On Tue, 15 Dec 2020 22:49:18 +0100 Stefano Zacchiroli <zack@upsilon.cc> wrote:
On Tue, Dec 15, 2020 at 09:49:55PM +0100, Giacomo Tesio wrote:
Come rilevato dalla sentenza Shrems II, il GDPR vieta a qualunque responsabile europeo del trattamento di dati personali (data controller) di avvalersi di servizi (data processor) che potrebbero esporre tali dati ad una protezione non equivalente a quella garantita dal GDPR. [...] Ora, siamo d'accordo che tali dati SONO facilmente accessibili dagli USA ovunque si trovino, perché dagli USA controllano completamente il software che li elabora in tutti i data center di Google.
Concordo sulla tua sintesi di Shrems II
Beh, ad onor del vero, non è farina del mio sacco: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_20...
Il fatto che i dati siano *potenzialmente* accessibili (highlight mio, perché mi sembra dalle mail precedenti che su questo siamo d'accordo) via, ad esempio, deployment dagli USA di software che possa surrettiziamente esportare dati EU->USA non è condizione sufficiente per essere in violazione di GDPR.
Bisogna che tale accesso accada *effettivamente*.[^]
Confondi data protection e data breach. Il down non dimostra un data breach, ma l'assenza di una protezione dei dati europei da parte di Google compatibile con il GDPR. E su questo la sentenza Schrems II è molto chiara. Al punto 135 "Where the controller or a processor established in the European Union is not able to take adequate additional measures to guarantee such protection, the controller or processor or, failing that, the competent supervisory authority, are required to suspend or end the transfer of personal data to the third country concerned." E le Raccomandazioni del EDPB che ho citato, alla nota 22 di pagina 8 dicono espressamente: "Please note that remote access by an entity from a third country to data located in the EEA is also considered a transfer." Il tipo di accesso remoto che questo down ha mostrato, evidenzia che non vi è alcuna protezione efficace dei dati dei cittadini europei da parte di Google. Venendo meno tale protezione, viene meno la compatibiltà con il GDPR, sebbene durante questo specifico down non sia stato effettuato un data breach dagli USA.
Quindi, tornando a bomba al punto di partenza di questo sotto thread (poi mi taccio), non sono al momento a conoscenza di evidenza tecnica che ci dica che da questo down possiamo dedurre che un tale accesso EU->USA sia avvenuto.
Non serve. La protezione dei dati consiste nel impedire il data breach, non nello sperare che non avvenga. Se il data breach è tecnicamente e notoriamente possibile (come in questo caso) non c'è alcuna protezione.
[^] E bisogna inoltre che quando ciò accade la protezione garantita negli USA sia inferiore a quella offerta da GDPR in Europa. Ma questa sappiamo benissimo essere una trivialità.
Su questo le FAQ del EDPB sono cristalline: "La Corte ha rilevato che la normativa degli Stati Uniti (Art. 702 della FISA ed EO 12333) non garantisce un livello di protezione sostanzialmente equivalente." https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc... Giacomo