GDPR, spostamento dei data center di MyCity a Strasburgo

MyCity, passaggio da AmazonWS a OVHCloud per gestione dei documenti

In data 16 gennaio 2023, il gruppo di attivisti "hacker", MonitoraPA, aveva inviato una PEC agli Enti Locali. La PEC in questione segnalava delle potenziali irregolarità dei Siti Istituzionali, ovvero un trasferimento dei dati in territori fuori dalla comunità europea. In particolare la segnalazione riguardava il provider a cui MyCity aveva affidato l'archiviazione dei documenti, ovvero AmazonWS.

Nonostante il comportamento del provider in questione risulti conforme al GDPR per i motivi precedentemente descritti in questo articolo, abbiamo deciso di prendere ulteriori provvedimenti per assicurare agli Enti Locali il massimo della sicurezza. 


Perché MonitoraPA ha segnalato dei trasferimenti di dati irregolari?


La segnalazione era dovuta alla confusione fatta tra Amazon.com, Inc., azienda di commercio elettronico con sede a Seattle, e AmazonWS, omonima azienda di cloud computing che ha diversi server in tutto il globo
Come accaduto in altre occasioni, ribadiamo che la divulgazione dei dati in territorio extra UE da parte di AWS rappresenterebbe un grave illecito, e andrebbe argomentato da parte di MonitoraPA con adeguate prove.

Infatti è AmazonWS stessa che nell'informativa sui trattamenti dei dati specifica in modo molto chiaro che i dati archiviati in una regione non possono essere divulgate al di fuori di essa se non in casi di interventi di un'autorità governativa terza in casi eccezionali.

Riportiamo per intero l'informativa del trattamento dei dati di AmazonWS stessa:

" il cliente può scegliere la Regione o le Regioni AWS in cui archiviare i propri contenuti. È possibile replicare ed eseguire il backup dei contenuti in più regioni AWS. Tali contenuti non vengono trasferiti o replicati al di fuori della regione o delle regioni AWS scelte senza previo accordo. AWS non divulga i contenuti del cliente se non richiesto dalla legislazione vigente o da ordinanze vincolanti emesse da un'autorità governativa. Se un'autorità governativa invia ad AWS una richiesta inerente ai contenuti del cliente, cercheremo di chiedere a tale autorità di richiedere i dati direttamente al cliente stesso. Qualora AWS fosse obbligata a divulgare i contenuti del cliente a un'autorità governativa, forniamo al cliente un preavviso ragionevole a proposito della richiesta, così che possa a sua volta richiedere un provvedimento cautelare o altri rimedi appropriati, a meno che ad AWS non sia legalmente vietato di farlo." 



Provvedimenti di MyCity riguardo alla sicurezza dei Cloud Services Provider 

Come avevamo già anticipato al tempo della segnalazione, abbiamo provveduto a cambiare definitivamente provider per l'archiviazione dei documenti, affidandoci a OVHCloud, azienda di web hosting francese che ha i suoi data center a Strasburgo, all'interno dell'Unione Europea.

Da oggi, lunedì 27 febbraio, MyCity non si servirà più AmazonWS, ma archivierà i documenti attraverso i data center di OVHCloud

Come sempre, il nostro principale obiettivo è supportare gli Enti Locali e abbiamo compreso le perplessità nate dalle segnalazioni di MonitoraPA, nonostante i nostri documenti fossero stati archiviati in modo conforme alle normative. Proprio per dare sempre maggior sicurezza ai nostri clienti abbiamo deciso di affidarci a OVH, che non può essere ricollegata (neanche erroneamente) a nessuna azienda con sede al di fuori dell'Unione Europea. 

Inoltre provvederemo anche a spostare i documenti già archiviati su AmazonWS nei nuovi data center. Si tratta di una mole importante di dati, accumulati in diversi anni di archiviazione, ma cercheremo di spostare i dati integralmente per dare un'ulteriore sicurezza agli Enti Locali, impegnandoci al massimo per un servizio che risponda alle loro necessità e che rispetti le loro esigenze. 

Perché abbiamo scelto OVHCloud? 

I server di OVH sono leader in Europa per quanto riguarda l'archiviazione di dati e documenti. Sono un'azienda referenziata, con sistemi implementati appositamente per il GDPR. La sicurezza di OVH viene testata e certificata con regolarità. 

OVHCoud ha ottenuto la certificazione di varie organizzazioni europee di sicurezza informatica tra cui anche AgID

La soluzione Private Cloud di OVH è conforme agli standard di protezione più elevati in Europa, nonché al GDPR, e certificata anche dall'Agenzia per l'Italia Digitale (AgID). 

Per ulteriori informazioni riguardo la sicurezza dei data center di OVH consigliamo la consultazione della loro informativa.