On Thu, 17 Dec 2020 08:01:21 +0100 Stefano Zacchiroli <zack@upsilon.cc> wrote:
On Thu, Dec 17, 2020 at 01:29:57AM +0100, Giacomo Tesio wrote:
Dunque mi sbagliavo: il GDPR vieta espressamente ad una multinazionale di fare deployment di software che acceda a dati di europei da data center extra europei (che non prevedano una protezione equivalente dei dati dei data subject).
Insisto: secondo me state confondendo la possibilità teorica di fare tale accesso US->EU (o installazione di software che lo faccia) con il fatto che ciò accada. Anche dal passaggio che hai citato a me non pare affatto che il primo scenario sia vietato e che quindi abbiamo nuove "prove" del fatto che Google sia in violazione di GDPR.
Scusami ma non capisco cosa intendi. Siamo d'accordo che il guasto di martedì è stato globale e contemporaneo, così come la sua risoluzione. Questo dimostra un controllo amminstrativo centralizzato della infrastruttura distribuita di storage dello IAM, indipendentemente dalla collocazione fisica dei data center. Ovvero abbiamo una conferma di ciò che qualunque informatico competente già immaginava, semplicemente perché è un approccio tecnicamente logico per un sistema di gestione delle credenziali di di identificazione e dei permessi di accesso. Il guasto non è stato teorico, così come la sua risoluzione. Dunque il controllo dei data center è in capo a Google LLC, che risponde alla legislazione statunitense. Questo tipo di accesso "per manutenzione" costituisce un trasferimento perché fornire accesso ai dati da un paese terzo, ad esempio per finalità amministrative, costituisce un trasferimento https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc... Intendi che utilizzare un proxy automatico (uno script o altro software) per effettuare un trasferimento lo rende legittimo? Per quanto ho capito il GDPR, la sentenza Schrems II e le raccomandazioni del EDPB in merito, no: sarebbe come abrogare il GDPR. E per quanto ho capito, SE il controllo del software nei data-center europei è in mano a Google LLC, ALLORA questo controllo (sottoposto alla legislazione USA) riduce concretamente la protezione dei dati personali degli utenti europei in mano a Google, in modo incompatibile con il GDPR. E visto che tale controllo esite (come evidenziato dal guasto), allora affidare dati di terzi a Google costituisce una violazione del GDPR. Non è l'accesso in sé a ridurre la protezione dei dati cui i cittadini europei hanno diritto: l'accesso in sé costituirebbe un data breach. E' la sistematica possibilità di accesso dagli USA a costituire una violazione del GDPR. Mi sta forse sfuggendo qualcosa di ovvio? Giacomo