Ciao Giovanni,

siamo sul confine cibernetico fra sistemi legali ed informatici, per
cui può essere utile esplorare ulteriormente alcuni aspetti che tocchi
nella speranza che i giuristi in lista ci/mi correggano integrando la
nostra conoscenza in proposito.

On Fri, 14 Jan 2022 14:46:23 +0100 380° wrote:

> un server dedicato in un datacentre USA è tecnicamente "tuo" no [0]?

No.

Un server dedicato in un datacenter USA è (o meglio _può_essere_,
dipende dal contratto con il fornitore USA) _amministrativamente_ tuo.

Cioé, un CONTRATTO con un fornitore PUO' prevedere che tu amministri
personalmente il server e promettere solennemente che non ci metterà
mano.

Ma poiché può essere obbligato dalla legge USA a violare il contratto
senza avvertirti, aprendo il case del tuo server e agganciandosi al BUS
di sistema, in sostanza per il GDPR trasferire dati a quel server, di
tua proprietà, presso un datacenter di terze parti negli USA è
trasferire dati negli USA.

In altri termini:

   un server dedicato in datacenter USA _implica_ trasferimenti
   dati negli USA

e dunque:

> a meno di FARSI CARICO IN PROPRIO di valutare le misure tecniche,
> ecc. ecc.... è ormai giuridicamente noto che gli USA non sono tra quei
> paesi e /non ci sono/ misure tecniche adeguate per dimostrare di
> essere "GDPR compliant"


Poi, come scrivevi, se l'utente autorizza consapevolmente, liberamente
ed esplicitamente il trasferimento, qualsiasi trasferimento è lecito.

Google può legittimamente usare Google Analytics sui propri siti web.


Il punto sostanziale, che credo ABBIA rilevanza giuridica, sta in quei
"liberamente" e "consapevolmente": nessun Giudice competente
considerebbe valido un consenso carpito attraverso dark pattern, 
per esempio, perché non libero e non consapevole.



Quanto all'IP: sì è un dato personale sensibile, in quanto può
permettere la correlazione di diverse connessioni avvenute alla stessa
ora, permettendo a sua volta l'identificazione dell'utente e
l'estensione del suo profilo personale.


TUTTAVIA, è anche un dato tecnicamente necessario all'erogazione del
servizio (quanto meno sui protocolli HTTPS).

Quindi non puoi tecnicamente rifiutarne l'invio o evitarne la
ricezione, se intendi usufruire di un servizio che vi si basa.

Essendo tecnicamente necessario per il funzionamento del servizio, non
devi chiedere l'autorizzazione al trattamento per l'IP, a meno che tu
non ceda tale informazioni a terzi (che potrebbero abusarne, anche se
a tua insaputa).

Devi, questo sì, proteggere i log per evitare che vengano diffusi a
terze parti, ma fintanto che li detieni per fini di sicurezza, per
tempi ragionevoli (da qualche parte ho letto 15gg?) etc... non hai
AFAIK grandi attività burocratiche da gestire. Mi sbaglio?


Naturalmente, stiamo parlando di log.
Altre parti della tua applicazione (ad esempio il DB) potrebbero
contenere altri dati personali sensibili ed, oltre alla protezione dei
dati da data breach, questo potrebbe implicare altri diritti dei
soggetti in questione e dunque doveri per chi amministra i servizi.

Ad esempio il diritto di avere i propri dati cancellati o rettificati.

E per quanto oneroso, mi sembra un diritto/dovere... doveroso! :-D

> P.S.: più il tempo passa più si dimostra che il GDPR serve SOLO a
> rompere le scatole alle brave persone mentre quelli che /catturano/
> immense quantità di dati personali per profilare il mondo intero,
> Pubblica Amministrazione italiana compresa, continuano imperterriti
> nella loro opera di tracciamento.

Ma questo è vero SOLO perché non viene applicato.

E non viene applicato per ignoranza informatica e debolezza politica.


> > MAI usare questi servizi "as a Service"!  
> 
> beh no dai, "su hardware di persone di cui ti fidi" significa "as a
> Service"

Permettimi di chiarire: quando un'azienda che sviluppa opensource offre
il proprio software come SaaSS [1] (improprimanete detto SaaS), è
sempre meglio installare tale software su server sotto il proprio
controllo fisico ed amministrativo.

Il fatto che il software sia opensource NON SIGNIFICA AFFATTO che ci si
la versione eseguita da terze parti corrisponda al codice pubblicato.

L'unico modo per garantire la protezione dei dati personali degli
utenti è amministrare il sistema di Analytics come si amministra il
software cui si riferiscono.


Nel caso di un sito web, non si può caricarlo su AWS, Azure o Google
Cloud e poi sostenere che Amazon, Microsoft o Google non hanno accesso
ai dati!

Nello stesso modo, non si può eseguire il software di analytics su
queste piattaforme di sorveglianza di massa e poi sostenere di
proteggere i dati degli utenti... "perché è opensource"!


Giacomo

[1]
https://www.gnu.org/philosophy/who-does-that-server-really-serve.html

PS: scusa(te) per la lunga mail... spero non troppo noiosa.
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

Reply via email to