Segnalazione di illecito del Regolamento Europeo 2016/679 (GDPR)
IMPORTANTE: I nuovi portali (quelli già a norma AGID) forniti dalla nostra struttura sono già adeguati alle indicazioni segnalate dalla PEC.
Questa mattina molti Enti, a pioggia, hanno ricevuto una PEC segnalando un ipotetico illecito del Regolamento Europeo 2016/679 (GDPR).
Non è la prima volta (Vds. articolo del 8 Agosto) ma anche in questo caso SIA dal punto di vista tecnico (i portali dovranno adeguarsi) che relativamente al GDPR daremo indicazioni su come affrontare la pratica.
Oggetto:
Segnalazione di illecito utilizzo di servizi che comportano il trasferimento di dati negli U.S.A. nel sito www.comune.xxxxxxxxxxxx.xx.it e conseguente invito a risolvere la violazione del Regolamento Europeo 2016/679 (GDPR)
Testo (volutamente anonimizzato anche per evitare inutile pubblicità ai “mittenti” della PEC):
All’attenzione di: – Comune di xxxxxxxxxx, in qualità di soggetto titolare del trattamento ai sensi dell’art. 4 par. 1 n. 7 – GDPR.
Il sottoscritto xxxxxxxxx xxxxxxxxxx, nato a xxxxxx il xx/xx/xxxx (codice fiscale: XXXXXXXXXXX), scrive in proprio ed a nome della comunità di hacker, attiviste, attivisti, cittadine e cittadini che, attenti a riservatezza, libertà e diritti cibernetici, ha realizzato XXXXX (il nome di un “prodotto commerciale”), eleggendo a domicilio digitale l’indirizzo di posta elettronica certificata xxxxxxxx@pec.xxxxxxxx.it, e a domicilio fisico via xxxxxxx xx, a Xxxxxx.
Vogliamo segnalarvi che, tramite l’esecuzione del nostro osservatorio, in data 20xx-xx-xx 00:16:03.064995, abbiamo rilevato che il sito web del vostro Ente www.comune.xxxxxxxx.xx.it incorpora:
FontAwesome (Cloudflare, Inc.) – https://use.fontawesome.com/releases/v5.15.4/css/v4-shims.css?ver=2.0.1 – https://use.fontawesome.com/releases/v5.15.4/webfonts/fa-solid-900.woff2 – https://use.fontawesome.com/releases/v5.15.4/css/all.css?ver=2.0.1 determinando trasferimenti sistematici non attualmente conformi, in assenza di efficaci misure tecniche supplementari, alle disposizioni del GDPR in ordine al trasferimento transfrontaliero di dati personali, fra cui: – indirizzo IP – User Agent – sistema operativo – lingue conosciute – la visita al vostro sito – la data e l’ora di tale visita – i dati personali descrittivi deducibili dall’incrocio dei dati precedenti e dall’interesse per i contenuti del vostro sito Tali informazioni sono più che sufficienti ad identificare il soggetto interessato e ad arricchirne il profilo cognitivo-comportamentale.
Come ben noto anche a seguito della sentenza Schrems II della Corte di Giustizia dell’Unione Europea, l’uso dei servizi sopra elencati non è attualmente conforme, in assenza di misure tecniche supplementari efficaci che non ci risultano presenti sul vostro sito, alle disposizioni del GDPR in ordine al trasferimento transfrontaliero dei dati personali.
Anche l’EDPB, con le Raccomandazioni 01/2020, ha precisato che si possono trasferire dati personali negli USA utilizzando altre basi legali (come le clausole contrattuali tipo di protezione dei dati) ma solo adottando efficaci misure tecniche supplementari (per esempio la cifratura dei dati personali con chiavi indisponibili ai riceventi) di modo che non sia possibile utilizzare i dati personali in violazione dei diritti fondamentali dei cittadini europei al di fuori dell’UE.
Il Garante Austriaco (Datenschutzbehörde) con la decisione D155.027 GA del 22 Dicembre 2021 ha dichiarato l’illegittimità dell’uso di Google Analytics; anche il Garante Francese (CNIL) si è pronunciato nello stesso senso nel febbraio 2022 e, il 7 giugno 2022 ha pubblicato delle domande/risposte che forniscono dettagliate informazioni sull’illegittimità dell’uso di Google Analytics e del trasferimento dei dati negli Stati Uniti. L’Autorità Garante per la Protezione dei dati Personali con Provvedimento del 9 giugno 2022 [docweb n. 9782890] pubblicato il 23 giugno 2022 ha richiamato “all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA” e invitato “tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e _ad altri servizi analoghi_, con la normativa in materia di protezione dei dati personali”.
I servizi sopra elencati, per le loro modalità di funzionamento, costituiscono di fatto ulteriori strumenti di tracciamento e risultano essere in grado di produrre effetti analoghi a Google Analytics, sull’uso del quale il Garante italiano si è già pronunciato. Riteniamo quindi che il mantenimento da parte dell’Ente dei trasferimenti di dati personali sopra indicati non siano conformi al disposto normativo vigente, in ragione del trasferimento trasfrontaliero di dati personali e in assenza di una condizione legittimante ai sensi degli artt. 44 e ss. GDPR, e che quindi esponga a rischi ingiustificati tutti i visitatori del sito www.comune.xxxxxxxxxxxxx.xx.it.
Pertanto invitiamo l’Ente in indirizzo a voler provvedere alla rimozione dei servizi sopra indicati e di qualsiasi altra risorsa incorporata che produca effetti analoghi, entro il termine di 15 giorni dalla ricezione della presente. In alternativa e negli stessi termini, invitiamo l’Ente ad adottare misure tecniche supplementari efficaci a protezione dei dati personali dei visitatori, tali che nessun dato (o insieme di dati), raggiungendo i server in questione, possa permettere di identificare con probabilità non trascurabile un qualsiasi cittadino italiano o europeo.
In difetto di ottemperanza da parte Vostra nei termini su indicati agli obblighi di legge in materia di trattamento dei dati personali, ci vedremo costretti a inviare una segnalazione al Garante per la protezione dei dati personali, ai sensi e per gli effetti dell’art. 144 del Codice in materia di protezione dei dati personali (DECRETO LEGISLATIVO 30 giugno 2003, n.196 e successive modifiche e integrazioni) per una valutazione della Vostra condotta anche ai fini dell’emanazione di eventuali provvedimenti di cui all’art. 58 del GDPR.