Segnalazione di non conformità GDPR #324
Comments
|
Anche il nostro istituto scolastico ha ricevuto la medesima comunicazione; sulle faq di WAI si dichiara che: |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Buongiorno, ci è giunta in data odierna una pec da un certo Co-fondatore di Monitora PA https://monitora-pa.it (che vi riporto in basso), il quale ci segnala che l'utilizzo del servizio di WebAnalitics Italia, attraverso il codice Matomo che abbiamo inserito nel nostro sito istituzionale, non è conforme alle disposizioni del GDPR in quanto opera un trasferimento di dati a server Amazon Web Service Inc. Quanto c'è di vero in questa segnalazione?
Il sottoscritto omissis (n.d.r.), nell'ambito nel progetto
Monitora PA (https://monitora-pa.it) e con il sostegno delle associazioni
elencate in calce, eleggendo ai fini del presente atto
domicilio fisico in via Aretusa 34, a Milano c/o Hermes Center
e domicilio digitale presso la casella PEC [email protected].
Tramite l'esecuzione dell'osservatorio di Monitora PA,
in data 2023-06-07 16:20:27.496663, ho rilevato che il vostro Ente
Comune di Gravina di Catania
avvia trasferimenti sistematici di dati personali verso
Amazon Web Service, Inc.
Tali trasferimenti sono dovuti all'utilizzo di Web Analytics
Italia, di cui AgID, Agenzia per l'Italia Digitale, ha recentemente
affidato l'esecuzione ai server di Amazon Web Service, Inc.
Tale spostamento determina trasferimenti sistematici non attualmente
conformi, in assenza di efficaci misure tecniche supplementari
(non attualmente presenti sul vostro sito), alle disposizioni
del GDPR in ordine al trasferimento transfrontaliero
di dati personali, fra cui:
precedenti e dall'interesse per gli specifici contenuti
visualizzati sul vostro sito
Suddetta circostanza può essere verificata facilmente utilizzando
uno dei numerosissimi servizi presenti in rete (ad esempio
https://webbkoll.dataskydd.net/it/ che permette di individuare anche
ulteriori vulnerabilità presenti sul sito stesso) oppure analizzando
accuratamente il codice sorgente della pagina web e delle risorse
incorporate tramite l'apposita funzione presente in tutti i principali
browser attualmente sul mercato (Firefox, Chrome, Edge).
Si noteranno alcune chiamate verso il dominio:
che un semplice DNS lookup rivelerà essere un alias CNAME del dominio
a sua volta corrispondente ad uno dei server di Amazon Web Service, Inc.
Le informazioni inviate durante tali trasferimenti sono più che
sufficienti ad identificare il soggetto interessato, tracciarne
la navigazione e ad arricchirne il profilo cognitivo-comportamentale.
Come ben noto anche a seguito della sentenza Schrems II della Corte di
Giustizia dell'Unione Europea, l'uso dei servizi forniti da società
statunitensi per il trattamento di dati personali di cittadini europei
non è attualmente conforme - in assenza di misure tecniche supplementari
efficaci che non ci risultano indicate sul vostro sito - alle disposizioni
del GDPR in ordine al trasferimento transfrontaliero dei dati personali
verso gli Stati Uniti o altri Paesi la cui legislazione non
fornisca ai cittadini europei una protezione equivalente
a quella garantita nell'Unione.
Anche l'EDPB, con le Raccomandazioni 01/2020, ha precisato che si possono
trasferire dati personali in tali Paesi utilizzando altre basi legali
(come le clausole contrattuali tipo di protezione dei dati) ma solo
adottando efficaci misure tecniche supplementari (per esempio la cifratura
dei dati personali con chiavi indisponibili ai riceventi) di modo che non
sia possibile utilizzare i dati personali in violazione dei diritti
fondamentali dei cittadini europei al di fuori dell’UE.
Nel documento "2022 Azione esecutiva coordinata - Utilizzo di servizi
basati su cloud da parte del settore pubblico" adottato come raccomandazione
il 17 gennaio 2023 l'EDPB ribadisce che: "..l'utilizzo da parte di un ente pubblico
del software fornito dal fornitore di servizi cloud può comportare trasferimenti
verso molte destinazioni che non garantiscono un livello di protezione sostanzialmente
equivalente a quello dell'UE, compresi gli Stati Uniti d'America (USA).
In questi casi, l'ente pubblico - che agisce in qualità di titolare del
trattamento - deve valutare attentamente i trasferimenti che possono essere
effettuati per suo conto dal fornitore di servizi cloud, ad esempio identificando
le categorie di dati personali trasferiti, le finalità, i soggetti a cui i
dati possono essere trasferiti e il paese terzo coinvolto.
La valutazione dei trasferimenti internazionali di dati personali in atto
dovrebbe essere effettuata prima di impegnarsi con il fornitore di servizi cloud.
Gli enti pubblici devono fornire istruzioni all'incaricato del trattamento
per individuare e utilizzare uno strumento di trasferimento adeguato e, se
necessario, per individuare e attuare misure supplementari appropriate che
garantiscano che le garanzie contenute nello strumento di trasferimento
prescelto possano essere rispettate dall'importatore, in modo da assicurare
che il livello di protezione offerto dal GDPR non sia compromesso quando i
dati sono trasferiti a un paese terzo. [...]
Emerge dall'analisi effettuata dalle Autorità che il solo uso di un Cloud
Service Provider che sia parte di un gruppo multinazionale soggetto alla
normativa di paesi terzi, può risultare nell'applicazione di tale normativa
anche a dati salvati nel EEA." [^4]
Ne consegue che la selezione di una regione europea per l'esecuzione del
servizio di Web Analytics non fornisce, di per sé, alcuna garanzia di
protezione dei dati personali registrati dal Vostro sito.
Inoltre l'AWS Data Processing Addendum [^5] che integra l'AWS Customer Agreement [^6]
dichiara esplicitamente di rispettare le normative statunitensi cui
Amazon Web Services, Inc (parte dell'accordo, come indicato in premessa) è sottoposta:
le regole e i regolamenti ad esso applicabili e per esso vincolanti"
parti i dati del cliente eccetto che per rispettarle la legge o un ordine
valido e vincolante di un'agenzia governativa. [...]".
Inoltre AWS dichiara che "_se costretta a rivelare dati del cliente ad una
agenzia governativa, AWS darà al cliente una ragionevole notifica della
richiesta [...] a meno che ciò non sia vietato dalla normativa in questione."
Come è noto, l'Autorità Garante per la Protezione dei dati Personali italiana
con Provvedimento del 9 giugno 2022 [docweb n. 9782890], pubblicato il
23 giugno 2022, ha richiamato "all’attenzione di tutti i gestori italiani
di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati
verso gli Stati Uniti attraverso GA" e invitato "tutti i titolari del
trattamento a verificare la conformità delle modalità di utilizzo di cookie
e altri strumenti di tracciamento utilizzati sui propri siti web, con
particolare attenzione a Google Analytics e ad altri servizi analoghi,
con la normativa in materia di protezione dei dati personali".
Ritengo quindi che i trasferimenti di dati personali sopra indicati non
siano conformi al disposto normativo vigente - in ragione del trasferimento
trasfrontaliero di dati personali e in assenza di una condizione legittimante
ai sensi degli artt. 44 e ss. GDPR - e che quindi espongano a rischi
ingiustificati tutti i visitatori del Vostro sito web istituzionale.
Pertanto, fermo restando il diritto del Vostro Ente di presentare
reclamo all'Autorità Garante per la Protezione dei Dati Personali
qualora AgID rifiuti di ottemperare alla Vostra richiesta, invito
l'Ente in indirizzo ad imporre ad AgID - Agenzia per l'Italia Digitale -
la sostituzione del servizio in questione con altro fornitore non
sottoposto a normative incompatibili con i diritti fondamentali dei
cittadini europei entro 15 giorni dalla ricezione della presente.
In alternativa e negli stessi termini, invito l'Ente a sostituire
il servizio in questione con altro fornitore conforme o ad adottare
misure tecniche supplementari efficaci a protezione dei dati personali
tali che nessun dato (o insieme di dati), raggiungendo i server di Amazon,
possa permettere di identificare i visitatori del vostro sito
con probabilità non trascurabile.
In difetto di ottemperanza da parte Vostra, nel termine sopra
indicato, agli obblighi di legge in materia di trattamento dei dati
personali, sarò costretto a rivolgermi al Garante per la Protezione
dei Dati Personali, ai sensi e per gli effetti degli artt. 141 e
seguenti del Codice in materia di protezione dei dati personali
(DECRETO LEGISLATIVO 30 giugno 2003, n.196 e successive modifiche
e integrazioni) per una valutazione della Vostra condotta anche
ai fini dell'emanazione di eventuali provvedimenti di cui
all'art. 58 del GDPR.
The text was updated successfully, but these errors were encountered: