Ciao Stefano, scusa se insisto oltre a quanto già fatto da Giacomo ma l'incidente in questione dice molto di più rispetto a quanto _appare_, rileggiamolo assieme... Stefano Zacchiroli <zack@upsilon.cc> writes: [...]
Insisto: secondo me state confondendo la possibilità teorica di fare tale accesso US->EU
Il rapporto di incidente di Google https://status.cloud.google.com/incident/zall/20013 recita testualmente: --8<---------------cut here---------------start------------->8--- Google Cloud Platform and Google Workspace experienced a global outage affecting all services which require Google account authentication for a duration of 50 minutes. The root cause was an issue in our automated quota management system which reduced capacity for Google's central identity management system, causing it to return errors globally. As a result, we couldn’t verify that user requests were authenticated and served errors to our users. --8<---------------cut here---------------end--------------->8--- Il sistema mondiale di gestione delle identità dei servizi "Google Cloud Platform" e "Google Workspace" è *centralizzato* negli USA. C'è scritto «Google's central identity management system» e il centro di Google, quello che accede al sistema di identity management, è negi USA: sbaglio? Qualunque dato sia immagazzinato in quel sistema centralizzato è praticamente certo che si tratta di dati il cui trasferimento è regolato dal GDPR: sbaglio? (domanda retorica, perdonami). Se le due conclusioni sopra non sono errate, ne consegue che il database del sistema di identity management - indipendentemente da dove i dati siano "fisicamente" immagazzinati - è accessibile a Google USA e quindi sottoposto a legislazione USA e di conseguenza in violazione del GDPR secondo quanto emerso da Shrems II: sbaglio? Se il problema fosse stato circoscritto alla EU allora Google - e i data controller e processors che usano i suoi servizi - avrebbero potuto sostenere che dagli USA non hanno accesso a quei dati perché i sistemi sono separati *e* da quello EU non esce uno spillo verso quello USA (due condizioni)... ma è avvenuto _esattamente_ il contrario, Google USA ha indirettamente ammesso di controllare (anche) i dati dei cittadini EU. L'unica cosa che non sappiamo è *esattamente* quali dati sono memorizzati in quel sistema centralizzato di identity management, mi piacerebbe che siano i data controler a dircelo: loro lo DEVONO sapere. Ma questo è secondario. Conoscendo i sistemi di «identity management» come minimo ci sono i dati anagrafici forniti dagli utenti e ho il fondato sospetto ci siano anche quelli relativi agli accessi [1] e probabilmente anche altri dati (tipo indirizzo, telefono, posizioni GPS?!?) che gli utenti forniscono spIntaneamente a Google. Chi lo sa? Mah?!? Ma questo è secondario. [...] Saluti, Giovanni. [1] ATTENZIONE. Il problema legato alla quota (ovvero lo spazio massimo di memorizzazione su disco consentito ad un utente o a un servizio) ha bloccato l'autenticazione, questo significa che durante l'autenticazione il sistema ha bisogno di spazio disco: se non per memorizzare *nuovi* dati sull'account che vuole accedere, a cosa servirebbe quello spazio? -- Giovanni Biscuolo