Mi è arrivata info che a breve la mail degli studenti verrà gestita da Microsoft (Office365) https://www.unimi.it/it/archivio-avvisi/la-webmail-studentiunimiit-passa-mic... Chiedo ai più esperti qui: Schrems II non aveva stabilito che USA non è un safe harbour? (e quindi saremmo in presenza di una violazione del GDPR?) O c'è sotto qualche arcano che non fa scattare violazione? Grazie mille -- Andrea Trentini ⠠⠵ http://atrent.it Dip.to di Informatica Università degli Studi di Milano
Il 27/01/23 09:11, Andrea Trentini ha scritto:
Mi è arrivata info che a breve la mail degli studenti verrà gestita da Microsoft (Office365)
https://www.unimi.it/it/archivio-avvisi/la-webmail-studentiunimiit-passa-mic...
Chiedo ai più esperti qui: Schrems II non aveva stabilito che USA non è un safe harbour? (e quindi saremmo in presenza di una violazione del GDPR?) O c'è sotto qualche arcano che non fa scattare violazione?
Non sono esperto sul piano giuridico, almeno fino al punto da poter argomentare scientificamente rispetto ai punti che citi. Posso solo dire, pero', che il problema è serio (per "volume", intendo). Non ho traccia di giudizi pendenti presso il Garante (né in Europa). Garante che, comunque, si è espresso su temi "laterali" a quello che tocchi: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9833616 Forse tutto l'hype generato attorno a GoogleAnalytics ha concentrato l'attenzione su un tema specifico, distogliendolo da cose --forse-- piu' serie ed impattanti. In ogni caso, UniMI non sara' la prima a portare la posta sul cloud made-in-USA. Anzi... mi sa che sara' l'ultima (nel senso: tutte le altre, mi pare gia' lo facciano. Da tempo). "Toccare" questo argomento, quindi, equivale a toccare esplosivi, forse gia' innescati. Ultima nota "amarcord": ricordo molto bene diverse chiacchierate fatte personalmente con Lanzarini (ex Direttore del Cineca), ~15 anni fa, nelle quali lui raccontava dei problemi (amministrativi, prima che tecnici) relativi alla gestione della loro infrastruttura di posta elettronica, che ai tempi erogava la posta a qualche centinaio di migliaio di studenti, di diversi Atenei (da UniBO, a seguire). Mi diceva che "era solo fonte di problemi" (richiedeva supporto utente "importante") e che era "costosa" (da mantenere). Lasciato solo a deciderne le sorti, da manager attento a far quadrare i bilanci (e senza un indirizzo politico forte e chiaro al riguardo), decise di fare "power-off". Ed ecco il risultato, a 15 anni... BTW: lo staff che stava dietro al mantenimento di quell'infrastruttura.... era fatto da non piu' di tre persone (oltre la parte di "supporto utente") Un saluto, DV -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
On 27/01/23 09:37, Damiano Verzulli wrote:
Il 27/01/23 09:11, Andrea Trentini ha scritto:
Mi è arrivata info che a breve la mail degli studenti verrà gestita da Microsoft (Office365)
https://www.unimi.it/it/archivio-avvisi/la-webmail-studentiunimiit-passa-mic...
Chiedo ai più esperti qui: Schrems II non aveva stabilito che USA non è un safe harbour? (e quindi saremmo in presenza di una violazione del GDPR?) O c'è sotto qualche arcano che non fa scattare violazione?
Un grosso bove ho sopra la lingua. Notevole che la "completa integrazione e sincronizzazione con l'ecosistema Microsoft 365 (Calendario, Teams, OneDrive, SharePoint, etc.)" sia rappresentata in https://www.unimi.it/it/archivio-avvisi/la-webmail-studentiunimiit-passa-mic... come un *vantaggio*: "Nonna che integrazione grossa che hai?" "È per sorvegliarti meglio!" Una "riduzione del danno" sarebbe cogliere l'occasione per insegnare agli studenti a cifrare la posta, per esempio nelle istruzioni per la configurazione del client. Ma non ci si pone il problema: https://auth.unimi.it/migrazione365/configurazione_thunderbird_outlook-IT.pd... Le università sono amministrazioni indipendenti, anche quando aderiscono a contratti negoziati collettivamente dalla Crui. Quindi, anche se si riuscisse a ottenere una pronuncia favorevole dal Garante per un caso singolo, si dovrebbe agire successivamente università per università. Le università potrebbero peraltro cooperare per un loro servizio di posta collettivo indipendente: ma quando viene loro imposta la competizione, questa idea semplice diventa complicatissima. Morale: se induci amministrativamente i piccoli a competere, ma continui ad accettare che i grandi detengano mostruosi monopoli, non stai incentivando la concorrenza: stai incentivando il monopolio. Neoliberalmente (ma non liberalmente), MCP
On 27/01/2023 10:48, Maria Chiara Pievatolo wrote:
... Una "riduzione del danno" sarebbe cogliere l'occasione per insegnare agli studenti a cifrare la posta, per esempio nelle istruzioni per la configurazione del client. Ma non ci si pone il problema: https://auth.unimi.it/migrazione365/configurazione_thunderbird_outlook-IT.pd...
ma non basta, il grafo delle connessioni (metadati) sarebbe cmq tracciato e... https://www.nybooks.com/online/2014/05/10/we-kill-people-based-metadata/ -- Andrea Trentini ⠠⠵ http://atrent.it Dip.to di Informatica Università degli Studi di Milano
On 27/01/23 11:47, Andrea Trentini wrote:
ma non basta, il grafo delle connessioni (metadati) sarebbe cmq tracciato e...
... e con i "metadati", lo so, si uccide. Forse è proprio per questo che non si consigliano neppure azioni di riduzione del danno, che potrebbero indurre lo studente a sospettare che ci sia - eufemisticamente detto - qualche problema. E se gli studenti agissero collettivamente, ed eventualmente a livello nazionale e non locale, diverrebbe molto difficile perpetuare l'illegalità. I docenti universitari dovrebbero sistematicamente ricordare agli studenti di quali abusi sono vittime, e usare e raccomandare, quando è possibile, alternative, come hanno fatto alcuni di noi che hanno usato il BBB del GARR invece che i servizi di Microsoft e Google raccomandati dai loro atenei, senza nessuna reazione dell'amministrazione (che sa benissimo che cosa succederebbe se la questione finisse davanti a un giudice). Ma anche questa è solo un'azione di (limitatissima) riduzione del danno. La soluzione dovrebbe essere istituzionale - ma le istituzioni vanno in direzione contraria. Un saluto, MCP
On 27/01/2023 14:16, Maria Chiara Pievatolo wrote:
... I docenti universitari dovrebbero sistematicamente ricordare agli studenti di quali abusi sono vittime, e usare e raccomandare, quando è possibile, alternative, come hanno fatto alcuni di noi che
è quello che faccio quando ne ho occasione, ma non credo basti si può fare una qualche segnalazione? (tipo al Garante, ma posso farlo io a nome di altri?) -- Andrea Trentini ⠠⠵ http://atrent.it Dip.to di Informatica Università degli Studi di Milano
Prof Trentini, Prof Trentini... chieda a me! questa la so! :-D On Fri, 27 Jan 2023 14:36:13 +0100 Andrea Trentini wrote:
On 27/01/2023 14:16, Maria Chiara Pievatolo wrote:
... I docenti universitari dovrebbero sistematicamente ricordare agli studenti di quali abusi sono vittime, e usare e raccomandare, quando è possibile, alternative, come hanno fatto alcuni di noi che
è quello che faccio quando ne ho occasione, ma non credo basti
si può fare una qualche segnalazione? (tipo al Garante, ma posso farlo io a nome di altri?)
Sì, puoi fare segnalazione al Garante di qualsiasi violazione del GDPR di cui vieni a conoscenza (fermo restando che, segnalazioni palesemente false sono probabilmente perseguibili). Se vuoi una mano, non esitare a chiedere: ho una certa esperienza in proposito: - https://monitora-pa.it/2022/11/30/Segnalazione-al-Garante.pdf - https://monitora-pa.it/2022/11/30/Allegato-Tecnico.pdf - https://monitora-pa.it/2022/09/26/Segnalazione-al-Garante.pdf - https://monitora-pa.it/2022/09/26/Allegato-Tecnico.pdf - https://monitora-pa.it/2022/09/13/Segnalazione-al-Garante.pdf - https://monitora-pa.it/2022/09/13/Allegato-Tecnico.pdf - https://monitora-pa.it/2022/06/22/Segnalazione-al-Garante.pdf - https://monitora-pa.it/2022/06/22/Allegato-Tecnico.pdf (sicuramente ne manca qualcuna, ma sono un po' di corsa...) Tieni presente che non devi necessariamente fornire gli estremi di legge di ogni affermazione come abbiamo fatto noi con l'aiuto di bravissimi avvocati specializzati in materia: segnalare un illecito della PA è un diritto di ogni cittadino. E' buona prassi comunque richiedere al Titolare del Trattamento l'interruzione dell'illecito prima di effettuare la segnalazione. Se il Titolare non risponde entro un tempo congruo (30 giorni?) o se ti risponde che "Microsoft dice che andrà tutto bene", allora puoi fare la segnalazione al Garante. Inoltre viste le tue competenze e la tua autorevolezza, un allegato tecnico sarebbe di sicura utilità per il Garante. Non hai certo bisogno del mio aiuto, ma nel caso, sappi che sono felice di fare il possibile. Detto questo, poiché scrivi tu stesso da @unimi.it immagino tu abbia modo di segnalare ad un qualche gruppo studentesco un po' battagliero la possibilità di effettuare un RECLAMO, cosa che tu non puoi fare, per la casella email, fintanto che anche la tua non viene spostata sul cloud Microsoft. Il reclamo infatto lo possono fare solo gli interessati, in quanto vittime della violazione del GDPR per cui sporgono reclamo appunto. Naturalmente, se non lo sei ancora per la Mail (dal MX record vedo ancora un ip del GARR e dagli header SMTP dell'ultima mail che ho ricevuto qualche mese fa da @unimi.it deduco che M$ non controlli ancora il canale) lo potresti essere per altri servizi, come Teams o OneDrive o SharePoint che UNIMI potrebbe aver sciaguratamente affidato a Microsoft già in passato. In tal caso, puoi sporgere reclamo come interessato, perché anche i TUOI dati personali sono stati resi disponibili alla sorveglianza USA dal Titolare del Trattamento. Il modello di reclamo al garante lo trovi qui: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/4535524 Giacomo
On 27/01/2023 15:49, Giacomo Tesio wrote:
... Sì, puoi fare segnalazione al Garante di qualsiasi violazione del GDPR di cui vieni a conoscenza (fermo restando che, segnalazioni palesemente false sono probabilmente perseguibili).
direi che questa non lo è, a meno che il DPO (vedi sotto) non abbia risposte esaurienti
Se vuoi una mano, non esitare a chiedere: ho una certa esperienza in proposito:
volentieri, grazie
... E' buona prassi comunque richiedere al Titolare del Trattamento l'interruzione dell'illecito prima di effettuare la segnalazione. Se il Titolare non risponde entro un tempo congruo (30 giorni?) o se ti risponde che "Microsoft dice che andrà tutto bene", allora puoi fare la segnalazione al Garante.
esatto, pensavo di scrivere al nostro DPO https://www.unimi.it/it/ateneo/normative/privacy e chiedere lumi
Inoltre viste le tue competenze e la tua autorevolezza, un allegato tecnico sarebbe di sicura utilità per il Garante.
non mi ritengo esperto di normative...
Non hai certo bisogno del mio aiuto, ma nel caso, sappi che sono felice di fare il possibile.
vi tengo posted qui a valle di una mail al DPO
Detto questo, poiché scrivi tu stesso da @unimi.it immagino tu abbia modo di segnalare ad un qualche gruppo studentesco un po' battagliero la possibilità di effettuare un RECLAMO, cosa che tu non puoi fare, per la casella email, fintanto che anche la tua non viene spostata sul cloud Microsoft.
per ora siamo "salvi"
Il reclamo infatto lo possono fare solo gli interessati, in quanto
era quello che immaginavo
vittime della violazione del GDPR per cui sporgono reclamo appunto.
Naturalmente, se non lo sei ancora per la Mail (dal MX record vedo ancora un ip del GARR e dagli header SMTP dell'ultima mail che ho ricevuto qualche mese fa da @unimi.it deduco che M$ non controlli ancora il canale) lo potresti essere per altri servizi, come Teams o OneDrive o SharePoint che UNIMI potrebbe aver sciaguratamente affidato a Microsoft già in passato.
già, a livello di ateneo siamo "Microsoftizzati" (Teams, OneDrive, ...) mentre il dip.to aggiunge Zoom per le lezioni (in lockdown), cmq vedo poca sensibilità anche tra i colleghi :( (oltre che negli studenti, come altri hanno segnalato, e confermo) -- Andrea Trentini ⠠⠵ http://atrent.it Dip.to di Informatica Università degli Studi di Milano
On Fri, 27 Jan 2023 17:30:45 +0100 Andrea Trentini wrote:
esatto, pensavo di scrivere al nostro DPO https://www.unimi.it/it/ateneo/normative/privacy e chiedere lumi
[...]
vi tengo posted qui a valle di una mail al DPO
Sebbene il compito del DPO sia tutelare i diritti degli interessati, non è lui a rispondere di eventuali illeciti. Non è dunque al DPO che devi scrivere in prima battuta per segnalare gli illeciti che riscontri, ma al Titolare (eventualmente mettendo in copia il DPO), perché è il Titolare a doverne rispondere. Questa cosa l'abbiamo imparata con la primissima PEC di Monitora PA, che indirizzammo appunto ai DPO delle diverse PA, molti dei quali ci presero pubblicamente in giro per la nostra ignoranza. Da uno fummo definiti spregiativamente "collettivo hacker studentesco" cosa che noi in realtà considerammo un grande complimento! Gli hacker studiano sempre! Da quando abbiamo iniziato a scrivere ai Titolari non abbiamo più ricevuto critiche di questo tipo. Dunque, non scrivere al DPO se non in copia: è al Titolare che devi segnalare l'illecito e chiedere la sua interruzione. Così se non lo sana in un tempo utile (che devi definire nella richiesta) potrai fare segnalazione al Garante allegando la tua richiesta. Il Titolare potrebbe infatti non avere le competenze per comprendere l'illecito e il DPO potrebbe... aver perso di vista... una sentenza o due... un pronunciamento o due... E questo rapporto del EDPB che chiarisce in modo cristallino il problema è molto recente (del 18 gennaio 2023) quindi potrebbe non essere stato ancora... letto con la dovuta cura... https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedser...
Inoltre viste le tue competenze e la tua autorevolezza, un allegato tecnico sarebbe di sicura utilità per il Garante.
non mi ritengo esperto di normative...
Intendevo che potresti scrivere un'allegato tecnico spiegando come il transito delle mail in entrata/uscita dai server Microsoft comporta la possibilità di accedere a messaggi non cifrati (la maggioranza) e metadati da parte di Microsoft. Non credo che serva al Titolare del Trattamento (il rapporto del EDPB sopra è cristallino in proposito da un punto di vista legale), ma paradossalmente una analisi chiara dal punto di vista tecnico può essere oggettivamente utile al Garante. Giacomo
Il 27/01/23 17:30, Andrea Trentini ha scritto:
[...] vi tengo posted qui a valle di una mail al DPO
potrebbe essere utile --ai fini del confronto con il DPO-- dare un'occhiata a questo "panel": Effetto Covid-19: gli effetti del lockdown sulla sicurezza informatica. Come cambia la difesa quando il perimetro sparisce: esperienze => https://www.eventi.garr.it/en/ws20/programme/speaker-en/642-nicla-diomede#S6 Fu tenuto lo scorso novembre 2020, in occasione del GARR-Workshop 2020, e vide la partecipazione (fra gli altri) di: - Pierluigi Perri - DPO UniMilano - Guido Scorza - Garante Privacy Il panel era moderato da Nicla Diomede (che attualmente è responsabile CyberSec in Roma Capitale) e fu stimolato proprio dall'allora recente invalidazione del cosiddetto "Privacy Shield", che prima forniva alle societa' USA la possibilita' di "bypassare" alcune restrizioni del GDPR e che, invece, grazie a Max Shrems, fu invalidato... Pur essendo passati due anni... la situazione credo sia rimasta invariata. Anzi: il focus delle autorita' è certamente aumentato rispetto ad allora... Bye, DV -- Damiano Verzulli e-mail:damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
Il 27/01/23 14:16, Maria Chiara Pievatolo ha scritto:
[...] La soluzione dovrebbe essere istituzionale - ma le istituzioni vanno in direzione contraria.
Sul fatto che --in ambito "Posta Elettronica degli studenti affidata a Google/Microsoft"-- le istituzioni vadano in direzione contraria.... ho appena messo assieme alcuni numeri. Ho fatto rigirare il "robottino" che feci a suo tempo (febbraio 2021), per veriicare la situazione della Posta negli Atenei [1] (posta "istituzionale"). Rispetto ad allora, 4 ulteriori Atenei hanno spento i server "interni" e sono migrati verso il cloud. Abbiamo perso, quindi: - SISSA – Scuola Internazionale Superiore di Studi Avanzati (a Microsoft) - Università di Palermo (a Microsoft) - Università Mediterranea di Reggio Calabria (a Microsoft) - Università di Sassari (a Google) Ho anche provato a vedere cosa succede per i domini "@studenti.<univ>.it". Da una prima scrematura (dettagli: in fondo): - 20 Atenei hanno la posta dei propri studenti su Google - 20 Atenei hanno la posta dei propri studenti su Microsoft - 7 Atenei ce l'hanno INTERNAMENTE (self-hosted) - di 19 Atenei... non sono riuscito (rapidamente) a trovare dettagli. Tutto cio' per dire che... benvenga il problema sollevato da UniMilano (che nei miei dati, figura fra i SELF-HOSTED)... ma la situazione è _MOLTO_ piu' ampia. Un saluto, DV =========================================== Google => studenti.iuav.it => studenti.uniba.it => studenti.unibas.it => studenti.unibg.it => studenti.unibs.it => studenti.unicam.it => studenti.unich.it => studenti.unicz.it => studenti.unisalento.it => studenti.unipd.it => studenti.unimore.it => studenti.unipa.it => studenti.uniroma1.it => studenti.unisa.it => studenti.uniss.it => studenti.unite.it => studenti.unitn.it => studenti.unistrasi.it => studenti.unitus.it => studenti.uniupo.it Microsoft => studenti.univr.it => studenti.poliba.it => studenti.unica.it => studenti.unical.it => studenti.unicampania.it => studenti.unicas.it => studenti.unict.it => studenti.unimc.it => studenti.unime.it => studenti.unimol.it => studenti.uninsubria.it => studenti.unior.it => studenti.uniparthenope.it => studenti.unipg.it => studenti.unipi.it => studenti.unipr.it => studenti.unirc.it => studenti.uniroma4.it => studenti.unistrapg.it => studenti.units.it Self-Hosted: => studenti.unifi.it => studenti.unige.it => studenti.unimi.it => studenti.unina.it => studenti.unisannio.it => studenti.unibo.it => studenti.polito.it Ignoti: => studenti.gssi.it => studenti.imtlucca.it => studenti.polimi.it => studenti.sissa.it => studenti.sns.it => studenti.sssup.it => studenti.unife.it => studenti.unifg.it => studenti.unimib.it => studenti.unipv.it => studenti.uniroma2.it => studenti.uniroma3.it => studenti.unisi.it => studenti.unito.it => studenti.uniud.it => studenti.uniurb.it => studenti.univaq.it => studenti.unive.it => studenti.univpm.it [1] http://dvblog.soabit.com/la-posta-elettronica-negli-atenei-italiani/ -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
On 27/01/2023 19:03, Damiano Verzulli wrote:
... Tutto cio' per dire che... benvenga il problema sollevato da UniMilano (che nei miei dati, figura fra i SELF-HOSTED)... ma la situazione è _MOLTO_ piu' ampia.
dal 6 febbraio dovrebbe risultare studenti.unimi.it a MS e resto self-hosted -- Andrea Trentini ⠠⠵ http://atrent.it Dip.to di Informatica Università degli Studi di Milano
Il 27/01/23 19:07, Andrea Trentini ha scritto:
On 27/01/2023 19:03, Damiano Verzulli wrote:
... Tutto cio' per dire che... benvenga il problema sollevato da UniMilano (che nei miei dati, figura fra i SELF-HOSTED)... ma la situazione è _MOLTO_ piu' ampia.
dal 6 febbraio dovrebbe risultare studenti.unimi.it a MS e resto self-hosted
Confermo (lo dicevo per dire che i miei dati, sono destinati a "peggiorare"). Tra l'altro, nel caso di UniMI, alcune voci "affidabili" mi dicono che sebbene fra i tecnici interni ci siano degli "appassionati di tecnologie Microsoft", la scelta, in realta' è stata _POLITICA_. Ossia: è dall'alto che è arrivato l'input di... procedere in questo senso. Scommetto un braccio che... il commerciale Microsoft è andato a bussare in Segreteria del Direttore Generale e si è presentato, con un biglietto da visita con, sullo sfondo, la scritta "CRUI": https://ict.crui.it/microsoft/ Insomma: vale (molto) piu' un commerciale sconosciuto... con un buon biglietto da visita... ed una referenza verbale (di CRUI)... che il tuo "staff tecnico" che, da anni, fa si che quel servizio funzioni ed apporti valore e competenze sul tuo territorio... Tristezza. È per questo che chiedo --anche con un po' di insistenza-- a chi ha dei "bei biglietti da visita" di... provare a fare cose "analoghe"... Saluti, DV -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html
Ciao Andrea, On Fri, 27 Jan 2023 09:11:56 +0100 Andrea Trentini wrote:
Mi è arrivata info che a breve la mail degli studenti verrà gestita da Microsoft (Office365)
https://www.unimi.it/it/archivio-avvisi/la-webmail-studentiunimiit-passa-mic...
Chiedo ai più esperti qui: Schrems II non aveva stabilito che USA non è un safe harbour? (e quindi saremmo in presenza di una violazione del GDPR?) O c'è sotto qualche arcano che non fa scattare violazione?
Nessun trucchetto arcano: la violazione dell'articolo 28 comma 1 del GDPR è palese, perché anche costringendo gli studenti ad usare GPG (cosa che sarebbe buona e giusta), come rilevavi i dati personali relativi ad identità (la casella, appunto), a relazioni, a orari e luoghi e molti altri contenuti negli header SMTP rimarrebbero disponibili a Microsoft e alle agenzie del governo USA che ne facciano richiesta. Anche massiva: "Ciao M$, insieme a quelle dei Magistrati italiani, mi metti sullo stesso share anche tutte le mail di tutti gli studenti dell'Unimi? Non stare ad informare il Rettore (che poi poverino si sente in colpa) e naturalmente nemmeno il DPO (che tanto non capirebbe)" Nota bene: si tratta del parere di esperti, non il mio: ``` It stems from the analysis made by the authorities that the sole use of a CSP that is part of a multinational group subject to third country laws may result in the concerned third country laws also applying to data stored in the EEA . Possible requests would in this case be addressed directly to the CSP within the EEA and would concern data present in the EEA and not data already undergoing transfer. In this context, the controller/CSP would therefore not necessarily have made the assessment of this legal framework with a view to apply the relevant safeguards. The analysis of all the elements that may lead to different situations and different violations of the aforementioned relevant provisions of the GDPR in respect of the processing carried out by the processor (acting as an autonomous controller under Article 28(10) of the GDPR when it acts in violation of the instructions of the controller) and/or by the public authority itself if appropriate instructions are not provided according to Article 28(3) of the GDPR or a processor not providing appropriate safeguards as required by Article 28(1) of the GDPR is engaged. ``` https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedser... (pagina 19) Ahimé l'incompetenza regna sovrana. Spero almeno non insegnino Informatica o Giurisprudenza. Giacomo
ho scritto una mail interlocutoria al Titolare dei dati (e in CC al DPO), al momento non ho ricevuto feedback, vi terrò aggiornati mi è venuto in mente che sulla mail studenti transitano anche dati molto sensibili (sanitari) perché per gli esami comunichiamo con i DSA per concordare le condizioni "speciali" (tempo in più, appunti, ecc.) On 27/01/2023 09:11, Andrea Trentini wrote:
Mi è arrivata info che a breve la mail degli studenti verrà gestita da Microsoft (Office365)
https://www.unimi.it/it/archivio-avvisi/la-webmail-studentiunimiit-passa-mic...
Chiedo ai più esperti qui: Schrems II non aveva stabilito che USA non è un safe harbour? (e quindi saremmo in presenza di una violazione del GDPR?) O c'è sotto qualche arcano che non fa scattare violazione?
Grazie mille
-- Andrea Trentini ⠠⠵ http://atrent.it Dip.to di Informatica Università degli Studi di Milano
Sapete che ora tutti i dati (files, cartelle, comunicazioni, videoconferenze) usati dai funzionari dell'agenzia delle entrate stanno per essere migrati su Microsoft 365? E io dovrei esserne anche promotore!!! Ho cercato invano di far comprendere la convenienza del passaggio a piattaforme di cloud open source (come Nextcloud), in termini di riservatezza, d8 efficienza, oltre che di costi. Che disfatta! Antonio Negro Il mer 1 feb 2023, 11:57 Andrea Trentini <andrea.trentini@unimi.it> ha scritto:
ho scritto una mail interlocutoria al Titolare dei dati (e in CC al DPO), al momento non ho ricevuto feedback, vi terrò aggiornati
mi è venuto in mente che sulla mail studenti transitano anche dati molto sensibili (sanitari) perché per gli esami comunichiamo con i DSA per concordare le condizioni "speciali" (tempo in più, appunti, ecc.)
On 27/01/2023 09:11, Andrea Trentini wrote:
Mi è arrivata info che a breve la mail degli studenti verrà gestita da Microsoft (Office365)
https://www.unimi.it/it/archivio-avvisi/la-webmail-studentiunimiit-passa-mic...
Chiedo ai più esperti qui: Schrems II non aveva stabilito che USA non è
un safe harbour?
(e quindi saremmo in presenza di una violazione del GDPR?) O c'è sotto qualche arcano che non fa scattare violazione?
Grazie mille
-- Andrea Trentini ⠠⠵ http://atrent.it Dip.to di Informatica Università degli Studi di Milano _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
participants (5)
-
Andrea Trentini -
Antonio Negro -
Damiano Verzulli -
Giacomo Tesio -
Maria Chiara Pievatolo