forked from hermescenter/monitorapa
-
Notifications
You must be signed in to change notification settings - Fork 12
/
Copy pathPA09.template
251 lines (208 loc) · 13.4 KB
/
PA09.template
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
______
This file is part of MonitoraPA
Copyright (C) 2022 Stefano Gazzella <stefano@gdpready.it>
Copyright (C) 2022-2023 Giacomo Tesio <giacomo@tesio.it>
MonitoraPA is a hack. You can use it according to the terms and
conditions of the Hacking License (see LICENSE.txt)
Questo notifica le violazioni del GDPR relative all'uso di
Outlook 365
______
Subject: [RIF PA09.${Codice_IPA}] Segnalazione di trasferimenti sistematici di dati personali verso Microsoft e conseguente invito a risolvere la violazione del Regolamento Europeo 2016/679 (GDPR)
From: Monitora PA <comunicazioni@pec.monitora-pa.it>
To: ${Denominazione_ente} <${Mail1}>
______
All'attenzione di:
- ${Denominazione_ente}, in qualità di
soggetto titolare del trattamento ai sensi dell'art. 4 par. 1 n. 7 - GDPR.
Il sottoscritto Giacomo Tesio, nato a Asti il 29/11/1980
(codice fiscale: TSEGCM80S29A479Z), scrive nell'ambito
nel progetto Monitora PA (https://monitora-pa.it) e con il
sostegno dei cittadini che vi collaborano e delle associazioni
elencate in calce, eleggendo ai fini del presente atto
a domicilio digitale l'indirizzo di posta elettronica
certificata comunicazioni@pec.monitora-pa.it, e a domicilio
fisico via Aretusa 34, a Milano c/o Hermes Center.
1. Tramite l'esecuzione dell'osservatorio di Monitora PA,
in data $datetime, ho rilevato che il vostro Ente
${Denominazione_ente}
utilizza per la posta elettronica ordinaria
(PEO) i servizi forniti da Microsoft Corporation.
2. L'adozione dei servizi di posta elettronica forniti da Microsoft
determina trasferimenti sistematici di dati personali degli utenti
e dei loro corrispondenti, non attualmente conformi, in assenza di
efficaci misure tecniche supplementari, alle disposizioni del GDPR
in ordine al trasferimento transfrontaliero di dati personali,
fra cui, a titolo esemplificativo ma non esaustivo:
- indirizzo IP
- indirizzo email
- Mail User Agent
- sistema operativo
- relazioni inter-personali
- dati personali descrittivi deducibili dall'incrocio dei dati
precedenti, dall'oggetto e dai contenuti dei messaggi trasmessi
3. Tale circostanza può essere verificata facilmente traminte l'analisi dei
i record MX sul DNS del vostro dominio email $automatism
$issues
Le informazioni inviate durante tali trasferimenti, che coinvolgono
ovviamente anche persone che decidano di corrispondere con un Vostro
indirizzo di PEO, sono più che sufficienti ad identificare mittenti
e destinatari, tracciarne le comunicazioni e ad arricchirne i profili
cognitivo-comportamentali.
4. Come ben noto anche a seguito della sentenza Schrems II della Corte di
Giustizia dell'Unione Europea, l'uso dei servizi sopra elencati non è
attualmente conforme, in assenza di misure tecniche supplementari
efficaci che non ci risultano indicate sul vostro sito, alle disposizioni
del GDPR in ordine al trasferimento transfrontaliero dei dati personali
verso gli Stati Uniti o altri Paesi la cui legislazione non
fornisca ai cittadini europei una protezione equivalente
a quella garantita nell'Unione.
5. Anche l'EDPB, con le Raccomandazioni 01/2020, ha precisato che si possono
trasferire dati personali in tali Paesi utilizzando altre basi legali
(come le clausole contrattuali tipo di protezione dei dati) ma solo
adottando efficaci misure tecniche supplementari (per esempio la cifratura
dei dati personali con chiavi indisponibili ai riceventi) di modo che non
sia possibile utilizzare i dati personali in violazione dei diritti
fondamentali dei cittadini europei al di fuori dell’UE.
6. Il Garante per la protezione dei dati personali della Danimarca, in un
caso riguardante l'uso dei Chromebook e di Google Workspace nelle scuole
del comune di Helsingør, ha emesso in data 14 luglio 2022 un provvedimento
nel quale ha evidenziato gravi violazioni e ha vietato il trasferimento
dei dati a paesi terzi e l'uso di Google Workspace. [^1]
7. Durante l'esame tecnico organizzativo sulla piattaforma Microsoft Office
365, compreso Microsoft Teams, nella configurazione del progetto pilota
del Ministero dell'Istruzione del Baden - Württemberg, il locale Garante
per la protezione dei dati personali ha riscontrato alcune gravi carenze
e numerose criticità nell'uso a fini didattici di tali piattaforme. [^2]
8. La Conferenza sulla protezione dei dati (Datenschutzkonferenz, DSK),
l'organismo delle autorità tedesche indipendenti di controllo della
protezione dei dati a livello federale e statale, il 7/12/2022 ha
pubblicato la Relazione finale del gruppo di lavoro DSK "Servizi online
di Microsoft” nella quale si leggono le seguenti Conclusioni: “L'utilizzo
di Microsoft 365... ...richiede istruzioni obbligatorie da parte del
responsabile del trattamento sul trasferimento dei dati personali a
paesi terzi, in particolare gli Stati Uniti e tutti gli altri paesi in
cui Microsoft o i suoi subprocessori sono attivi. In ogni caso, il
trasferimento di dati verso gli Stati Uniti non può essere impedito
nemmeno tecnicamente. In particolare, la legge statunitense sulla
sicurezza nazionale sotto forma di FISA 702 può mettere in discussione
l'adempimento degli obblighi previsti dalle clausole contrattuali standard.
Pertanto, sarebbe necessario adottare misure di protezione supplementari
per rendere impossibile o inefficace qualsiasi accesso da parte delle
autorità statunitensi e anche da parte di Microsoft e dei suoi dipendenti,
al fine di impedire a Microsoft di soddisfare le richieste di consegna ai
sensi del FISA 702. Tuttavia, l'uso dei servizi Microsoft 365 come servizi
cloud classici richiede a Microsoft di accedere a dati in chiaro in molti
casi d'uso... ...Le misure fornite da Microsoft sono insufficienti...” [^3]
9. Nel documento "2022 Azione esecutiva coordinata - Utilizzo di servizi
basati su cloud da parte del settore pubblico" adottato come raccomandazione
il 17 gennaio 2023 l'EDPB ribadisce che: "..l'utilizzo da parte di un ente
pubblico del software fornito dal fornitore di servizi cloud può comportare
trasferimenti verso molte destinazioni che non garantiscono un livello di
protezione sostanzialmente equivalente a quello dell'UE, compresi gli
Stati Uniti d'America (USA).
In questi casi, l'ente pubblico - che agisce in qualità di titolare del
trattamento - deve valutare attentamente i trasferimenti che possono essere
effettuati per suo conto dal fornitore di servizi cloud, ad esempio identificando
le categorie di dati personali trasferiti, le finalità, i soggetti a cui i
dati possono essere trasferiti e il paese terzo coinvolto.
La valutazione dei trasferimenti internazionali di dati personali in atto
dovrebbe essere effettuata prima di impegnarsi con il fornitore di servizi cloud.
Gli enti pubblici devono fornire istruzioni all'incaricato del trattamento
per individuare e utilizzare uno strumento di trasferimento adeguato e, se
necessario, per individuare e attuare misure supplementari appropriate che
garantiscano che le garanzie contenute nello strumento di trasferimento
prescelto possano essere rispettate dall'importatore, in modo da assicurare
che il livello di protezione offerto dal GDPR non sia compromesso quando i
dati sono trasferiti a un paese terzo. [...]
Emerge dall'analisi effettuata dalle Autorità che il solo uso di un Cloud
Service Provider che sia parte di un gruppo multinazionale soggetto alle
leggi di un paese terzo, può comportare l'applicazione di tale leggi
anche a dati salvati nel SEE. In questo caso le eventuali richieste verrebbero
rivolte direttamente al CSP presente nel SEE e riguarderebbero dati presenti
nel SEE e non dati già oggetto di trasferimenti. [...]
L'analisi di tutti gli elementi può portare a situazioni diverse e
a violazioni diverse [...] da parte dell'autorità pubblica stessa
se [...] viene ingaggiato un incaricato del trattamento che non fornisce
garanzie adeguate come richiesto dall'articolo 28, paragrafo 1, del GDPR." [^4]
10. A maggio 2022, Human Rights Watch ha pubblicato un rapporto sulle violazioni
della privacy di studenti, genitori ed insegnanti da parte delle piattaforme
educative adottate durante la pandemia. [^5]
11. Infine L'Autorità Garante per la Protezione dei dati Personali italiana con
Provvedimento del 9 giugno 2022 [docweb n. 9782890] , pubblicato il
23 giugno 2022, ha richiamato "all’attenzione di tutti i gestori italiani
di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati
verso gli Stati Uniti attraverso GA" e invitato "tutti i titolari del
trattamento a verificare la conformità delle modalità di utilizzo di cookie
e altri strumenti di tracciamento utilizzati sui propri siti web, con
particolare attenzione a Google Analytics e ad altri servizi analoghi,
con la normativa in materia di protezione dei dati personali".
12. Il servizio di posta elettronica compreso nel pacchetto Microsoft 365
ed eventualmente ogni altro servizio che determini analoghi trasferimenti,
come Microsoft Office Online, OneDrive, nonché molte app mobili di Microsoft,
per la loro modalità di funzionamento, costituiscono di fatto strumenti
di tracciamento e profilazione degli utenti, contrari ai principi ed alle
norme del GDPR.
13. Inoltre non è mai possibile escludere che l'utilizzo di detti servizi
comporti il trasferimento di dati personali appartenenti alle speciali
categorie protette dall'articolo 9 del GDPR.
Ad esempio una scuola potrebbe inavvertitamente cedere a Microsoft
informazioni sulla religione di uno studente attraverso dati sulla sua
partecipazione agli insegnamenti facoltativi della Religione Cattolica;
un ospedale potrebbe informare Microsoft sulle patologie che affliggono
un determinato paziente permettendo ai medici alla propria dipendenza di
comunicare via email tali dati o più in generale una qualsiasi PA potrebbe
rendere disponibili i dati sanitari di un proprio dipendente a Microsoft.
14. Ritengo quindi che i trasferimenti di dati personali sopra indicati non
siano conformi al disposto normativo vigente - in ragione del trasferimento
trasfrontaliero di dati personali e in assenza di una condizione legittimante
ai sensi degli artt. 44 e ss. GDPR - e che quindi espongano a rischi
ingiustificati tutti gli utenti dei servizi ed i loro corrispondenti.
15. Pertanto invito l'Ente in indirizzo a voler provvedere alla rimozione
dei servizi sopra indicati, entro il termine di 60 giorni dalla ricezione
della presente.
16. In alternativa e negli stessi termini, invito il vostro Ente ad adottare
misure tecniche supplementari efficaci a protezione dei dati personali
degli interessati coinvolti nel funzionamento del Vostro sistema di
PEO tali che nessun dato (o insieme di dati), raggiungendo i server
di Microsoft, possa permettere di identificare con probabilità non trascurabile,
tracciare le comunicazioni e ad arricchirne i profili cognitivo-comportamentali
di un qualsiasi cittadino italiano o europeo.
17. In difetto di ottemperanza da parte Vostra, nel termine sopra
indicato, agli obblighi di legge in materia di trattamento dei dati
personali, mi vedrò costretto a rivolgermi al Garante per la protezione
dei dati personali, ai sensi e per gli effetti degli artt. 141 e
seguenti del Codice in materia di protezione dei dati personali
(DECRETO LEGISLATIVO 30 giugno 2003, n.196 e successive modifiche
e integrazioni) per una valutazione della Vostra condotta anche
ai fini dell'emanazione di eventuali provvedimenti di cui
all'art. 58 del GDPR.
Rimango a disposizione per ulteriori chiarimenti.
Con osservanza.
Distinti saluti
Milano, 02/03/2023
Giacomo Tesio
Co-fondatore del progetto Monitora PA
https://monitora-pa.it
Con il sostegno di:
- Hermes Center, Associazione con sede in Via Aterusa n. 34, 20129
Milano, in persona del legale rappresentante p.t Fabio Pietrosanti
C.F. 97621810155 https://www.hermescenter.org/
- LinuxTrent, Associazione con sede in Via Marconi n. 105, 38057
Pergine Valsugana, in persona del legale rappresentante p.t Roberto
Resoli C.F. 96100790227 https://www.linuxtrent.it/
- Open Genova, Associazione con sede in Piazza Matteotti n. 5
c/o Mentelocale.it, 16123 Genova, in persona del legale
rappresentante p.t Pietro Biase C.F. 95165570102
https://associazione.opengenova.org/
- AsCII, Associazione con sede in Via del Mare n.108, 80016
Marano di Napoli, in persona del legale rappresentante p.t Avvocato
Marco Andreoli C.F. 94200750639 https://www.ascii.it/
- AsSoLi, Associazione con sede in Via San Quintino n. 32, 10121
Torino, in persona del legale rappresentante p.t Angelo Raffaele Meo
C.F. 94082140487 https://www.softwarelibero.it/
________________________________
[^1]: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/datatilsynet-nedlaegger-behandlingsforbud-i-chromebook-sag-
[^2]: https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/
[^3]: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf
[^4]: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf
[^5]: https://www.hrw.org/report/2022/05/25/how-dare-they-peep-my-private-life/childrens-rights-violations-governments