Dopo i provvedimenti del Garante austriaco della protezione dei dati personali secondo cui l’uso continuo di Google Analytics viola il Regolamento europeo GDPR n. 2016/679 anche  Il Garante francese per la protezione della privacy (CNIL), dopo aver ricevuto i reclami dall’associazione NOYB, presieduta da Schrems, il 10 febbraio 2022 ha ordinato a un gestore di siti Web francese di conformarsi al GDPR e di interrompere il servizio. 

Google analytics è un software di statistiche che, attraverso i cosiddetti cookies, ottiene la profilazione dei cittadini raccogliendone i gusti,  la capacità di spesa, lo stato di salute, le tendenze politiche, religiose, sessuali. 
Attaraverso l’incrocio dei dati raccolti permette, all’utilizzatore del software, di ottenere la cosiddetta capacità predittiva nell’andamneto dei consumi, degli orientamenti  ludici, culturali, sociali, economici. (Es. i tuoi ordini su Amazon, l’acquisto di medicinali e integratori, i mi piace su Facebook, l’acquisto di libri, la visione di film, ecc.).
CNIL ha analizzato le condizioni in cui i dati raccolti attraverso l’uso di Google Analytics sono stati trasferiti negli Stati Uniti e i rischi a carico dei cittadini che acquistano beni, servizi e notizie su internet monitorati da Google Analytics. Il Garante francese ha riscontrato l’accessibilità ai servizi di intelligence statunitensi dei dati personali raccolti, per la prestazione di beni e servizi ai cittadini francesi,  in violazione del Regolamento europeo, come  evidenziato dalla sentenza “Schrems II” della Corte di Giustizia dell’Unione Europea del 16 luglio 2020. 
I fornitori statunitensi e gli esportatori di dati dell’UE hanno ampiamente ignorato la sentenza della CGUE. Microsoft, Facebook, Amazon, Google e altre big tech USA hanno fatto ricorso sulle cosiddette “clausole contrattuali standard” per continuare i trasferimenti di dati personali senza la protezione prevista dal GDPR.

In questi ultimi giorni è stato pubblicizzato a lettere cubitali, ripetutamente su tutti i mezzi di informazione, un nuovo accordo transatlantico tra Europa e USA per trasferire i dati personali, salvaguardando la privacy degli utenti. L’annuncio è stato diramato venerdì 25 marzo 2022 dalla presidente della Commissione europea, Ursula von der Leyen, e dal presidente degli Stati Uniti, Joe Biden.

E’ su queste dichiarazioni di accordo che è intervenuto il Comitato Europeo per la Protezione dei dati Personali (EDPB) con un comunicato che accoglie con favore gli impegni assunti dagli Stati Uniti  per proteggere la privacy e i dati personali degli europei  quando i loro dati vengono trasferiti negli Stati Uniti come primo passo positivo nella giusta direzione.
L’EDPB osserva, però, che questo annuncio non costituisce un quadro giuridico sulla base del quale si possono trasferire i dati negli Stati Uniti senza intraprendere le azioni necessarie per conformarsi alla giurisprudenza della Corte di Giustizia dell’Unione europea (CGUE), e in particolare alla sua decisione Schrems II del 16 luglio 2020.
Per il testo della dichiarasione originale di EDPB, clicca qui.

Personalmente, dopo la sentenza della Corte di giustizia dell’Unione europea, ho sempre evitato di utilizzare i software in cloud delle Big tech per il trattamento dei dati personali ed ho sempre eseguito salvataggi in locale con copie degli archivi su fornitori di cloud europei.
Ora, però, mi sorge un dubbio. Considerato che:
1) le amministrazioni pubbliche acquistano suite in cloud  di big tech USA su Consip e Mepa (Mercato elettronico della Puubblica Amministrazionegestito dal Ministero dell’Economia e Finanze);

2) per la Didattica a distanza, con registrazione di lezioni e trattamento di immagini anche di minori, gli unici fornitori sono le big tech USA con l’approvazione del Ministero dell’Istruzione – MIUR;

3) i video dei consigli comunali e di altri organi collegiali vengono riversati su youtube che fornisce spazio e velocità di riproduzione a costo zero;

4) l’archiviazione e la conservazione dei documenti informatici, contenenti tutti i dati dei cittadini europei, viene indirizzata in gran parte sui servizi cloud saas con storage fornito dalle big tech USA. E si che sono anche qualificate da AGID – Agenzia per l’Italia Digitale – della Presidenza del Consiglio dei ministri, perchè in questa meravigliosa europa la mano sinistra non sa quello che fa la destra;

e l’elenco potrebbe contitnuare. In questo scenario, mi chiedo, faccio bene a non utilizzare e sconsigliare di utilizzare  i software in cloud delle big tech per il trattamento dei dati personali oppure è solo un problema di Google Analytics?

Il tentennamento dell’Europa ed il percepire le big tech solo come mucche da mungere con sanzioni milionarie il cui peso economico ricadrà sui cittadini europei,  dimostra un palese senso di inferiorità e incapacità di sviluppare modelli alternativi, Una situazione che sicuramente approfondirà il divario tecnologico tra vecchio e nuovo continente con le prevedibili conseguenze economche e sociali.

Igino Addari
DPO Actainfo

 

  

 

Actaprivacy software cloud saas qualificato da AGID per l’adempimento del GDPR

AGID_Marketplace.png  Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software cloud saas ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679. 

 

   

ACTAINFO Servizi informativi e telematici

Fornitore abilitato al MEPA – Mercato Elettronico della Pubblica Amministrazione. 
Realizzazione, gestione, fornitura di: siti web, servizi privacy, firme digitali, marche temporali, PEC, conservazione digitale, archiviazione

    

  

E-learning Corso Whistleblowing per la segnalazione degli illeciti

  Corso di formazione per l’attuazione degli obblighi formativi in materia di whistleblowing – segnalazione degli illeciti – richiesti dalle Linee Guida ANAC del 9 giugno 2021

 

 

   

 

Leggi anche

Strategia Cloud Italia: trasmissione dei piani di migrazione

Con la firma del decreto n. 3 del 19 gennaio 2023, che stabilisce le modalità di trasmissione dei piani di migrazione predisposti dalle PA, prosegue il percorso di adozione del cloud da parte delle pubbliche amministrazioni italiane. Dopo aver presentato lo scorso anno la classificazione dati e servizi secondo le indicazione dell’Agenzia per la cybersicurezza nazionale (ACN), […]

Attacco ransomware massivo minaccia i server ESXi

Arrivano segnalazioni di una esplosione di compromissioni degli hypervisor VMware ESXi con oltre 500 macchine colpite dal ransomware questo fine settimana, con gli attacchi che sfruttano la CVE-2021-21974. Come pubblicato da The Stack, circa 20 macchine ESXi venivano colpite ogni ora, utilizzando i dati messi a disposizione da Shodan che mostravano che la maggior di […]

Accessibilità dei siti web e delle app di soggetti privati con fatturato medio superiore a € 500 milioni

Il DL 76/2020 ha esteso al settore privato alcuni obblighi sull’accessibilità, previsti già dalla Legge 4/2004 per le Pubbliche Amministrazioni, ai soggetti che offrono servizi al pubblico, attraverso siti web o applicazioni mobili, con un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro, con l’obiettivo di consentire la più ampia […]