26/01/2023

Monitora PA: Diffide via PEC per trasferimento dati in violazione del GDPR

Nuovo invio di diffide da parte di Monitora PA agli enti della Pubblica Amministrazione, invitando a dismettere l'uso di alcuni strumenti

Diversi Enti della Pubblica Amministrazione hanno ricevuto delle diffide via PEC con le quali un gruppo di attivisti invita a rimuovere Facebook e numerosi altri servizi di aziende tech USA dal proprio sito web, pena il rischio di essere segnalati al Garante Privacy.

Diffida via pec agli enti pubblici firmata Giacomo Tesio di Monitora PA

Il 2023 inizia subito con qualche grattacapo per i siti web delle Pubbliche Amministrazioni. Già dai primi giorni di gennaio infatti, numerosi enti pubblici hanno ricevuto una segnalazione via PEC, firmata Giacomo Tesio, inviata dal gruppo di attivisti Monitora PA.

L'email, che ha valore legale, invita le Pubbliche Amministrazioni a rimuovere dai propri portali e siti web alcuni servizi, entro quindici giorni dalla ricezione dell'avviso. Se l'ente non adempirà a tale richiesta, potrebbe essere segnalato al Garante per la Protezione dei Dati Personali.

Quali sono i principali servizi che violerebbero il GDPR?

Qualche tempo fa avevamo parlato dello stesso caso che aveva riguardato l'uso di Google Analytics, ma questa volta la lista di servizi è cresciuta di molto.

Come riportato sul sito di Monitora PA, questo è l'elenco completo:

• Adobe Inc.
• Amazon Web Services, Inc.
• Moat Ads
• Microsoft Azure (Microsoft Corporation)
• Facebook (Meta Platforms, Inc.)
• FontAwesome (Cloudflare, Inc.)
• CloudFront (Amazon, Inc)
• Microsoft Corporation
• Twitter, Inc.
• YouTube (Google LLC)
• Google Tag Manager (Google LLC)
• Google Analytics (Google LLC)
• Unpkg (Cloudflare, Inc.)
• Akamai CDN (Akamai Technologies, Inc.)
• CloudflareInsights (Cloudflare, Inc.)
• JsDelivr (Cloudflare, Inc.)
• hCaptcha (Intuition Machines, Inc.)
• Turnstile (Cloudflare, Inc.)
• cdnjs (Cloudflare, Inc.)
• jquery.com (StackPath)
• Vimeo
• Fastly
• AddThis (Oracle Corporation)
• AddToAny
• Google Translate (Google LLC)
• Yandex LLC
• Tencent Holdings Ltd.
• Alibaba Group Holding Limited
• Cloudflare CDN (Cloudflare, Inc.)
• Google Search (Google LLC)
• Google Advertising (Google LLC)

Perché si verifica una violazione del GDPR?

I servizi digitali come Facebook, Twitter, Youtube, Google Analytics, FontAwesome e AWS - Amazon Web Services potrebbero violare la privacy nel caso di un trasferimento di dati e informazioni degli utenti Europei verso gli Stati Uniti, dove vige una normativa diversa da quella europea del GDPR.

Per semplificare, la legislazione americana prevede che le aziende tech, operanti su suolo statunitense, debbano garantire l'accesso ai dati e alle informazioni degli utenti alle agenzie governative per motivi di intelligence e sicurezza nazionale. Pertanto il governo americano, in caso di necessità, ha la possibilità di disporre di tutte le informazioni degli utenti che usano determinati servizi.

Questa modalità di accesso alle informazioni è in constrasto con il GDPR e negli ultimi tempi hanno preso piede una serie di iniziative per limitare il trasferimento di dati da Italia ed Europa verso gli USA.

Come risolvere e configurare i servizi in modo conforme al GDPR?

È opportuno anzitutto verificare come sono stati configurati i servizi che abbiamo elencato e quali dati potrebbero raccogliere. Ad esempio, se stiamo usando il servizio di Vimeo, siamo a conoscenza di come i dati dei nostri utenti vengono utilizzati?

Sappiamo bene che è difficile leggersi tutte le informative privacy dei vari fornitori di servizi, e se si vuole usare uno strumento è necessario accettare certe condizioni. Spesso poi ci fidiamo che i nostri dati saranno trattati correttamente, ma non ne abbiamo la certezza. In questi casi, è bene chiedersi prima di tutto se ci sono alternative valide.

Ecco qualche esempio pratico:

• Youtube e Vimeo possono essere rimpiazzati da video caricati in locale nel server, evitando connessioni esterne;
• FontAwesome e jQuery si possono configurare in locale senza passare per Cloudflare o altri servizi;
• i sistemi di caching e i servizi in cloud spesso hanno delle alternative, tipo Memcache o Nextcloud;
• Google Analytics e piattaforme simili si possono sostituire con Matomo;
• gli iframe si possono rimuovere e, in caso dovessimo incorporare post, tweet e altri contenuti possiamo spesso usare le API dei vari servizi per ottenere lo stesso risultato, certo con una spesa molto maggiore, ma almeno in conformità.

Le soluzioni ci sono, a volte sono un po' dispendiose ma ne vale la pena se vogliamo rispettare la riservatezza degli utenti.

Prima di qualsiasi decisione è utile porsi questa domanda: Ne abbiamo davvero bisogno? Spesso raccogliamo dati che in realtà non ci servono, pensiamo al remarketing che molto probabilmente non serve alla Pubblica Amministrazione.

Ogni gestore è responsabile dei dati che raccoglie

È importante ricordare che la responsabilità per i dati raccolti è del gestore del sito, in questo caso l'Ente Pubblico. Se stiamo raccogliendo dati statistici, ciò che dobbiamo sapere è come vengono conservati e se vengono inviati al di fuori dell'Unione Europea, dove vige il GDPR.

Il fatto di non sapere cosa succeda ai dati degli utenti non ne giustifica eventuali abusi, anche involontari. Come sappiamo, la legge non ammette ignoranza.

Per evitare sanzioni, o anche solo per maggiori informazioni e chiarimenti ti invitiamo a contattarci.

Non perdere i prossimi aggiornamenti! Seguici su Linkedin e Facebook.