Al di là di tutti i tecnicismi e della filosofia. Facendo un discorso terra-terra, se Google o equivalente gigante hi-tech non è adatto come fornitore di un'infrastruttura di servizi per la scuola allora cosa si dovrebbe fare? L'infrastruttura di stato? 



On Wed, Dec 16, 2020 at 12:40 PM Giacomo Tesio <giacomo@tesio.it> wrote:
On Wed, 16 Dec 2020 10:18:41 +0100
Stefano Quintarelli <stefano@quintarelli.it> wrote:

> On 16/12/2020 10:03, Giacomo Tesio wrote: 
> > Il down non dimostra un data breach, ma l'assenza di una protezione
> > dei dati europei da parte di Google compatibile con il GDPR.   
>
> punto di vista interessante.
> perche' ? 

Il disservizio (come il ripristino) è stato globale e contemporaneo.

Se si fosse verificato solo in Italia od in momenti diversi in luoghi
diversi... o quanto meno se non fosse avvenuto negli USA, questo
problema non avrebbe rivelato nulla di nuovo sull'infrastruttura
interna di Google.

Il fatto che il problema si sia verificato contemporaneamente in tutti
i data center implica un controllo centralizzato del sistema di storage
distribuito su cui il sistema di Identity and Access Management si basa.


Come spiegavo a Stefano, questo significa che Google LLC controlla tutti
i data center, controllando il software che gestisce i dati personali,
indipendentemente da dove questi siano memorizzati.

Può dunque accedere a questi dati da remoto.


E' piuttosto ovvio se ci pensi: se posso modificare liberamente il
software eseguito su un server, ho accesso a tutti i dati che contiene.


Di conseguenza i dati personali dei cittadini europei che lo IAM
detiene sono accessibili dagli Stati Uniti. E questo rende la protezione
dei dati offerta da Google non equivalente a quella prevista dal GDPR.


D'altronde, Paolo mi faceva notare che, in effetti, i contratti di
Google dichiarano esplicitamente che tale trasferimento può avvenire.

Questo implica che eventuali risarcimenti danni vanno richiesti non a
Google, ma ai data controller europei che scelgono di avvalersi dei
suoi servizi (i quali possono rivalersi su Google se ritengono).


In qualunque caso, quanto avvenuto ieri mostra che tali data processing
sono in contrasto con il GDPR e vanno subito interrotti dai data
controller o, se questi cincischiano, dall'autorità Garante.


Giacomo
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa


--

Ing. Davide Carboni, PhD
Partita IVA 03800580924 -- Albo sez. A (CA) n. 7236
Via Stresa 5 - 09045 - Quartu Sant'Elena (CA)
Tel: +39 3293547783
Book call on Calendly
Dagli Smart Contract alle ICO  https://bit.ly/2NI3174