On Fri, 18 Dec 2020 13:07:41 +0100 Stefano Zacchiroli wrote:
Quel sistema "centralizzato" potrebbe benissimo avere delle istanze geograficamente distribuite, ognuna che conserva tutti e soli i dati degli utenti associati a quella zona geografica, ed esporli tutti come un'unica API logica.
Ma vedi che siamo d'accordo? Il guasto di martedì dimostra che Google amministra centralmente un sistema di storage globale accessibile attraverso un'unica API logica. Siamo perfettamente d'accordo su questo! E siamo d'accordo che questo controllo globale permette a Google LLC di accedere ai dati dei cittadini europei ovunque si trovino. Dal punto di vista tecnico siamo perfettamente d'accordo. Paolo ha semplicemente notato che, come scriveva Giovanni,
ne consegue che il database del sistema di identity management - indipendentemente da dove i dati siano "fisicamente" immagazzinati - è accessibile a Google USA e quindi sottoposto a legislazione USA e di conseguenza in violazione del GDPR secondo quanto emerso da Schrems II
La violazione del GDPR che questo guasto dimostra NON consiste in uno specifico trasferimento dati non autorizzato (un data breach), ma nell'impossibilità tecnica da parte di Google di garantire ai cittadini europei il livello di data protection prevista dal GDPR. Tutto qui. Niente di più e niente di meno. Giacomo