessa) e di ottenere l'esito della necessaria consultazione preventiva richiesta al Garante nei termini dell'articolo 36 comma 1 del GDPR.

In caso di rischio elevato per i diritti degli interessati, il Titolare del Trattamento deve richiedere un parere all'Autorità Garante per la Protezione dei Dati Personali.

Se come speriamo le risposte fornite da AgID dimostreranno l'adozione di efficaci misure tecniche supplementari a protezione dei dati personali trattati, avremo cura di riportarle alle PA che ci hanno chiesto un parere in merito.

In caso contrario, saremo costretti a segnalare al Garante i trasferimenti effettuati da AgID e da tutte le PA che ancora utilizzeranno Web Analytics Italia, allegando la documentazione fornita.

In qualunque caso, il nostro consiglio ai Titolari del Trattamento è di incaricare il proprio DPO affinché effettui un audit approfondito dell'infrastruttura di Web Analytics Italia, in modo da documentare precisamente le misure adottate a protezione dei dati personali nella DPIA dedicata.

Tale documento sarà utile per le future istruttorie dell'Autorità Garante per la Protezione dei Dati Personali o in caso di FOIA inviati da cittadini interessati come noi al tema.