Buongiorno, Stefano Zacchiroli <zack@upsilon.cc> writes: [...]
Il fatto che i dati siano *potenzialmente* accessibili (highlight mio, perché mi sembra dalle mail precedenti che su questo siamo d'accordo) via, ad esempio, deployment dagli USA di software che possa surrettiziamente esportare dati EU->USA non è condizione sufficiente per essere in violazione di GDPR.
Bisogna che tale accesso accada *effettivamente*.[^]
Non sono ancora in grado di sviluppare adeguatamente il discorso ma dopo una rapida lettura delle Recommendations 01/2020 «on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data» del EDPB [1], di cui si è discusso recentemente anche in questa lista, i controller o processor dei dati personali NON se la possono cavare rispondendo «devi dimostrare che tale accesso accada effettivamente»: l'onere della prova è ribaltato, esattamente come con la responsabilità da prodotto ;-) In particolare, l'executive summary specifica bene che occorrono _tutte_ le sei fasi, la _prima_ delle quali è: --8<---------------cut here---------------start------------->8--- As a first step, the EDPB advises you, exporters, to know your transfers. Mapping all transfers of personal data to third countries can be a difficult exercise. Being aware of where the personal data goes is however necessary to ensure that it is afforded an essentially equivalent level of protection wherever it is processed. You must also verify that the data you transfer is adequate, relevant and limited to what is necessary in relation to the purposes for which it is transferred to and processed in the third country. --8<---------------cut here---------------end--------------->8--- Quindi, non siamo "noi" a dover «know your transfer» verso gli USA, che Shrems II ha già chiarito essere decisamente problematici, ma sono i controllers o i processors. Ora che questa attività venga effettivamente svolta e che le autorità preposte al controllo verifichino la sua adeguatezza è seriamente messo in dubbio _esattamente_ dalla storia delle DUE sentenze Shrems: aspettiamo la terza? Dobbiamo rivolgerci alla corte europea _per_ogni_ caso di sospetto trasferimento inadeguato? Nel mio messaggio precedente ho scritto nero su bianco e senza _nessuna_ leggerezza che «gli indizi sono gravi e concordanti», qui aggiungo che sono DUE (almeno?): 1. i contratti dei servizi, Paolo Vecchi scrive: «Che i servizi forniti da Google non fossero conformi con il RGPD è chiaro a chiunque abbia letto i loro contratti». Io prima di leggere questa cosa mi sono chiesto esattamente questo: qual'è il contratto di servizio tra il Ministero dell'Istruzione e Google e Microsoft per l'utilizzo delle loro piattaforme? Mi immaginavo un contratto che imponesse il non trasferimento dei dati negli USA: Paolo Vecchi dice il contrario. 2. il guasto al sistema di auth fa sospettare che la gestione dei dati sia centralizzata Già solo 1. dovrebbe bastare no? Che il 2. sia vero o meno cambia il fatto che ce ne sarebbe già abbastanza per convincere le autorità preposte alla verifica del rispetto del GDPR e avviare un'indagine approfindita? Sono demagogo se dico che a me pare proprio manchi la volontà politica di andare effettivamente fino in fondo con la questione GDPR? ... una sorta di "legal washing": «noi abbiamo emanato delle leggi molto stringenti in materia, non è colpa nostra se *forse* non vengono rispettate, prego rivolgersi alla corte in caso di dubbi». Infine, come ho già detto in altro thread ritengo che le previsioni delle Recommendations 01/2020 di EDPB siano _molto_ solide MA manca totalmente un requisito fondamentale per tutte le questioni serie riguardanti la vita democratica: la trasparenza e _quindi_ il requisito di pubblicazione delle analisi che i processor o i controller svolgono **per ciascuno** dei sei "step" previsti... perché vorrei che chiunque con le adeguate competenze possa dare un'occhiata, in particolare in merito all'adeguatezza delle "misure tecniche" eventualmente applicate nello step quattro.
Quindi, tornando a bomba al punto di partenza di questo sotto thread (poi mi taccio), non sono al momento a conoscenza di evidenza tecnica che ci dica che da questo down possiamo dedurre che un tale accesso EU->USA sia avvenuto.
Visto che ancora non è del tutto chiaro, sarebbe interessante chiedere a Paolo Vecchi quali sono gli elementi tecnici che gli fanno scrivere: --8<---------------cut here---------------start------------->8--- La cosa interessante di questo specifico guasto dell’infrastruttura Google è che ha confermato a coloro che pensavano di utilizzare dei servizi dedicati agli utenti europei, che le credenziali di tutti gli utilizzatori dei loro servizi sono gestite da un’unica piattaforma di autenticazione situata negli Stati Uniti. E questo – come si è visto per i servizi colpiti dal down – riguarda anche le scuole. --8<---------------cut here---------------end--------------->8--- BTW IMHO questo sposta di POCHISSIMO il problema, anche se non fosse vero l'indizio numero 1. è ancora grave. [...] Saluti. Giovanni [1] https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/reco... -- Giovanni Biscuolo