GDPR, nuova PEC agli Enti per possibili contrasti con le direttive

GDPR, nuova PEC inviata agli Enti Locali riguardo alle potenziali irregolarità dei siti web


In data 16 gennaio 2023, il gruppo di attivisti "Monitora PA" ha trasmesso ai Comuni Italiani una nuova PEC riguardante un presunto trattamento dei dati irregolare, nello specifico un trasferimento al di fuori dell'Unione Europea dei dati di navigazione dell'utente durante la visita del sito web comunale. Questo trasferimento non sarebbe conforme alle disposizioni del GDPR.

Chi è MonitoraPA? 

Il mittente della segnalazione, MonitoraPA, è un gruppo di attivisti che si autoproclama "hacker", senza nessun tipo di carica o nomina istituzionale, autonomo dallo Stato o da qualsiasi autorità governativa. Le loro valutazioni di presunti trattamenti dei dati non conformi sono del tutto autoreferenziali e non vanno interpretate come una comunicazione ufficiale. Le verifiche riguardo alla conformità o meno dei siti alle direttive vengono effettuate dal Garante della Privacy e non da un gruppo di volontari che agisce in totale autonomia.   

Pensiamo che l'attività di MonitoraPA, per quanto possa essere mossa dal fine condivisibile di proteggere i dati del cittadino, possa trasformarsi, senza un adeguato criterio di valutazione e giudizio, in disinformazione. Per chiarire ancora meglio quale sia la natura dell'attività svolta dai volontari di MonitoraPA, consigliamo la lettura dei seguenti articoli:


Chi sono i provider coinvolti? 

I servizi soggetti delle segnalazioni di MonitoraPA sono stati:
  1. Amazon
  2. Google
  3. Facebook
  4. YouTube 

Come funziona Amazon Web Service?

Con tutta probabilità il mittente ha confuso Amazon S.p.a con AmazonWS. Infatti, benché Amazon sia un'azienda americana, i data center di AmazonWS utilizzati da MyCity hanno sede in Irlanda. Essendo l'Irlanda un paese membro dell'UE, non avviene nessun trasferimento dei dati al di fuori del territorio dell'Unione Europea.

Riportiamo per intero l'informativa del trattamento dei dati di AmazonWS stessa:

" il cliente può scegliere la Regione o le Regioni AWS in cui archiviare i propri contenuti. È possibile replicare ed eseguire il backup dei contenuti in più regioni AWS. Tali contenuti non vengono trasferiti o replicati al di fuori della regione o delle regioni AWS scelte senza previo accordo. AWS non divulga i contenuti del cliente se non richiesto dalla legislazione vigente o da ordinanze vincolanti emesse da un'autorità governativa. Se un'autorità governativa invia ad AWS una richiesta inerente ai contenuti del cliente, cercheremo di chiedere a tale autorità di richiedere i dati direttamente al cliente stesso. Qualora AWS fosse obbligata a divulgare i contenuti del cliente a un'autorità governativa, forniamo al cliente un preavviso ragionevole a proposito della richiesta, così che possa a sua volta richiedere un provvedimento cautelare o altri rimedi appropriati, a meno che ad AWS non sia legalmente vietato di farlo." 

Nel caso in cui MonitoraPA accusi AmazonWS di divulgare i dati degli utenti al di fuori dell'Unione Europea, contrariamente a quanto dichiarano nelle loro informative, starebbero accusando il Cloud Service Provider di un illecito, quindi starebbe a loro fornire delle prove valide a sostegno di questa tesi. 

Ulteriori provvedimenti presi per una maggior sicurezza riguardo al Cloud Service Provider

Come abbiamo già ampiamente spiegato precedentemente, AmazonWS è perfettamente in linea con le direttive fornite da AgID e dal GDPR. Tuttavia, per garantire sempre maggior sicurezza agli Enti Locali, abbiamo deciso di cambiare provider, per stroncare sul nascere qualsiasi perplessità a riguardo. Il nuovo provider sarà OVH, azienda francese che ha i suoi data center in Francia. 

Google

Per quanto riguarda Google, abbiamo già provveduto precedentemente ad eliminare dai siti istituzionali dei comuni il servizio di Google Analytics, Fonts e Maps. 

L'unico servizio di Google attualmente attivo è Google Translate. Riguardo l'utilizzo di questo servizio, per evitare qualsiasi dubbio, se gli Enti volessero eliminarlo dai loro siti istituzionali, potrebbero comunque procedere a eliminare Google Translate. Possono in ogni caso farlo autonomamente o contattarci per un'eventuale assistenza. 


Facebook e YouTube

Anche i link inseriti all'interno dei siti che rimandano ai canali social (Instagram, Facebook, YouTube ecc...) non costituiscono nessuna tipologia di violazione del GDPR, poiché i dati eventualmente acquisiti non vengono acquisiti direttamente dai siti degli Enti Locali, ma, eventualmente, vengono acquisiti in un'altra scheda di navigazione. Inoltre i dati acquisiti aprendo il collegamento di Facebook dall'app del comune sarebbero gli stessi acquisiti andando su Facebook da qualsiasi altro link. Banalmente, aprendo l'applicazione dal cellulare, i dati acquisiti sarebbero i medesimi. 

Tuttavia per un'ulteriore sicurezza, a discrezione degli Enti Locali stessi, si può provvedere a rimuoverli. Gli Enti che preferiscono rimuovere i link possono procedere autonomamente a farlo, o mettersi in contatto con noi per un eventuale supporto. 


Invece per quanto riguarda i video di YouTube incorporati direttamente all'interno dei siti degli Enti, è valido quanto scritto sopra riguardo ai link esterni ai canali social. Non sono una violazione del GDPR, ma ad ogni modo gli Enti Locali potranno rimuoverli, sia procedendo autonomamente che rivolgendosi all'assistenza. 

Ulteriori segnalazioni 

È capitato che in alcuni siti venissero segnalati altri link difficili da identificare da parte degli Enti Locali. Si tratta in tutti i casi di link che sono facilmente rimovibili con il supporto di un operatore. Se anche a voi sono stati segnalati questi link e desiderate eliminarli per evitare ogni dubbio, vi basterà contattare l'assistenza, che in tempi brevi vi aiuterà a rimuoverli.