segnalazione contro Monitora PA
L’avv. Andrea Lisi, patrocinatore del gruppo Facebook Digital Minions, ha inviato una “segnalazione al Garante della Protezione dei Dati Personali”, stigmatizzando le azioni svolte da Monitora PA, volte a segnalare i rischi di trasferimento di dati personali all’estero attraverso l’utilizzo di servizi qual Google Analytics nelle pagine web realizzate da varie PA. Vi invito a leggere la motivazione, che a mio giudizio contiene elementi deliranti, paradossali e ridicoli. Per esempio, si ammettono i problemi causati dalle posizioni dominanti delle Big Tech: E il contesto di riferimento è palesemente contraddistinto da elementi che hanno un enorme impatto anche sotto il profilo della protezione dei dati personali, e in particolare nella definizione di ruoli e responsabilità tra le parti nel trattamento dei dati, quali: i) lo strapotere contrattuale delle grosse aziende statunitensi e ii) la posizione dominante che tali soggetti hanno nel mercato IT. Ma d’altra parte si sostiene che l’azione di inviare delle segnalazioni costituisca una lesione dei diritti dei membri stessi di Monitora PA: Gli autori di queste comunicazioni massive, pertanto, si sono resi responsabili di evidenti violazioni del RGPD, compromettendo al tempo stesso l’intera comunità degli attivisti, che potrebbero subire pregiudizi in termini di immagine e di reputazione, a causa di tali operazioni, non adeguatamente valutate nei dettagli. Personalmente ritengo queste azioni di Monitora PA un esempio di impegno civico e di resistenza civile contro il predominio delle piattaforme digitali, specialmente lodevoli perché non si limitano a proteste, ma offrono soluzioni tecniche alternative fatte in casa. Di fronte ai partigiani che fanno resistenza, l’avv. Lisi e i suoi 60 camerati, mi sembrano come i repubblichini che si mettono dalla parte dell’invasore. Siccome su questa lista ci sono dei membri di Monitora PA, vorrei sentire la loro reazione. https://www.agendadigitale.eu/sicurezza/privacy/monitora-pa-se-lattivismo-fa... — Beppe
On ven, 2022-09-23 at 16:11 +0200, Giuseppe Attardi wrote:
L’avv. Andrea Lisi, patrocinatore del gruppo Facebook Digital Minions, ha inviato una “segnalazione al Garante della Protezione dei Dati Personali”, stigmatizzando le azioni svolte da Monitora PA, volte a segnalare i rischi di trasferimento di dati personali all’estero attraverso l’utilizzo di servizi qual Google Analytics nelle pagine web realizzate da varie PA.
Vi invito a leggere la motivazione, che a mio giudizio contiene elementi deliranti, paradossali e ridicoli. Beh, negli atti processuali ho visto scritto di peggio ...
... comunque, bello il passaggio dove chiede al Garante di "voler valutare la legittimità delle azioni di “attivismo digitale” sopra descritte, nonché delle iniziative di analoga natura..." Pare quindi che, tra i ruoli che affibbiano al povero garante, sia incluso anche quello di "fustigatore di costumi". Comunque il pdf me lo conservo. JM2EC
"Marco A. Calamari" <marcoc_maillist@marcoc.it> writes: [...]
Comunque il pdf me lo conservo.
nel caso è archiviato anche qui https://archive.ph/Mgv9H e qui https://web.archive.org/web/20220923155058/https://studiolegalelisi.it/wp-co... Saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Buongiorno nexiane, grazie infinite per la segnalazione, Giuseppe questo è un messaggio lunghissimo, perché le parole usate nella segnalazione sono pesanti come macigni... anzi come **clave** Giuseppe Attardi <attardi@di.unipi.it> writes: [...]
Vi invito a leggere la motivazione, che a mio giudizio contiene elementi deliranti, paradossali e ridicoli.
la segnalazione completa inviata al garante è in 31 pagine di PDF: https://studiolegalelisi.it/wp-content/uploads/2022/09/Segnalazione-Garante.... inviata sia al Garante privacy che ad ANAC non ho ancora letto tutto il PDF e non so se l'articolo segnalato sotto riproduce integralmente il documento [...]
Di fronte ai partigiani che fanno resistenza, l’avv. Lisi e i suoi 60 camerati, mi sembrano come i repubblichini che si mettono dalla parte dell’invasore.
grazie per averlo espresso in questi termini, che condivido in pieno
Siccome su questa lista ci sono dei membri di Monitora PA, vorrei sentire la loro reazione.
io non faccio parte del gruppo Monitora PA ma ho un paio di commenti che mi auguro potrebbero aiutare a far chiarezza su quello che io /intuisco/ sia il vero scopo di simili attacchi per farlo ho bisogno di citare alcuni brani dell'articolo...
https://www.agendadigitale.eu/sicurezza/privacy/monitora-pa-se-lattivismo-fa...
--8<---------------cut here---------------start------------->8--- In mancanza di una nuova decisione di adeguatezza che renda leciti i trasferimenti di dati personali dall’Unione europea verso gli Stati Uniti, e a cui si auspicava potesse addivenirsi a seguito della sentenza C-311/18 (c.d. Sentenza Schrems II) emanata dalla Corte di giustizia dell’Unione europea, tantissimi professionisti, imprese, enti e organizzazioni italiane pubbliche e private, che intrattengono rapporti con fornitori statunitensi, si trovano oggi ad operare in una situazione di ambiguità, nella quale è percepito il rischio che della citata sentenza venga fornita un’interpretazione pericolosamente estensiva[2]. [2] Sul punto, peraltro, si segnala il report reperibile al seguente link:https://d1.awsstatic.com/certifications/Information_Request_Report_H1_2022.p..., dal quale emergerebbe che nessun documento collocato al di fuori degli Stati Uniti sia stato consegnato al governo statunitense nel periodo intercorrente tra gennaio 2022 e giugno 2022. Tale circostanza, in ottica di accountability, sembra deporre a favore dell’efficacia della misura organizzativa – prevista nelle clausole della documentazione contrattuale del servizio IT scelto dal Titolare del trattamento – che vincola il provider a trattare i dati personali, per conto del Titolare, solo in Paesi UE. ↑ --8<---------------cut here---------------end--------------->8--- Siccome professionisti, imprese e PA stanno attendendo con ansia una nuova decisione di adeguatezza da parte della commissione EU, che arriverà sicuramente perché c'è chi **certifica** che nessun documento è consegnato al governo USA, "gli attivisti della privacy" si devono dare una calmata: chiaro? --8<---------------cut here---------------start------------->8--- Ricorso a fornitori statunitensi: qualsiasi iniziativa del Garante non dovrebbe prescindere dall’analisi del contesto [...] formulazione di indicazioni e linee guida di carattere ampio, a supporto di tanti titolari e responsabili del trattamento. In ogni caso, qualunque iniziativa voglia intraprendere il Garante sul punto, chiediamo che lo faccia tenendo in debita considerazione anche la reale ed effettiva situazione del contesto di riferimento, [...] E il contesto di riferimento è palesemente contraddistinto da elementi [...] i) lo strapotere contrattuale delle grosse aziende statunitensi e ii) la posizione dominante che tali soggetti hanno nel mercato IT. --8<---------------cut here---------------end--------------->8--- Il contesto, signori miei, considerate il contesto: come possiamo essere /noi/ responsabili del trattamento dei dati personali quando le aziende USA hanno una posizione dominante e uno strapotere contrattuale? Perché non adeguate le vostre leggi a questo contesto? --8<---------------cut here---------------start------------->8--- I principi e i diritti riconosciuti dal RGPD sono stati strumentalizzati dagli “attivisti/hacker”, al punto da stravolgerne la natura e la ratio. Da mezzi di tutela dei singoli, sono stati degradati a pretesto per colpire e minacciare, perdendo completamente di vista lo spirito e le ragioni di protezione che ne sono alla base[3]. [3] Come evidenziato nella nostra segnalazione, le azioni portate avanti dal collettivo di hacker sono riconducibili all’allarmante fenomeno c.d. di “weaponization di DSAR” (Data Subject Access Request, richieste di accesso ai dati personali formulate ai sensi dell’art. 15 RGPD), per cui le richieste di accesso ai dati ai sensi dell’art. 15 RGPD, nonché l’esercizio degli altri diritti sanciti dallo stesso Regolamento europeo, sono strumentalmente utilizzati per esercitare pressione sul Titolare del trattamento. ↑ --8<---------------cut here---------------end--------------->8--- Le persone hanno diritto di accesso bla bla bla, ma solo /singolarmente/ e /singolarmente/ possono rognare quanto vogliono tanto non se li fila nessuno... ma **guai** a mettersi assieme per farlo in modo organizzato e politicamente incisivo, perché questa è "weaponization", sia mai che possa rischiare di funzionare! --8<---------------cut here---------------start------------->8--- le attività condotte da Monitora PA si traducono in trattamenti sistematici di dati personali su larga scala, riconducibili all’esecuzione metodica e coordinata di verifiche e segnalazioni, ad opera di una comunità che si auto descrive come un “Osservatorio Automatico Distribuito sulla PA”[4]. Riteniamo, quindi, che anche Monitora PA e i suoi componenti siano tenuti agli adempimenti che la normativa in materia di protezione dei dati personali pone in capo al titolare del trattamento, primo fra tutti l’obbligo di rendere l’informativa, che nessuno, tra i destinatari delle comunicazioni in questione, ha mai avuto modo di consultare. Gli autori di queste comunicazioni massive, pertanto, si sono resi responsabili di evidenti violazioni del RGPD, [4] Questo comporta, come meglio argomentato nella segnalazione, che l’utilizzo dei dati raccolti non rientra nella casistica di cui all’art 2, par. 2, lett. c) del RGPD, il quale prevede la non applicabilità del Regolamento in caso di uso di dati da parte di una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico. --8<---------------cut here---------------end--------------->8--- Monitora PA tratta dati personali in violazione del GDPR, ce lo spiegano nel PDF... tocca leggere le 31 pagine allora :-( --8<---------------cut here---------------start------------->8--- Ulteriori pericoli connessi alle iniziative in questione risiedono nelle distorsioni di interpretazione e percezione che possono essere generate nei soggetti raggiunti dalle richieste di Monitora PA. Tali azioni di attivismo digitale, infatti, potrebbero essere confuse con iniziative ufficiali promosse da parte delle istituzioni e delle autorità competenti. --8<---------------cut here---------------end--------------->8--- Lasciate fare alle autorità competenti, non vi impicciate. --8<---------------cut here---------------start------------->8--- Nessuno, peraltro, si trova nelle condizioni di pretendere che Google (o altri provider, comunemente indicati come GAFAM) adeguino i propri servizi alla normativa europea in materia di protezione dei dati personali, disattendendo eventuali ordini di esibizione provenienti dalle autorità di intelligence statunitensi. Le asimmetrie informative circa le condizioni del servizio e l’assenza di un effettivo potere di controllo sull’eventuale cessione di dati personali ad agenzie di sicurezza straniera, fanno persino dubitare che i GAFAM siano qualificabili come responsabili del trattamento ai sensi dell’art. 28 del RGPD. --8<---------------cut here---------------end--------------->8--- Oh mamma, comincia a puzzare tremendamente di FUD :-O --8<---------------cut here---------------start------------->8--- Come evidenziato nella nostra segnalazione, peraltro, le modalità con cui sono state formulate le richieste degli “attivisti” presentano i connotati tipici dell’abuso nell’esercizio di un diritto, che si configura quando le finalità del suo esercizio eccedono la ratio legis di tutela, per assumere connotati pretestuosi e nocivi. In tal senso, è sicuramente legittimo esercitare uno dei diritti previsti dagli articoli 15 e ss. del RGPD, ma non quando, come nel caso in oggetto, tali diritti sono esercitati per effettuare un’indebita pressione su altri soggetti, finendo in tal modo per costituire uno strumento ritorsivo o di intimidazione. --8<---------------cut here---------------end--------------->8--- Oh mamma, qui siamo davvero oltre, abbiamo reggiunto vette incommensurabili della supercazzola, comincia a girare la testa a queste altitudini! --8<---------------cut here---------------start------------->8--- Sarebbe una buona occasione, come speriamo, per smuovere la situazione di impasse generatasi in seguito alla sentenza Schrems II, senza fare pressione su coloro che, di fatto, ne subiscono le conseguenze. --8<---------------cut here---------------end--------------->8--- Aridaje! Ecco il vero scopo di questa lamentatio non petita: fare pressione sulle istutizioni affinché diano una aggiustatina al GDPR emanando un'altra decisione di adeguatezza "de facto", che qui c'è gente che ha altro da fare che preoccuparsi della privacy dei propri utenti, neh! [...continua?] -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Cari tutti premettendo che ritengo l'iniziativa di Monitora PA degna di approvazione, penso che alcune delle riflessioni di Lisi e dei suoi co-autori meritino comunque una discussione civile, evitando un uso di termini come sotto riportato, che io ritengo non vadano a vantaggio del dibattito. Grazie, Enrico Il 23/09/2022 18:54, 380° ha scritto:
Di fronte ai partigiani che fanno resistenza, l’avv. Lisi e i suoi 60 camerati, mi sembrano come i repubblichini che si mettono dalla parte dell’invasore. grazie per averlo espresso in questi termini, che condivido in pieno
-- EN ===================================================================== Prof. Enrico Nardelli Presidente di "Informatics Europe" Direttore del Laboratorio Nazionale "Informatica e Scuola" del CINI Dipartimento di Matematica - Università di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma home page:http://www.mat.uniroma2.it/~nardelli blog:http://link-and-think.blogspot.it/ tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail:nardelli@mat.uniroma2.it online meeting:https://blue.meet.garr.it/b/enr-y7f-t0q-ont ===================================================================== --
Buongiorno Enrico, Enrico Nardelli <nardelli@mat.uniroma2.it> writes: [...]
penso che alcune delle riflessioni di Lisi e dei suoi co-autori meritino comunque una discussione civile, evitando un uso di termini come sotto riportato, che io ritengo non vadano a vantaggio del dibattito.
[...]
Il 23/09/2022 18:54, 380° ha scritto:
Di fronte ai partigiani che fanno resistenza, l’avv. Lisi e i suoi 60 camerati, mi sembrano come i repubblichini che si mettono dalla parte dell’invasore. grazie per averlo espresso in questi termini, che condivido in pieno
mi rendo conto che la metafora sia particolarmente dura e possa essere di ostacolo ad un auspicabile dibattito civile, per cui mi scuso per aver "rilanciato" quella metafora detto questo, per favore Enrico sarei molto interessato di sentire quali sono le riflessioni di Lisi e co-autori che secondo te meritano di essere discusse, perché io non ci ho trovato proprio nulla di degno (e ho cercato di argomentare, come ho potuto) saluti, 380° [...] -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Il 24/09/2022 10:23, 380° ha scritto:
detto questo, per favore Enrico sarei molto interessato di sentire quali sono le riflessioni di Lisi e co-autori che secondo te meritano di essere discusse, perché io non ci ho trovato proprio nulla di degno (e ho cercato di argomentare, come ho potuto)
Caro Giovanni ad esempio, questa frase dell'articolo pubblicato su Agenda Digitale ...le modalità con cui sono state formulate le richieste degli “attivisti” presentano i connotati tipici dell’abuso nell’esercizio di un diritto, che si configura quando le finalità del suo esercizio eccedono la ratio legis di tutela, per assumere connotati pretestuosi e nocivi... non è stata discussa né da te né da Beppe, prima che io scrivessi il mio commento (non so se sia stata discussa dopo). A me sembra un questione interessante, su cui mi farebbe piacere avere un parere da qualche esperto di diritto. Personalmente tenderei a dire che mi sembra non ci sia stato un "abuso nell'esercizio di un diritto" ma, non essendo appunto un giurista, la mia opinione vale quello che vale. Ciao, Enrico -- EN ===================================================================== Prof. Enrico Nardelli Presidente di "Informatics Europe" Direttore del Laboratorio Nazionale "Informatica e Scuola" del CINI Dipartimento di Matematica - Università di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma home page: http://www.mat.uniroma2.it/~nardelli blog: http://link-and-think.blogspot.it/ tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it online meeting: https://blue.meet.garr.it/b/enr-y7f-t0q-ont ===================================================================== --
Buona sera Enrico, On Sat, 24 Sep 2022 20:24:14 +0200 Enrico Nardelli wrote:
...le modalità con cui sono state formulate le richieste degli “attivisti” presentano i connotati tipici dell’abuso nell’esercizio di un diritto, che si configura quando le finalità del suo esercizio eccedono la ratio legis di tutela, per assumere connotati pretestuosi e nocivi...
non è stata discussa né da te né da Beppe, prima che io scrivessi il mio commento (non so se sia stata discussa dopo).
A me sembra un questione interessante, su cui mi farebbe piacere avere un parere da qualche esperto di diritto.
Anzitutto bisognerebbe capire di quale diritto gli autori stessero parlando. Il diritto di segnalare un illecito all'autorità garante? Il diritto di scaricare il dataset AgID-IPA (CC-BY 4.0)? Il diritto di visitare un sito web? Il diritto di scrivere software? Questi sono i diritti che esercitiamo con l'osservatorio automatizzato. Per i FOIA, abbiamo chiesto ad ogni scuola 6 documenti specifici. Sulla legittimità di tali richieste si è espresso l'Avvocato Antonio Perrini di 42LawFirm: https://yewtu.be/watch?v=0ETCVcF-HIs D'altro canto, giusto stasera l'avvocato Andrea Lisi ha condiviso sulla nostra chat questo intervento:
Il Garante chiarirà (spero) alcube questioni, ma non avrà alcun interesse a sanzionare un movimento di attivisti che comunque perseguono finalità legittinime e condivisibili. Se non ne fossi convinto non avrei mai inoltrato la segnalazione. A me interessa che il Garante chiarisca il suo punto di vista e cintribuisca a fare chiarezza interpretativa.
Insomma... mette già le mani avanti. :-) Giacomo
Grazie per la risposta Giacomo, non posso certo essere io a dire cosa intendevano Lisi e i suoi co-autori con quel passaggio. Certamente, quanto scrivi in questa mail è un'analisi precisa di un punto specifico dell'articolo in questione, ed è quanto io auspicavo andasse fatto quando ho invitato a rimanere sulla sostanza delle questioni in gioco senza autoproclamarsi partigiani in lotta contro i republichini semplicemente perché qualcuno ha idee diverse dalle nostre. Le idee si possono sconfiggere solo con la forza delle argomentazioni, mentre demonizzare gli avversari non mi sembra un approccio vincente sul lungo periodo. Sulla mia simpatia per quanto state facendo mi sono già espresso qua e in altri contesti. Se poi risulta anche immacolato sul piano giuridico e catalizzatore di effetti sistemici, come io auspico, non potrò che essere ancora più contento, perchè il tema è di fondamentale importanza per il nostro futuro digitale. Ciao, Enrico Il 24/09/2022 23:30, Giacomo Tesio ha scritto:
Buona sera Enrico,
On Sat, 24 Sep 2022 20:24:14 +0200 Enrico Nardelli wrote:
...le modalità con cui sono state formulate le richieste degli “attivisti” presentano i connotati tipici dell’abuso nell’esercizio di un diritto, che si configura quando le finalità del suo esercizio eccedono la ratio legis di tutela, per assumere connotati pretestuosi e nocivi...
non è stata discussa né da te né da Beppe, prima che io scrivessi il mio commento (non so se sia stata discussa dopo).
A me sembra un questione interessante, su cui mi farebbe piacere avere un parere da qualche esperto di diritto. Anzitutto bisognerebbe capire di quale diritto gli autori stessero parlando.
Il diritto di segnalare un illecito all'autorità garante? Il diritto di scaricare il dataset AgID-IPA (CC-BY 4.0)? Il diritto di visitare un sito web? Il diritto di scrivere software?
Questi sono i diritti che esercitiamo con l'osservatorio automatizzato.
Per i FOIA, abbiamo chiesto ad ogni scuola 6 documenti specifici.
Sulla legittimità di tali richieste si è espresso l'Avvocato Antonio Perrini di 42LawFirm: https://yewtu.be/watch?v=0ETCVcF-HIs
D'altro canto, giusto stasera l'avvocato Andrea Lisi ha condiviso sulla nostra chat questo intervento:
Il Garante chiarirà (spero) alcube questioni, ma non avrà alcun interesse a sanzionare un movimento di attivisti che comunque perseguono finalità legittinime e condivisibili. Se non ne fossi convinto non avrei mai inoltrato la segnalazione. A me interessa che il Garante chiarisca il suo punto di vista e cintribuisca a fare chiarezza interpretativa. Insomma... mette già le mani avanti. :-)
Giacomo
-- EN ===================================================================== Prof. Enrico Nardelli Presidente di "Informatics Europe" Direttore del Laboratorio Nazionale "Informatica e Scuola" del CINI Dipartimento di Matematica - Università di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma home page: http://www.mat.uniroma2.it/~nardelli blog: http://link-and-think.blogspot.it/ tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it online meeting: https://blue.meet.garr.it/b/enr-y7f-t0q-ont ===================================================================== --
Buongiorno nexiane, buongiorno Giacomo messaggio lunghissimo, parte 1/2 :-O 380° <g380@biscuolo.net> writes: [...]
la segnalazione completa inviata al garante è in 31 pagine di PDF: https://studiolegalelisi.it/wp-content/uploads/2022/09/Segnalazione-Garante.... inviata sia al Garante privacy che ad ANAC
non ho ancora letto tutto il PDF e non so se l'articolo segnalato sotto riproduce integralmente il documento
ovviamente no, l'articolo è solo un riassunto e... vale la pena leggere l'intera segnalazione ...e come posso esimermi dal commentarla? :-) le parti I, II e III della segnalazione sono un lungo pippolone noiosissimo che **nulla** c'entra con le iniziative segnalare, sostenendo /praticamente/ che i titolari del trattamento non possono applicare il GDPR per **cause di forza incommensurabilmente maggiore**, in particolare la parte III «TRASFERIMENTO DI DATI PERSONALI VERSO GLI STATI UNITI A SEGUITO DELLA SENTENZA SCHREMS II: NECESSARIA CHIAREZZA PER GLI UTILIZZATORI DEI SERVIZI FORNITI DAGLI OTT» è una contro-arringa dell'ormai /archiviato/ processo "Scherms II" *e* uno stravolgimento logico di quanto già detto nelle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021); mi pare che nemmeno troppo velatamente questa segnalazione sta chiedendo (innanzitutto?) a Garante Privacy di "andarci piano" con l'applicazione del GDPR e di provvedimenti come il n. 9782890 [1] le contestazioni ai "sedicenti attivisti" (Leva e Monitora PA) iniziano nella parte IV. Estratti a partire da parte IV punto 2.1 (pag 17) --8<---------------cut here---------------start------------->8--- Inoltre, non viene fornita alcuna prova documentata del trasferimento di dati personali in atto, che viene semplicemente dato per scontato. [...] non prendono in considerazione la possibilità di salvaguardie addizionali da parte dei Titolari, mediante l'implementazione di misure tecniche adeguate al controllo o all’anonimizzazione dei dati (es. proxyficazione delle richieste inoltrate a server/endpoint Google), o – comunque – di garanzie informative che con trasparenza abbiano dato atto nelle policy del sito web dell’eventuale e possibile trasferimento di dati extra UE agli utenti. --8<---------------cut here---------------end--------------->8--- La prova documentata del trasferimento è quanto già chiaramente scritto dal garante stesso: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874 che tra le altre cose scrive in modo chiaro e inequivocabile: «le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.» Cosa c'è di poco chiaro su questo punto ai firmatari della segnalazione? Stanno facendo polemica con il Garante stesso?!? --8<---------------cut here---------------start------------->8--- In virtù sia del ricorso ai soli script/bot che hanno acquisito dati in modo automatizzato, [...] le stesse comunicazioni e-mail e le relative richieste non possono qualificarsi come specifiche o mirate. --8<---------------cut here---------------end--------------->8--- Qui sono ignorante, giuristi in lista cosa mi dite? Se io volessi verificare che un sito che voglio visitare non utilizzi Google Analytics (o altri strumenti analoghi ai sensi del traferimento dati bla bla bla) lo potrei fare solo "a mano" o lo posso fare tramite «l'implementazione di misure tecniche adeguate»? ...oppure le «musure tecniche adeguate» possono /invocarle/ solo i titolari del trattamento quando vogliono a tutti i costi trasferire i dati personali dei visitatori dei loro siti negli USA? --8<---------------cut here---------------start------------->8--- i dati trattati in tali operazioni di analisi e comunicazioni automatizzate e massive, url e dominio di siti web e indirizzi PEC/e-mail [...] dati direttamente o indirettamente riferibili a un interessato persona fisica. [...] tali trattamenti non siano effettuati nell’ambito di attività a carattere esclusivamente personale o domestico 5 e, quindi, non possano essere sottratti all’applicazione del RGPD [...] Gli “attivisti”, pertanto, hanno finito col porre in essere delle azioni in evidente violazione del RGPD e, a causa dei contenuti perentori delle comunicazioni, dei diritti e le libertà delle persone fisiche. --8<---------------cut here---------------end--------------->8--- Interessante contestazione: quindi i dati raccolti per poter inviare comunicazioni massive legittime sono dati personali trattati illegittimamente dal gruppo Monitora PA? La cosa invece (ovviamente) non si applica al privato cittadino Federico Leva? Se io mi coordino con altri privati per condurre un'azione politica nei confronti della pubblica amministrazione (funzionari, dirigenti scolastici) o di persone giuridiche sto configurando una organizzazione le cui finalità sono la raccolta e il trattamento di dati personali e quindi devo applicare il GDPR? Chi è il titilare del trattamento, nel collettivo? Non c'è dubbo che Monitora PA è un hack talmente hack da mettere in crisi il sistema: sarebbe divertentissimo se alla fine **della fiera** Monitora PA ricevesse un richiamo da parte del garante per mancato rispetto del GDPR :-D --8<---------------cut here---------------start------------->8--- L’utilizzo dei diritti come arma di disturbo di massa, come atto ritorsivo verso chi utilizza un determinato servizio o si appoggia ad un determinato provider, indebolisce l’autorevolezza e l’importanza del diritto della protezione dei dati personali. --8<---------------cut here---------------end--------------->8--- «Diritti come arma di disturbo di massa» me lo segno, è una chicca. --8<---------------cut here---------------start------------->8--- È chiaro che con ciò non si vuole affermare che i “micro” Titolari del trattamento debbano essere esentati dagli adempimenti volti alla tutela del dato dell’interessato né tantomeno che il Garante non applicherà proporzionalità nell’esercizio dei propri poteri. Tuttavia, da un lato è opportuno che tali soggetti abbiano la possibilità di accedere a strumenti facilitati di compliance, dall’altro occorre prendere atto che gli stessi siano nell’impossibilità di disporre di ingenti risorse da investire in consulenti per comprendere e gestire i complessi risvolti di azioni attivistiche, nella pratica meramente dimostrative. --8<---------------cut here---------------end--------------->8--- Ah quindi è copla delle "azioni attivistiche meramente dimostrative" che i "micro" titolari sono "costretti" a investire in consulenti per comprendere e gestire i complessi risvolti del GDPR! Ridicoli. --8<---------------cut here---------------start------------->8--- 3.5 Pericoli per il mercato Le scelte dei Titolari del trattamento che acquisiscono servizi IT rischiano di essere fortemente compresse da fattori esterni per i quali gli ordinari criteri di scelta di un provider vengono frustrati e viziati da circostanze che rischiano di assumere connotati estorsivi. --8<---------------cut here---------------end--------------->8--- Interesante, quindi l'analisi è che il mercato IT ha connotati **estorsivi**... e per questo /quindi/ i titolari non possono applicare il GDPR? --8<---------------cut here---------------start------------->8--- 4.2 Abuso dell’esercizio di un diritto L’esercizio di un diritto in modo anomalo per promuovere obiettivi non conformi con lo scopo di tutela per cui tale diritto è stato sancito esula dalla ratio della previsione del legislatore. La fattispecie astratta di abuso si configura nel momento in cui il diritto viene esperito non per realizzare l’interesse per cui è stato sancito nell’ordinamento, ma il suo esercizio è piegato per rispondere a scopi che esulano dalla ratio legis di tutela, come effettuare un’indebita pressione su altri soggetti, finendo in tal modo per costituire talvolta uno strumento ritorsivo o di intimidazione. [...] Nello specifico, tali finalità e modalità presupporrebbero evidentemente la tutela di un interessato – persona fisica – in relazione al trattamento dei suoi dati personali o ai consensi eventualmente espressi durante la personale navigazione in un determinato sito web, non dalle attività effettuate da un bot o da altro sistema automatizzato. [...] Il TAR del Friuli, in particolare, con sentenza n. 145/2020, ha evidenziato come, in effetti, la Legge del 1990 riconosca indubbiamente un diritto di accesso il quale, tuttavia, non deve essere usato, in modo abusivo, al fine di portare ad un controllo generalizzato sulla Pubblica Amministrazione. [...] Non si può, quindi, che concordare con il Tar del Friuli e con il consolidato indirizzo giurisprudenziale (cfr. C.d.S., Sez. III, 12 marzo 2018, n. 1578; id., Sez. IV, 19 ottobre 2017, n. 4838; id., Sez. V, 21 agosto 2017, n. 4043; id., Sez. IV, 9 novembre 2015, n. 5092) secondo il quale il Legislatore, mediante l'accesso agli atti ex art. 22 e ss. della l. n. 241 del 1990, non ha introdotto un'azione popolare volta a consentire un controllo generalizzato sull'attività amministrativa, ma un’azione che deve trovare giustificazione in un interesse concreto e attuale. --8<---------------cut here---------------end--------------->8--- L'intero paragrafo «Abuso dell’esercizio di un diritto» è incentrato sulla questione che l'abuso consiste nell'utilizzo coordinato e distribuito di uno o più sistemi automatici che verifichino se un elenco di siti utilizzi o meno Google Analytics e strumenti analoghi. In buona sostanza, cari cittadini potete /mugugnare/ quanto volete ma guai a organizzarvi, tantomento usando l'informatica, per chiedere **inesorabilmente** il riconoscimento di un vostro diritto, perché questo è un **abuso**, sia chiaro! Questo vale per il GDPR, per il FOIA o per qualsiasi altro vostro diritto ad ottenere /trasparenza/ nei processi amministrativi e in come vengono trattati i vostri dati personali, chiaro? Lo dicono le sentenze. [continua...] [1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/... -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
380° <g380@biscuolo.net> writes:
messaggio lunghissimo, parte 1/2 :-O
parte 2/2 [...]
la segnalazione completa inviata al garante è in 31 pagine di PDF: https://studiolegalelisi.it/wp-content/uploads/2022/09/Segnalazione-Garante.... inviata sia al Garante privacy che ad ANAC
[...] Come ho segnalato fin dall'inizio, oltre che cercare di scoraggiare le azioni degli attivisti accusandole di non rispettare il GDPR e di mettere in atto un abuso di esercizio di un diritto, lo scopo principale della segnalazione è quello di invitare il Garante ad **astenersi** dal perseguire chi usa Google Analytics e strumenti analoghi adottando provvedimenti come quello del 9 giugno 2022 [9782890]» [1] [2], in attesa di una possibile (auspicata?) norma "tana libera tutti" del tutto analoga a quella che c'era prima della famigerrima Scherms II (si stava meglio quando si stava peggio). Ecco infatti come si chiude il documento: --8<---------------cut here---------------start------------->8--- Si auspica, dunque, che Codesta Autorità voglia considerare, e far rilevare anche in sede europea, quanto espresso innanzi, al fine di: - porre in essere qualsiasi azione che l’Autorità decida [...] mantenendo in debita considerazione [...] anche il reale contesto economico e sociale [...] in cui i professionisti, le imprese, gli enti e le organizzazioni italiane operano; [...] - voler valutare l’adozione di pubbliche e autorevoli ulteriori iniziative necessarie e/o opportune affinché siano promosse puntuali verifiche da parte dell’Autorità Garante per la protezione dei dati personali circa le effettive misure di sicurezza organizzative e tecniche per il trattamento dei dati personali, nonché in relazione alle garanzie circa l’eventuale trasferimento di dati personali in Paesi extra UE, adottate dai provider IT operanti su scala globale (c.d. “GAFAM”). --8<---------------cut here---------------end--------------->8--- Come se il Garante e EDPB [3] non si fossero già chiaramente ed esaustivamente espressi in merito... o c'è ancora qualcosa che non è chiaro in quello che hanno scritto? E dire che lo capisco io, che sono Troppo Ignorante™. I garanti europei e quello italiano cosa devono dire di più chiaro rispetto a «usare Google Analitycs e strumenti analoghi viola il GDPR»? Non è una "linea guida" abbastanza chiara? In conclusione mi domando: per quanto tempo ancora ci tocca assistere a questa manfrina? Saluti, 380° [1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/... [2] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874 [3] https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommen... -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Giuseppe Attardi <attardi@di.unipi.it> writes: [...]
https://www.agendadigitale.eu/sicurezza/privacy/monitora-pa-se-lattivismo-fa...
dopo aver letto questa perla di articolo, vale la pena leggere /subito/ di seguito il comunicato stampa del Garante privacy del 23 Giusngo scorso: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874 --8<---------------cut here---------------start------------->8--- Google: Garante privacy stop all’uso degli Analytics Dati trasferiti negli Usa senza adeguate garanzie [...] Dall'indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti [...] Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso. All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. [...] Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti. Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali. [...] --8<---------------cut here---------------end--------------->8--- Riuscite a sentire lo /stridore/ logico tra il contenuto dell'articolo e il comunicato stampa del garante? Quindi ai promotori di questa segnalazione contro Monitora PA chiedo pubblicamente: finché si tratta di un /predicozzo/ senza conseguenze - se non per un solo povero sfigato come Caffeina Media S.r.l. - va tutto bene ma quando c'è un'organizzazione di cittadini italiani (per giunta hacker) che chiede insistentemente l'applicazione del GDPR allora si sta "weaponizzando" un diritto? Saluti, 380° P.S.: sull'accusa di violazione del GDPR da parte di Monitora PA ci devo tornare... -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Il 23/09/22 16:11, Giuseppe Attardi ha scritto:
L’avv. Andrea Lisi, patrocinatore del gruppo Facebook Digital Minions, ha inviato una “segnalazione al Garante della Protezione dei Dati Personali”, stigmatizzando le azioni svolte da Monitora PA, volte a segnalare i rischi di trasferimento di dati personali all’estero attraverso l’utilizzo di servizi qual Google Analytics nelle pagine web realizzate da varie PA.
Vi invito a leggere la motivazione, che a mio giudizio contiene elementi deliranti, paradossali e ridicoli.
Personalmente sono rimasto piuttosto perplesso da questo paragrafo: /"In ogni caso, qualunque iniziativa voglia intraprendere il Garante sul punto, chiediamo che lo faccia tenendo in debita considerazione anche la reale ed effettiva situazione del contesto di riferimento, dal quale riteniamo di non potersi prescindere in fase di interpretazione e applicazione della sentenza Schrems II, tanto più in una situazione, quale quella attuale, potenzialmente in grado di esplicare impatti devastanti sul piano economico e sociale."/ Mah. -- Michele Pinassi Responsabile Sicurezza Informatica - Telefonia di Ateneo Ufficio Esercizio e tecnologie - Università degli Studi di Siena tel: 0577.(23)5000 -helpdesk@unisi.it PGP/GPG key fingerprint 6EC4 9905 84F5 1537 9AB6 33E7 14FC 37E5 3C24 B98E
Ciao Giuseppe e Nexa On Fri, 23 Sep 2022 16:11:37 +0200 Giuseppe Attardi wrote:
Siccome su questa lista ci sono dei membri di Monitora PA, vorrei sentire la loro reazione.
Per il momento direi piuttosto divertita! :-D Vi immaginate la faccia di Stanzione quando leggerà che 60 autorevoli giuristi si sono riuniti per segnalare... che noi segnaliamo al Garante gli illeciti che individuiamo! Ma in 60, nessuno avrà pensato che forse il Garante se n'è accorto? Glielo scriviamo ogni volta! :-D Alla fin fine comunque, è sempre la solita storia. [0] Come avete già scritto tu e Giovanni, questa è solo una delle tante reazioni scomposte ai risultati eccellenti di Monitora PA. In poche settimane, migliaia di scuole ed ospedali hanno smesso di inviare dati personali spesso sensibili a Google, rimuovendo sia Google Analytics (-90% in 3 mesi) sia Google Fonts (-70% in poco più di un mese). E questo ovviamente da MOLTO fastidio. Ci si può nascondere dal Garante... ma da noi no! :-) D'altro canto, molti (se non tutti!) i firmatari della segnalazione sono graditi ospiti sulla chat della nostra comunità, ed alcuni, come Christian Bernieri e Stefano Gazzella hanno anche contribuito fattivamente alle nostre azioni con consigli e considerazioni preziosissime. Per questo le molte imprecisioni della segnalazione ci hanno sorpreso! Lisi & friends, ad esempio, sanno benissimo che noi non trattiamo dati personali, ma solo dati di organizzazioni pubbliche e private (finora PA e partiti). E d'altronde, da chi sostiene che "un semplice “ciao”, a certe condizioni si presta a essere giustamente etichettato come spam" [1] può ben sostenere, alla bisogna, che trattare i dati di una organizzazione violi la privacy di chi ne fa parte... Sanno benissimo che Federico Leva, anche lui nostro ospite graditissimo, non contribuisce al nostro lavoro perché non condivide la Hacking License! [2] E sanno che, sebbene noi approviamo (e io ho personalmente difeso [3]) il suo diritto di programmare software che estenda la propria capacità di visitare siti web, senza perdere diritti, Federico ha sempre agito a titolo personale. Ha programmato i propri strumenti personalmente, come dovrebbe essere libero di fare ogni cittadino! Perché mai questo dovrebbe ridurre i suoi diritti? Sanno benissimo che noi non abbiamo mai minacciato nessuno. Le minacce sono un reato e mi sorprende vedere 60 avvocati sottoscrivere un'accusa così grave, sapendola infondata. In effetti, sarei curioso di capire se in un caso come questo si applichi l'articolo 368 del codice penale o se l'Autorità Garante per la Protezione dei Dati Personali e l'ANAC esulino dalla sua applicazione. Sanno anche che il nostro osservatorio raccoglie automaticamente evidenze dei trasferimenti illeciti, ma che tali evidenze vengono vagliate una per una da me per evitare di far perdere tempo al Garante con falsi positivi. Ad esempio, per Google Fonts queste evidenze consistono nelle URI dei font o dei CSS scaricati dai server di Google, e ho personalmente rimosso un paio di falsi positivi che per una serie di ragioni implementative erano stati individuati. E lo sanno perché mesi fa si discusse del fatto che non volevo sottoporre al Garante (Autorità basata sul diritto dell'Unione Europea) istituzioni di rango costituzionale come la Presidenza della Repubblica, la Corte Costituzionale, la Camera ed il Senato. Questo comunque per voi non dovrebbe essere una sorpresa. Quante volte avrò ripetuto in lista che non esiste software senza bug? Bene, se lo scrivo io è doppiamente vero. :-D Comunque se il Garante vorrà scambiare due parole con noi, saremo felicissimi di spiegargli come usare il nostro osservatorio automatico distribuito! In fondo, in una società cibernetica è fondamentale che ci ha responsabilità di controllo si doti di strumenti all'altezza della propria missione. E poiché l'Autorità Garante per la Protezione dei Dati Personali esiste per... proteggere i dati personali, non potrà che apprezzare i nostri strumenti ed adottarli lui stesso: sono infatti efficaci, economici ed efficienti! :-) E di aver favorito questa collaborazione non potremo che ringraziare tutti, cittadini ed imprese, proprio Lisi & friends! :-D D'altro canto, l'interpretazione "arbitrariamente estensiva e dagli effetti giuridicamente distorsivi" della sentenza Schrems II che noi adottiamo è quella dello European Data Protection Board [4]. Riteniamo che la Legge debba essere uguale per tutti e che uno Stato che non rispetta e non impone il rispetto delle proprie Leggi perde qualsiasi legittimazione e qualsiasi autorevolezza. Dove la Legge si piega agli interessi dei più forti, lo Stato di Diritto cede il passo all'oppressione e all'arbitrio. E noi non vogliamo permetterlo. Alla fin fine però è giusto che Lisi & friends difendano apertamente i gli interessi dei propri clienti ed esprimano liberamente i propri valori. E' persino ammirevole che dichiarino apertamente da che parte stanno. Noi però stiamo dalla parte delle vittime. Senza se e senza ma Vogliamo che nessuno possa spiarle e manipolarle. E faremo tutto quanto in nostro potere per impedirlo. Per proteggerle. Le persone, prima dei dati. Giacomo [0]: http://www.phrack.org/issues/7/3.html#article [1] https://www.filodiritto.com/spam-e-e-mail-indesiderate-nella-normativa-itali... [2]: https://monitora-pa.it/LICENSE.txt [3]: https://monitora-pa.it/2022/08/02/Domande_allo_StudioLisi_sulla_risposta_per... [4]: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommen...
Ciao Giacomo, scusa se alcune cose che ti chiedo magari sono già scritte in qualche post sul blog di Monitora PA, che sto seguendo poco: nel caso mi basta un link ;-) ...ora che ho letto tutto il tuo messaggio, credo che gran parte delle tue risposte siano scritta qui: https://monitora-pa.it/2022/08/02/Domande_allo_StudioLisi_sulla_risposta_per... «Domande allo Studio Lisi sulla risposta inviata a Federico Leva» (grandioso articolo, complimenti!) Giacomo Tesio <giacomo@tesio.it> writes: [...]
Vi immaginate la faccia di Stanzione quando leggerà che 60 autorevoli giuristi si sono riuniti per segnalare... che noi segnaliamo al Garante gli illeciti che individuiamo!
sì ma lo fareste violando il GDPR e abusando di un diritto, questo è il succo della accuse nei vostri confronti
Ma in 60, nessuno avrà pensato che forse il Garante se n'è accorto? Glielo scriviamo ogni volta! :-D
avete mai ricevuto un "cenno" da parte del Garante?
Alla fin fine comunque, è sempre la solita storia. [0]
che i criminali siamo noi
Come avete già scritto tu e Giovanni,
380° prego :-): sono una specie di Mr. Hyde di Giovanni, che si è ritirato a vita privata... ma non andiamo OT [...]
Ci si può nascondere dal Garante... ma da noi no! :-)
questa è bella [...]
Lisi & friends, ad esempio, sanno benissimo che noi non trattiamo dati personali, ma solo dati di organizzazioni pubbliche e private (finora PA e partiti).
beh nella segnalazione sostengono il contrario, sarebbe opportuno un chiarimento... del Garante :-D
E d'altronde, da chi sostiene che "un semplice “ciao”, a certe condizioni si presta a essere giustamente etichettato come spam" [1]
https://www.filodiritto.com/spam-e-e-mail-indesiderate-nella-normativa-itali... un articolo davvero /giuridicamente/ sconclusionano, non c'è che dire quindi questa del trattamento illecito e abuso di esercizio di diritto è "solo" la seconda puntata, la prima si intitola «insinuiamo che voi spammate perché inviate comunicazioni che il destinatario percepisce come fastidiose e indesiderate» :-D la prossima come si intitolerà: Monitora PA fa stalking verso i DPO?
può ben sostenere, alla bisogna, che trattare i dati di una organizzazione violi la privacy di chi ne fa parte...
embrace, extend and extinguish?
Sanno benissimo che Federico Leva, anche lui nostro ospite graditissimo, non contribuisce al nostro lavoro perché non condivide la Hacking License! [2] E sanno che, sebbene noi approviamo (e io ho personalmente difeso [3])
https://monitora-pa.it/2022/08/02/Domande_allo_StudioLisi_sulla_risposta_per... c'è una risposta pubblica? [...]
Ha programmato i propri strumenti personalmente, come dovrebbe essere libero di fare ogni cittadino! Perché mai questo dovrebbe ridurre i suoi diritti?
perché /pare/ che ci sono fior fior di sentenze che configurano queste azioni come "abuso dell'esercizio di un diritto"? sono avulso a queste logiche, boh?!?
Sanno benissimo che noi non abbiamo mai minacciato nessuno. Le minacce sono un reato e mi sorprende vedere 60 avvocati sottoscrivere un'accusa così grave, sapendola infondata.
potrebbe configurarsi ipotesi di reato di diffamazione di sedicenti attivisti? sono avulso a queste logiche, boh?!? [...]
Sanno anche che il nostro osservatorio raccoglie automaticamente evidenze dei trasferimenti illeciti, ma che tali evidenze vengono vagliate una per una da me per evitare di far perdere tempo al Garante con falsi positivi.
ah ecco, era l'elemento che mi mancava: che altro dire? [...]
Comunque se il Garante vorrà scambiare due parole con noi, saremo felicissimi di spiegargli come usare il nostro osservatorio automatico distribuito!
ROTFL! :-D [...]
Dove la Legge si piega agli interessi dei più forti,
ma no? dove?!?!? [...]
Alla fin fine però è giusto che Lisi & friends difendano apertamente i gli interessi dei propri clienti ed esprimano liberamente i propri valori. E' persino ammirevole che dichiarino apertamente da che parte stanno.
Noi però stiamo dalla parte delle vittime.
I firmatari del documento inviato al Garante sostengono sostanzialmente che le vittime sono i titolari del trattamento dei dati che subiscono **estorsione** da parte del mercato IT, imposizioni in merito a tecnologie sulle quali non hanno adeguate competenze da parte del Garante e SPAM da parte di Monitora PA et al La realtà è che siamo tutti vittime e sarebbe il caso di lottare /assieme/, ciascuno secondo la propria arte, per far cessare quella che in quel documento viene definita **estorsione**, non credete firmatari del documento? [...] Saluti, 380° P.S.: smettetela di dire che non esistono alternative, perché cominciate davvero a essere noiosi. -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Ciao 380° (e scusa il leak) On September 24, 2022 12:50:54 PM UTC, "380°" <g380@biscuolo.net> wrote:
Vi immaginate la faccia di Stanzione quando leggerà che 60 autorevoli giuristi si sono riuniti per segnalare... che noi segnaliamo al Garante gli illeciti che individuiamo!
sì ma lo fareste violando il GDPR e abusando di un diritto, questo è il succo della accuse nei vostri confronti
Con l'osservatorio automatizzato esercitiamo solo quattro diritti: 0. scrivere il software che usiamo 1. scaricare la lista degli enti AgID-IPA 2. visitarne (automaticamente e/o manualmente, per debug) i siti web 3. segnalare al Garante i trasferimenti illeciti che individuiamo L'esercizio del quarto diritto comporta necessariamente la richiesta preventiva al Titolare di sanare l'illecito. AFAIK, solo in caso del perdurare di tale illecito è possibile segnalarlo. Forse Lisi & friends preferirebbero che segnalassimo i Titolari senza scrivergli per informarli, ma anche se fosse lecito non sarebbe giusto. L'ignoranza informatica è talmente grave e diffusa che moltissimi titolari nemmeno sanno di usare gli strumenti in questione! Pensa che ho scritto a decine e decine di PA che ci comunicavano la rimozione di Google Analytics o Google Fonts... e li avevano ancora sul sito! La responsabilità era quasi sempre dei fornitori, che dichiaravano interventi non fatti o incompleti, fiduciosi che la PA non avrebbe avuto gli strumenti per controllare. Così abbiamo scritto a decine di PA come usare WebbKoll (recentemente tradotto in italiano da un membro della nostra comunità) per verificare in autonomia. E quando i fornitori dichiaravano che non avevano mai usato Google Fonts o Google Analytics, indicavamo al Titolare la riga nel view-source da WebArchive che li smentiva. La stragrande maggioranza delle PA ci ha ringraziato. Devo trovare il tempo di pubblicare le risposte più belle dell'ultimo giro, ma per GA le trovi qui: http://monitora-pa.it/2022/06/12/una-passeggiata-tra-i-fiori.html Per i FOIA alle scuole, abbiamo chiesto 6 documenti a ciascuna scuola, spiegando estesamente perché sono importanti. Tutti documenti prontamente disponibili alle scuole a norma. Non abbiamo chiesto di abbandonare alcuno strumento. Insomma niente di più e niente di meno di ciò che prevede la normativa: ``` L’obiettivo del FOIA è dunque promuovere una maggiore trasparenza nel rapporto tra le istituzioni e la società civile e incoraggiare un dibattito pubblico informato su temi di interesse collettivo. Giornalisti, organizzazioni non governative, imprese, cittadini italiani e stranieri possono richiedere dati e documenti, così da svolgere un ruolo attivo di controllo sulle attività delle pubbliche amministrazioni. ``` https://foia.gov.it/normativa/cose-il-foia D'altro canto, non mi risulta esista un diritto a violare la Legge impunemente, dunque non credo che abbiamo violato alcun diritto dei Titolari.
Ma in 60, nessuno avrà pensato che forse il Garante se n'è accorto? Glielo scriviamo ogni volta! :-D
avete mai ricevuto un "cenno" da parte del Garante?
Intendi a parte il comunicato su Google Analytics emanato il giorno dopo la nostra segnalazione?
Ci si può nascondere dal Garante... ma da noi no! :-)
questa è bella
Non tanto, se ci pensi bene. Lo Stato non dovrebbe avere bisogno di Monitora PA per rispettare le proprie leggi. Né per farle rispettare. Gli strumenti che abbiamo scritto dovrebbero esistere da due anni. E da due anni dovrebbero essere usati dalle Autorità competenti per proteggere i cittadini. La loro identità, la loro intimità, le loro fragilità...
Lisi & friends, ad esempio, sanno benissimo che noi non trattiamo dati personali, ma solo dati di organizzazioni pubbliche e private (finora PA e partiti).
beh nella segnalazione sostengono il contrario, sarebbe opportuno un chiarimento... del Garante :-D
Concordo!
Sanno benissimo che Federico Leva, anche lui nostro ospite graditissimo, non contribuisce al nostro lavoro perché non condivide la Hacking License! [2] E sanno che, sebbene noi approviamo (e io ho personalmente difeso [3])
https://monitora-pa.it/2022/08/02/Domande_allo_StudioLisi_sulla_risposta_per...
c'è una risposta pubblica?
Si, la trovi qui dopo "l'autorevole risposta del Partito Pirata": https://studiolegalelisi.it/novita/google-analitycs-e-la-crociata-di-monitor... Io però non ho avuto modo di dedicarle il tempo che merita (può sembrare impossibile, ma Monitora PA è un hack molto impegnativo). Ad una scorsa veloce ho visto che hanno indirettamente riconosciuto l'invalidità dei consensi ottenuti con il cookie banner precedente (sostituendolo prontamente) e che non hanno avuto bisogno del mio client ID per rimuovere i dati da Google Analytics e Google Fonts, dimostrando, come gli avevo scritto, che pretendere il client ID come precondizione all'esercizio del diritto di cancellazione sarebbe in molti casi un'ingiustificata resistenza all'esercizio di un diritto. Ma ripeto, l'ho scorsa molto velocemente e non ho verificato se abbiano risposto a tutte le domande che avevo posto.
Comunque se il Garante vorrà scambiare due parole con noi, saremo felicissimi di spiegargli come usare il nostro osservatorio automatico distribuito!
ROTFL! :-D
Perché ridi? :-D Per noi è una splendida opportunità! Spero di avere il tempo di rifattorizzare alcune parti un po' convolute, così che Stanzione e gli altri membri del Consiglio del Garante possano comprendere autonomamente cosa facciamo, come e perché. È loro diritto. E facilitare l'esercizio di questo diritto è mio dovere.
Noi però stiamo dalla parte delle vittime.
I firmatari del documento inviato al Garante sostengono sostanzialmente che le vittime sono i titolari del trattamento dei dati che subiscono **estorsione** da parte del mercato IT, imposizioni in merito a tecnologie sulle quali non hanno adeguate competenze da parte del Garante e SPAM da parte di Monitora PA et al
La realtà è che siamo tutti vittime e sarebbe il caso di lottare /assieme/, ciascuno secondo la propria arte, per far cessare quella che in quel documento viene definita **estorsione**, non credete firmatari del documento?
Beh... se non vi preoccupa essere associati a pericolosi hacker contro cui si sta scatenando una (buffa) campagna intimidatoria sui social di sorveglianza... siete tutti benvenuti! :-D Ma Monitora PA è solo UNO dei modi in cui si può lottare per la democrazia cibernetica. Avete diritti e le competenze per esercitarli. Fatelo! O ve li toglieranno prima di quanto crediate. Giacomo
Ciao Giacomo, grazie per il "riassunto delle puntate precedenti" Comunque carissimi hacker di Monitora PA et al, mi spiace fare il bastardo antipatico, ma è probabile che presto (tempo indefinito, sospensione /eterna/) questa storia si risolverà con un accordo tra la Commissione EU e il governo USA di rinnovata adeguatezza dei trasferimenti verso di /loro/ (perché il contrario "non è dato"). Giacomo Tesio <giacomo@tesio.it> writes:
Ciao 380° (e scusa il leak)
mavà, ma che leak: guarda la mia firma ;-) dico solo che se mi firmo 380° c'è un motivo... politico [...]
Devo trovare il tempo di pubblicare le risposte più belle dell'ultimo giro, ma per GA le trovi qui: http://monitora-pa.it/2022/06/12/una-passeggiata-tra-i-fiori.html
dove tra altro si legge: --8<---------------cut here---------------start------------->8--- Vi informiamo di avere già provveduto alla rimozione di Google Analytics (GA) dal sito e di averlo sostituito con lo strumento messo a disposizione per le Pubbliche Amministrazioni dall'Agenzia per l'Italia Digitale, "Web Analytics". --8<---------------cut here---------------end--------------->8--- uno sforzo immane, inefficiente ed economicamente proibitivo: vero?!? E le organizzazioni di categoria, preso atto della realtà dei fatti che l'uso di GA et al è contro il GDPR, cosa aspettano a mettere in piedi strumenti simili per i loro associati? [...]
Ci si può nascondere dal Garante... ma da noi no! :-)
questa è bella
Non tanto, se ci pensi bene.
tantissimo bella invece, se ci ripensi con un minimo di distacco
Lo Stato non dovrebbe avere bisogno di Monitora PA per rispettare le proprie leggi. Né per farle rispettare.
Gli strumenti che abbiamo scritto dovrebbero esistere da due anni.
E da due anni dovrebbero essere usati dalle Autorità competenti per proteggere i cittadini. La loro identità, la loro intimità, le loro fragilità...
dovrebbero, ma nulla di tutto questo è stato fatto: /tecnicamente/ le autorità competenti hanno risorse e strumenti per poter applicare /sistematicamente/ il GDPR et al ma non lo hanno fatto: per chi detiene il potere far valere un proprio diritto deve essere **amministrativamente** una corsa a ostacoli che scoraggi il 95% dei cittadini ...poi arrivate voi coi vostri strumenti informatici che mettono seriamente in crisi [1] la **amministrazione** dei vostri diritti e la reazione da parte di un pezzo del mondo giuridico è quella di farvi le pulci, perchè - lo ribadisco - finché vi **limitate** a fare segnalazioni al Garante da singoli cittadini - magari con l'intermediazione di un avvocato - va tutto bene, ma se lo fate /sistematicamente/ allora stiamo **abusando** di un diritto (c'è qualcuno che dubita che contattare il Titolare per chiedere conto di come vengono (ab)usati i propri dati personali non sia un diritto?). ...che poi l'abuso di diritto sarebbe peggio dell'eccesso di legittima difesa? :-D A tal proposito voglio qui richiamare le parole di Stanzione in una delle sue prime interviste da presidente: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9458830 --8<---------------cut here---------------start------------->8--- Q: L'opinione pubblica ha spesso l'impressione che la tutela della privacy riguardi, sostanzialmente, la gente ricca e famosa... A: "Impressione più che legittima, considerata anche l'immagine pubblica certamente più forte di una certa fascia sociale della popolazione, quella ricca e famosa cui si accenna. Il nuovo Garante ha intenzione di promuovere una vera "cultura della privacy", a livello popolare, diretta a far comprendere il concetto, l'idea, la filosofia sottesa alla disciplina, soprattutto nei confronti delle categorie meno protette, minori, anziani, disagiati..." --8<---------------cut here---------------end--------------->8--- Se potessi confrontarmi con Stanzione gli spiegherei che io faccio parte di una minoranza di /disagiati/ che però ha compreso abbastanza bene il concetto e la filosofia sottesa alla disciplina, tanto da poter /dimostrare/ che per "avere privacy" è *molto* più efficace rifare Internet - ma NON basta - che cercare di applicare il GDPR (che non è inutile "in astratto", ma con questa Internet lo è de facto) e mi piacerebbe tanto che a sua volta voglia promuovere, innanzitutto all'interno delle istituzioni, una vera "cultura informatica" diretta a far comprendere il concetto, l'idea, la filosofia sottesa alla disciplina [...]
beh nella segnalazione sostengono il contrario, sarebbe opportuno un chiarimento... del Garante :-D
Concordo!
sono curioso di vedere la prossima puntata... [...]
https://monitora-pa.it/2022/08/02/Domande_allo_StudioLisi_sulla_risposta_per...
c'è una risposta pubblica?
Si, la trovi qui dopo "l'autorevole risposta del Partito Pirata":
https://studiolegalelisi.it/novita/google-analitycs-e-la-crociata-di-monitor...
No, in realtà la risposta alle domande la trovi qui (e non era ancora nella Wayback Machine)... in PDF :-(: https://studiolegalelisi.it/wp-content/uploads/2022/09/Risposta-a-Giacomo-Te...
Io però non ho avuto modo di dedicarle il tempo che merita (può sembrare impossibile, ma Monitora PA è un hack molto impegnativo).
Ad una scorsa veloce ho visto che hanno indirettamente riconosciuto l'invalidità dei consensi ottenuti con il cookie banner precedente (sostituendolo prontamente)
Andrea Lisi scrive questo, leggi bene: --8<---------------cut here---------------start------------->8--- [...] anche alla luce dei Suoi preziosi suggerimenti, l’informativa breve riportata sul cookie banner è stata integrata, in modo da rendere manifesto, anche al più “fiducioso” degli utenti, che accettando il posizionamento dei cookie di Google Analytics, i propri dati personali potrebbero essere comunicati da Google - su specifica richiesta - ad autorità di sicurezza statunitensi. Ulteriori e più specifiche informazioni sono state, inoltre, inserite nella privacy policy del sito, ponendo in evidenza che “l’utilizzo di Google Analytics potrebbe comportare il trasferimento dei dati personali dell’utente verso gli Stati Uniti, il cui regime giuridico non garantisce un livello di protezione equivalente a quello vigente all’interno dell’Unione Europea in conformità al GDPR. Accettando il posizionamento dei cookie di Google Analytics, pertanto, l’utente è consapevole dei possibili rischi di tale trasferimento, comunque non richiesto né autorizzato dal Titolare del trattamento, dovuti alla mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, par. 3 del GDPR, o di garanzie adeguate ai sensi dell’articolo 46 del GDPR”. --8<---------------cut here---------------end--------------->8--- Ti confermo che ad oggi il "cookie banner" e la privacy policy dello studio dicono esattamente così (https://studiolegalelisi.it/privacy-policy/ archiviato qui: https://archive.ph/ocsjC) Direi che si dimostra, se ce ne fosse ancora bisogno, che più che con i malsopportati attivisti Andrea Lisi et al stanno conducendo una battaglia **sottotraccia** /contro/ le autorità per la privacy europee, che si permettono anche di sbeffeggiare pubblicamente con dichiarazioni come quella della loro privacy policy La posizione di aperta sfida alle authority europee vieve ribadita da questa frase: --8<---------------cut here---------------start------------->8--- ho ricevuto rassicurazioni, da parte dei consulenti tecnici di mia fiducia, sulla assenza di trattamenti di dati personali riconducibili agli stessi utenti, da me effettuati in qualità di autonomo Titolare. Tali dati, infatti, vengono acquisiti direttamente da Google, che ne determina finalità e mezzi del trattamento e non vengono condivisi con il gestore del sito. --8<---------------cut here---------------end--------------->8--- «Non sono io Titolare che mando i dati a Google, sono loro che li /sifonano/ autonomamente, lo dicono i tecnici!» :-D La lettera di risposta si chiude sostanzialmente anticipando ch Lisi assieme a un gruppo di esperti del settore stava preparando una segnalazione al garante perché vuole le le questioni emerse siano dibattute in un confronto aperto e trasparente. ...in una sorta di dibattito /sospeso/ senza soluzione di continuità, in cui le cose vanno avanti così come sono per inerzia, secondo leggi cosmologiche relative all'eternità dei dibattiti. [...]
Ma ripeto, l'ho scorsa molto velocemente e non ho verificato se abbiano risposto a tutte le domande che avevo posto.
No, mi pare proprio che non abbiano risposto a tutto, ma non ho voglia di fare questo tipo di analisi, abbi pazienza [...] Buon lavoro a tutta Monitora PA! Saluti, 380° [1] che poi è questo il nocciolo del successo di Monitora PA così come di altri hack (tipo il copyleft): usare l'informatica per sovvertire la normale (bacata) amministrazione; a questo servono gli hack :-D P.S.: ci sarebbero hack estremamente più efficaci per la privacy di quelli che sfruttano il GDPR, ma ne ho già parlato troppe volte P.P.S.: spero che almeno intuitivamente molti di voi comincino a comprendere (non condividere, dico solo comprendere) le ragioni di chi ha messo in piedi sistemi come il Great Firewall https://en.wikipedia.org/wiki/Great_Firewall -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
On lun, 2022-09-26 at 12:28 +0200, 380° wrote:
Ciao Giacomo,
grazie per il "riassunto delle puntate precedenti"
Comunque carissimi hacker di Monitora PA et al, mi spiace fare il bastardo antipatico, ma è probabile che presto (tempo indefinito, sospensione /eterna/) questa storia si risolverà con un accordo tra la Commissione EU e il governo USA di rinnovata adeguatezza dei trasferimenti verso di /loro/ (perché il contrario "non è dato").
Vedi caso, ho suggerito a chi di dovere di affrontare l'argomento Privacy Shield 2/ Schrems III nel keynote speech di e-privacy, giovedì mattina. Confido che raccolga l'invito. Stay tuned. Marco
Intanto sul sito del Ministero degli interni dedicato ai risultati elettorali, https://elezioni.interno.gov.it/, non può mancare google analytics <script async src="https://www.googletagmanager.com/gtag/js?id=UA-39126249-1"></script> Il giorno lun 26 set 2022 alle ore 13:10 Marco A. Calamari <marcoc_maillist@marcoc.it> ha scritto:
On lun, 2022-09-26 at 12:28 +0200, 380° wrote:
Ciao Giacomo,
grazie per il "riassunto delle puntate precedenti"
Comunque carissimi hacker di Monitora PA et al, mi spiace fare il bastardo antipatico, ma è probabile che presto (tempo indefinito, sospensione /eterna/) questa storia si risolverà con un accordo tra la Commissione EU e il governo USA di rinnovata adeguatezza dei trasferimenti verso di /loro/ (perché il contrario "non è dato").
Vedi caso, ho suggerito a chi di dovere di affrontare l'argomento Privacy Shield 2/ Schrems III nel keynote speech di e-privacy, giovedì mattina.
Confido che raccolga l'invito.
Stay tuned. Marco
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
participants (7)
-
380° -
Enrico Nardelli -
Giacomo Tesio -
Giuseppe Attardi -
Marco A. Calamari -
mauro gorrino -
Michele Pinassi