Ciao Giovanni, siamo sul confine cibernetico fra sistemi legali ed informatici, per cui può essere utile esplorare ulteriormente alcuni aspetti che tocchi nella speranza che i giuristi in lista ci/mi correggano integrando la nostra conoscenza in proposito.
On Fri, 14 Jan 2022 14:46:23 +0100 380° wrote: > un server dedicato in un datacentre USA è tecnicamente "tuo" no [0]? No. Un server dedicato in un datacenter USA è (o meglio _può_essere_, dipende dal contratto con il fornitore USA) _amministrativamente_ tuo. Cioé, un CONTRATTO con un fornitore PUO' prevedere che tu amministri personalmente il server e promettere solennemente che non ci metterà mano. Ma poiché può essere obbligato dalla legge USA a violare il contratto senza avvertirti, aprendo il case del tuo server e agganciandosi al BUS di sistema, in sostanza per il GDPR trasferire dati a quel server, di tua proprietà, presso un datacenter di terze parti negli USA è trasferire dati negli USA. In altri termini: un server dedicato in datacenter USA _implica_ trasferimenti dati negli USA e dunque: > a meno di FARSI CARICO IN PROPRIO di valutare le misure tecniche, > ecc. ecc.... è ormai giuridicamente noto che gli USA non sono tra quei > paesi e /non ci sono/ misure tecniche adeguate per dimostrare di > essere "GDPR compliant" Poi, come scrivevi, se l'utente autorizza consapevolmente, liberamente ed esplicitamente il trasferimento, qualsiasi trasferimento è lecito. Google può legittimamente usare Google Analytics sui propri siti web. Il punto sostanziale, che credo ABBIA rilevanza giuridica, sta in quei "liberamente" e "consapevolmente": nessun Giudice competente considerebbe valido un consenso carpito attraverso dark pattern, per esempio, perché non libero e non consapevole. Quanto all'IP: sì è un dato personale sensibile, in quanto può permettere la correlazione di diverse connessioni avvenute alla stessa ora, permettendo a sua volta l'identificazione dell'utente e l'estensione del suo profilo personale. TUTTAVIA, è anche un dato tecnicamente necessario all'erogazione del servizio (quanto meno sui protocolli HTTPS). Quindi non puoi tecnicamente rifiutarne l'invio o evitarne la ricezione, se intendi usufruire di un servizio che vi si basa. Essendo tecnicamente necessario per il funzionamento del servizio, non devi chiedere l'autorizzazione al trattamento per l'IP, a meno che tu non ceda tale informazioni a terzi (che potrebbero abusarne, anche se a tua insaputa). Devi, questo sì, proteggere i log per evitare che vengano diffusi a terze parti, ma fintanto che li detieni per fini di sicurezza, per tempi ragionevoli (da qualche parte ho letto 15gg?) etc... non hai AFAIK grandi attività burocratiche da gestire. Mi sbaglio? Naturalmente, stiamo parlando di log. Altre parti della tua applicazione (ad esempio il DB) potrebbero contenere altri dati personali sensibili ed, oltre alla protezione dei dati da data breach, questo potrebbe implicare altri diritti dei soggetti in questione e dunque doveri per chi amministra i servizi. Ad esempio il diritto di avere i propri dati cancellati o rettificati. E per quanto oneroso, mi sembra un diritto/dovere... doveroso! :-D > P.S.: più il tempo passa più si dimostra che il GDPR serve SOLO a > rompere le scatole alle brave persone mentre quelli che /catturano/ > immense quantità di dati personali per profilare il mondo intero, > Pubblica Amministrazione italiana compresa, continuano imperterriti > nella loro opera di tracciamento. Ma questo è vero SOLO perché non viene applicato. E non viene applicato per ignoranza informatica e debolezza politica. > > MAI usare questi servizi "as a Service"! > > beh no dai, "su hardware di persone di cui ti fidi" significa "as a > Service" Permettimi di chiarire: quando un'azienda che sviluppa opensource offre il proprio software come SaaSS [1] (improprimanete detto SaaS), è sempre meglio installare tale software su server sotto il proprio controllo fisico ed amministrativo. Il fatto che il software sia opensource NON SIGNIFICA AFFATTO che ci si la versione eseguita da terze parti corrisponda al codice pubblicato. L'unico modo per garantire la protezione dei dati personali degli utenti è amministrare il sistema di Analytics come si amministra il software cui si riferiscono. Nel caso di un sito web, non si può caricarlo su AWS, Azure o Google Cloud e poi sostenere che Amazon, Microsoft o Google non hanno accesso ai dati! Nello stesso modo, non si può eseguire il software di analytics su queste piattaforme di sorveglianza di massa e poi sostenere di proteggere i dati degli utenti... "perché è opensource"! Giacomo [1] https://www.gnu.org/philosophy/who-does-that-server-really-serve.html PS: scusa(te) per la lunga mail... spero non troppo noiosa. _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa