Re: [nexa] Microsoft opta per un data trustee tedesco
On 12 nov 2015, at 02:01, nexa-request@server-nexa.polito.it wrote:
L'articolo parla di trattamento dati "under the control of a Germany company as a data trustee" non di mera delocalizzazione.
v. anche qui: http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-offer... <http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-offer...>
These new cloud services will be a first of their kind innovation from a global hyper-scale cloud provider, in that access to customer data stored in these new datacenters will be under the control of T-Systems, a subsidiary of Deutsche Telekom, an independent German company acting as a data trustee. Microsoft will not be able to access this data without the permission of customers or the data trustee, and if permission is granted by the data trustee, will only do so under its supervision.
Questo chiarisce alcune cose ma non risolve i miei dubbi. La soluzione può essere efficace nel caso di servizi cloud in hosting, ossia di servizio che i clienti usano per fare le cose proprie: memorizzare dati ed elaborarli coi propri programmi. Non riguarda quei servizi che vengono offerti da Microsoft stessa, come ad esempio la posta, Office 365, ecc. In questo caso Microsoft *deve* aver accesso ai dati per svolgere il servizio: non può essere soggetto all’autorizzazione del trustee per ogni operazione. Quindi quei dati possono essere richiesti dalle autorità americane. — Beppe
il punto non è l'accesso materiale o funzionale al dato, ma la possibilità per il governo US di ottenere un provvedimento ex ECPA 2703 (a), se il data center è sotto il controllo di una società tedesca, mi pare che la cosa sia più difficile. Il caso di specie riguarda poi lo strage di messaggi email, qui maggiori dettagli: https://cdt.org/insight/microsoft-ireland-case-can-a-us-warrant-compel-a-us-... AM On Thu, 12 Nov 2015 02:18:28 +0100 Giuseppe Attardi <attardi@di.unipi.it> wrote:
On 12 nov 2015, at 02:01, nexa-request@server-nexa.polito.it wrote:
L'articolo parla di trattamento dati "under the control of a Germany company as a data trustee" non di mera delocalizzazione.
v. anche qui: http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-offer... <http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-offer...>
These new cloud services will be a first of their kind innovation from a global hyper-scale cloud provider, in that access to customer data stored in these new datacenters will be under the control of T-Systems, a subsidiary of Deutsche Telekom, an independent German company acting as a data trustee. Microsoft will not be able to access this data without the permission of customers or the data trustee, and if permission is granted by the data trustee, will only do so under its supervision.
Questo chiarisce alcune cose ma non risolve i miei dubbi.
La soluzione può essere efficace nel caso di servizi cloud in hosting, ossia di servizio che i clienti usano per fare le cose proprie: memorizzare dati ed elaborarli coi propri programmi.
Non riguarda quei servizi che vengono offerti da Microsoft stessa, come ad esempio la posta, Office 365, ecc. In questo caso Microsoft *deve* aver accesso ai dati per svolgere il servizio: non può essere soggetto all’autorizzazione del trustee per ogni operazione. Quindi quei dati possono essere richiesti dalle autorità americane.
— Beppe
-- Prof. Avv. Alessandro Mantelero Politecnico di Torino Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration http://staff.polito.it/alessandro.mantelero @mantelero EMAIL POLICY: twice a day (Mon-Fri)
Mi sembra di capire che il giudizio della corte è che Microsoft non si può sottrarre all’ingiunzione, nonostante l’extraterritorialità dei server: “the extraterritorial limits on warrants are not implicated and the relevant question is whether the data is in the provider’s control. Moreover, the magistrate opined, a search does not even occur until the data is reviewed by law enforcement in the U.S., so there is no extraterritorial search. “ Pende il ricorso di Microsoft, ma per ora è soccombente. — Beppe
On 12 nov 2015, at 06:19, Alessandro Mantelero <alessandro.mantelero@polito.it> wrote:
il punto non è l'accesso materiale o funzionale al dato, ma la possibilità per il governo US di ottenere un provvedimento ex ECPA 2703 (a), se il data center è sotto il controllo di una società tedesca, mi pare che la cosa sia più difficile.
Il caso di specie riguarda poi lo strage di messaggi email, qui maggiori dettagli: https://cdt.org/insight/microsoft-ireland-case-can-a-us-warrant-compel-a-us-...
AM
On Thu, 12 Nov 2015 02:18:28 +0100 Giuseppe Attardi <attardi@di.unipi.it> wrote:
On 12 nov 2015, at 02:01, nexa-request@server-nexa.polito.it wrote: L'articolo parla di trattamento dati "under the control of a Germany company as a data trustee" non di mera delocalizzazione. v. anche qui: http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-offer... <http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-offer...> These new cloud services will be a first of their kind innovation from a global hyper-scale cloud provider, in that access to customer data stored in these new datacenters will be under the control of T-Systems, a subsidiary of Deutsche Telekom, an independent German company acting as a data trustee. Microsoft will not be able to access this data without the permission of customers or the data trustee, and if permission is granted by the data trustee, will only do so under its supervision. Questo chiarisce alcune cose ma non risolve i miei dubbi. La soluzione può essere efficace nel caso di servizi cloud in hosting, ossia di servizio che i clienti usano per fare le cose proprie: memorizzare dati ed elaborarli coi propri programmi. Non riguarda quei servizi che vengono offerti da Microsoft stessa, come ad esempio la posta, Office 365, ecc. In questo caso Microsoft *deve* aver accesso ai dati per svolgere il servizio: non può essere soggetto all’autorizzazione del trustee per ogni operazione. Quindi quei dati possono essere richiesti dalle autorità americane. — Beppe
-- Prof. Avv. Alessandro Mantelero Politecnico di Torino
ed è probabilmente per questo che MS ha adottato la "via tedesca" AM On Thu, 12 Nov 2015 11:45:25 +0100 Giuseppe Attardi <attardi@di.unipi.it> wrote:
Mi sembra di capire che il giudizio della corte è che Microsoft non si può sottrarre all’ingiunzione, nonostante l’extraterritorialità dei server: “the extraterritorial limits on warrants are not implicated and the relevant question is whether the data is in the provider’s control. Moreover, the magistrate opined, a search does not even occur until the data is reviewed by law enforcement in the U.S., so there is no extraterritorial search. “
Pende il ricorso di Microsoft, ma per ora è soccombente.
— Beppe
On 12 nov 2015, at 06:19, Alessandro Mantelero <alessandro.mantelero@polito.it> wrote:
il punto non è l'accesso materiale o funzionale al dato, ma la possibilità per il governo US di ottenere un provvedimento ex ECPA 2703 (a), se il data center è sotto il controllo di una società tedesca, mi pare che la cosa sia più difficile.
Il caso di specie riguarda poi lo strage di messaggi email, qui maggiori dettagli: https://cdt.org/insight/microsoft-ireland-case-can-a-us-warrant-compel-a-us-...
AM
On Thu, 12 Nov 2015 02:18:28 +0100 Giuseppe Attardi <attardi@di.unipi.it> wrote:
On 12 nov 2015, at 02:01, nexa-request@server-nexa.polito.it wrote: L'articolo parla di trattamento dati "under the control of a Germany company as a data trustee" non di mera delocalizzazione. v. anche qui: http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-offer... <http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-offer...> These new cloud services will be a first of their kind innovation from a global hyper-scale cloud provider, in that access to customer data stored in these new datacenters will be under the control of T-Systems, a subsidiary of Deutsche Telekom, an independent German company acting as a data trustee. Microsoft will not be able to access this data without the permission of customers or the data trustee, and if permission is granted by the data trustee, will only do so under its supervision. Questo chiarisce alcune cose ma non risolve i miei dubbi. La soluzione può essere efficace nel caso di servizi cloud in hosting, ossia di servizio che i clienti usano per fare le cose proprie: memorizzare dati ed elaborarli coi propri programmi. Non riguarda quei servizi che vengono offerti da Microsoft stessa, come ad esempio la posta, Office 365, ecc. In questo caso Microsoft *deve* aver accesso ai dati per svolgere il servizio: non può essere soggetto all’autorizzazione del trustee per ogni operazione. Quindi quei dati possono essere richiesti dalle autorità americane. — Beppe
-- Prof. Avv. Alessandro Mantelero Politecnico di Torino
-- Prof. Avv. Alessandro Mantelero Politecnico di Torino Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration http://staff.polito.it/alessandro.mantelero @mantelero EMAIL POLICY: twice a day (Mon-Fri)
In data giovedì 12 novembre 2015 02:18:28, Giuseppe Attardi ha scritto:
Non riguarda quei servizi che vengono offerti da Microsoft stessa, come ad esempio la posta, Office 365, ecc. In effetti, qui http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-offer... si parla di "Azure, Office 365 and Dynamics CRM Online" e non di altro.
Ad ogni modo, prima che qualcuno pensi alla beatificazione di Microsoft, ricordo che ci sono diverse altre "cosacce" che Microsoft fa in danno della privacy degli utenti http://www.gnu.org/proprietary/malware-microsoft.html :-) m.c.
dai Marco sei rimasto agli anni '90 con MS cattiva e qualcuno che dice di "non essere cattivo"? I fatti hanno mostrato che le cose andavano in maniera un po' diversa... Senza beatificare nessuno, va dato atto che MS ha adottato le standard contractual clauses, ha fatto causa al proprio governo per non rivelare le email detenute in Irlanda ed ora pensa ad un sistema che impedisca l'applicabilità extraterritoriale delle norme US. Quante altre imprese US hanno seguito lo stesso percorso? Non è questione di essere santi o demoni è semplice questione di business: qualcuno capisce che la privacy è un valore competitivo e qualcuno no. Qualcuno ha un modello di business che sui dati dei clienti vive e qualcuno meno. Bisogna essere obiettivi sul punto, che non vuol dire che un'azienda poi faccia tutto bene su ogni altro aspetto. Dai Marco passa anche a tu a Win10 :)) On Thu, 12 Nov 2015 21:45:46 +0100 Marco Ciurcina <ciurcina@studiolegale.it> wrote:
In data giovedì 12 novembre 2015 02:18:28, Giuseppe Attardi ha scritto:
Non riguarda quei servizi che vengono offerti da Microsoft stessa, come ad esempio la posta, Office 365, ecc. In effetti, qui http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-offer... si parla di "Azure, Office 365 and Dynamics CRM Online" e non di altro.
Ad ogni modo, prima che qualcuno pensi alla beatificazione di Microsoft, ricordo che ci sono diverse altre "cosacce" che Microsoft fa in danno della privacy degli utenti http://www.gnu.org/proprietary/malware-microsoft.html :-) m.c.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Prof. Avv. Alessandro Mantelero Politecnico di Torino Nexa Center for Internet and Society | Director of Privacy Politecnico di TorinoTongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration http://staff.polito.it/alessandro.mantelero @mantelero EMAIL POLICY: twice a day (Mon-Fri)
io resto a Win7.. ;-) On 13/11/2015 07:01, Alessandro Mantelero wrote:
dai Marco sei rimasto agli anni '90 con MS cattiva e qualcuno che dice di "non essere cattivo"? I fatti hanno mostrato che le cose andavano in maniera un po' diversa...
Senza beatificare nessuno, va dato atto che MS ha adottato le standard contractual clauses, ha fatto causa al proprio governo per non rivelare le email detenute in Irlanda ed ora pensa ad un sistema che impedisca l'applicabilità extraterritoriale delle norme US. Quante altre imprese US hanno seguito lo stesso percorso?
Non è questione di essere santi o demoni è semplice questione di business: qualcuno capisce che la privacy è un valore competitivo e qualcuno no. Qualcuno ha un modello di business che sui dati dei clienti vive e qualcuno meno. Bisogna essere obiettivi sul punto, che non vuol dire che un'azienda poi faccia tutto bene su ogni altro aspetto.
Dai Marco passa anche a tu a Win10 :))
On Thu, 12 Nov 2015 21:45:46 +0100 Marco Ciurcina <ciurcina@studiolegale.it> wrote:
In data giovedì 12 novembre 2015 02:18:28, Giuseppe Attardi ha scritto:
Non riguarda quei servizi che vengono offerti da Microsoft stessa, come ad esempio la posta, Office 365, ecc. In effetti, qui http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-offer...
si parla di "Azure, Office 365 and Dynamics CRM Online" e non di altro.
Ad ogni modo, prima che qualcuno pensi alla beatificazione di Microsoft, ricordo che ci sono diverse altre "cosacce" che Microsoft fa in danno della privacy degli utenti http://www.gnu.org/proprietary/malware-microsoft.html :-) m.c.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Prof. Avv. Alessandro Mantelero Politecnico di Torino
Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration
http://staff.polito.it/alessandro.mantelero @mantelero
EMAIL POLICY: twice a day (Mon-Fri) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
----- Nessun virus nel messaggio. Controllato da AVG - www.avg.com Versione: 2016.0.7227 / Database dei virus: 4457/10990 - Data di rilascio: 13/11/2015
In data venerdì 13 novembre 2015 07:01:57, Alessandro Mantelero ha scritto:
dai Marco sei rimasto agli anni '90 con MS cattiva e qualcuno che dice di "non essere cattivo"? I fatti hanno mostrato che le cose andavano in maniera un po' diversa... mm.. certamente hai letto la pagina http://www.gnu.org/proprietary/malware-microsoft.it.html e quindi hai visto che i problemi dei software Microsoft non sono fermi agli anni '90, ma sono anche presenti in Windows 10 [1].
Non mi è chiaro se intendi che, secondo te, oggi non costituisce un problema per la privacy e la sicurezza degli utenti il fatto che windows: - ha funzioni di modifica remota imposta all'utente, - ha funzioni predefinite che interferiscono con la privacy degli utenti, - lascia a Microsoft una chiave di decifratura dell'hard disk dell'utente, - è software a codice sorgente chiuso. m.c. [1] Tra l'altro, in quella pagina si legge che in Windows 10 c'è: - una backdoor universale che forza tutti gli “aggiornamenti” senza richiedere il consenso dell'utente; - Windows 10 ha impostazioni predefinite che non rispettano la privacy degli utenti e che danno a Microsoft il “diritto” di spiare i file degli utenti, il testo inserito, le parole dettate, le informazioni sulal posizione, i contatti, le voci di calendario e le pagine web visitate, e persino di connettere automaticamente il computer a reti wireless sprotette e di mostrare pubblicità personalizzata; - Windows 10 invia informazioni a Microsoft che consentono di identificare l'utente anche se si disattivano le funzioni di ricerca di Bing e Cortana e si attiva la protezione della privacy; - Microsoft usa le “condizioni sulla privacy” di Windows 10 per arrogarsi il “diritto” di spiare i file degli utenti in qualsiasi momento. La cifratura del disco con Windows 10 dà una chiave anche a Microsoft.
Senza beatificare nessuno, va dato atto che MS ha adottato le standard contractual clauses, ha fatto causa al proprio governo per non rivelare le email detenute in Irlanda ed ora pensa ad un sistema che impedisca l'applicabilità extraterritoriale delle norme US. Quante altre imprese US hanno seguito lo stesso percorso?
Non è questione di essere santi o demoni è semplice questione di business: qualcuno capisce che la privacy è un valore competitivo e qualcuno no. Qualcuno ha un modello di business che sui dati dei clienti vive e qualcuno meno. Bisogna essere obiettivi sul punto, che non vuol dire che un'azienda poi faccia tutto bene su ogni altro aspetto.
Dai Marco passa anche a tu a Win10 :))
On Thu, 12 Nov 2015 21:45:46 +0100
Marco Ciurcina <ciurcina@studiolegale.it> wrote:
In data giovedì 12 novembre 2015 02:18:28, Giuseppe
Attardi ha scritto:
Non riguarda quei servizi che vengono offerti da
Microsoft stessa, come ad
esempio la posta, Office 365, ecc.
In effetti, qui http://www.prnewswire.co.uk/news-releases/microsoft-announces-plans-to-off er-cloud-services-from-german-datacenters-545594412.html si parla di "Azure, Office 365 and Dynamics CRM Online"
e non di altro.
Ad ogni modo, prima che qualcuno pensi alla
beatificazione di Microsoft,
ricordo che ci sono diverse altre "cosacce" che
Microsoft fa in danno della
privacy degli utenti http://www.gnu.org/proprietary/malware-microsoft.html
:-)
m.c.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Prof. Avv. Alessandro Mantelero Politecnico di Torino
Nexa Center for Internet and Society | Director of Privacy Politecnico di TorinoTongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration
http://staff.polito.it/alessandro.mantelero @mantelero
EMAIL POLICY: twice a day (Mon-Fri)
participants (4)
-
Alessandro Mantelero -
Giuseppe Attardi -
Marco Ciurcina -
Stefano Quintarelli