On Tue, Dec 15, 2020 at 09:49:55PM +0100, Giacomo Tesio wrote:
Come rilevato dalla sentenza Shrems II, il GDPR vieta a qualunque responsabile europeo del trattamento di dati personali (data controller) di avvalersi di servizi (data processor) che potrebbero esporre tali dati ad una protezione non equivalente a quella garantita dal GDPR. [...] Ora, siamo d'accordo che tali dati SONO facilmente accessibili dagli USA ovunque si trovino, perché dagli USA controllano completamente il software che li elabora in tutti i data center di Google.
Concordo sulla tua sintesi di Shrems II, ma c'è un salto enorme tra questi due paragrafi è significativo. Il fatto che i dati siano *potenzialmente* accessibili (highlight mio, perché mi sembra dalle mail precedenti che su questo siamo d'accordo) via, ad esempio, deployment dagli USA di software che possa surrettiziamente esportare dati EU->USA non è condizione sufficiente per essere in violazione di GDPR. Bisogna che tale accesso accada *effettivamente*.[^] Quindi, tornando a bomba al punto di partenza di questo sotto thread (poi mi taccio), non sono al momento a conoscenza di evidenza tecnica che ci dica che da questo down possiamo dedurre che un tale accesso EU->USA sia avvenuto. Ciao [^] E bisogna inoltre che quando ciò accade la protezione garantita negli USA sia inferiore a quella offerta da GDPR in Europa. Ma questa sappiamo benissimo essere una trivialità. -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »