search

AgID / wai-infrastructure

Infrastructure code for Web Analytics Italia
https://webanalytics.italia.it
BSD 3-Clause "New" or "Revised" License
5 stars 1 forks source link

Segnalazione di non conformità GDPR #324

Open cedgravina01 opened 1 year ago

cedgravina01 commented 1 year ago

Buongiorno, ci è giunta in data odierna una pec da un certo Co-fondatore di Monitora PA https://monitora-pa.it (che vi riporto in basso), il quale ci segnala che l'utilizzo del servizio di WebAnalitics Italia, attraverso il codice Matomo che abbiamo inserito nel nostro sito istituzionale, non è conforme alle disposizioni del GDPR in quanto opera un trasferimento di dati a server Amazon Web Service Inc. Quanto c'è di vero in questa segnalazione?

Il sottoscritto omissis (n.d.r.), nell'ambito nel progetto Monitora PA (https://monitora-pa.it) e con il sostegno delle associazioni elencate in calce, eleggendo ai fini del presente atto domicilio fisico in via Aretusa 34, a Milano c/o Hermes Center e domicilio digitale presso la casella PEC comunicazioni@pec.monitora-pa.it.

  1. Tramite l'esecuzione dell'osservatorio di Monitora PA, in data 2023-06-07 16:20:27.496663, ho rilevato che il vostro Ente Comune di Gravina di Catania avvia trasferimenti sistematici di dati personali verso Amazon Web Service, Inc. Tali trasferimenti sono dovuti all'utilizzo di Web Analytics Italia, di cui AgID, Agenzia per l'Italia Digitale, ha recentemente affidato l'esecuzione ai server di Amazon Web Service, Inc.

  2. Tale spostamento determina trasferimenti sistematici non attualmente conformi, in assenza di efficaci misure tecniche supplementari (non attualmente presenti sul vostro sito), alle disposizioni del GDPR in ordine al trasferimento transfrontaliero di dati personali, fra cui:

    • indirizzo IP
    • User Agent
    • sistema operativo
    • lingue conosciute
    • la visita al vostro sito
    • la data e l'ora di tale visita
    • i dati personali descrittivi deducibili dall'incrocio dei dati precedenti e dall'interesse per gli specifici contenuti visualizzati sul vostro sito

  3. Suddetta circostanza può essere verificata facilmente utilizzando uno dei numerosissimi servizi presenti in rete (ad esempio https://webbkoll.dataskydd.net/it/ che permette di individuare anche ulteriori vulnerabilità presenti sul sito stesso) oppure analizzando accuratamente il codice sorgente della pagina web e delle risorse incorporate tramite l'apposita funzione presente in tutti i principali browser attualmente sul mercato (Firefox, Chrome, Edge).

    Si noteranno alcune chiamate verso il dominio:

    • ingestion.webanalytics.italia.it

    che un semplice DNS lookup rivelerà essere un alias CNAME del dominio

    • wai-ingestion-nlb-prod-ssl-35ba58bd98996f21.elb.eu-south-1.amazonaws.com

    a sua volta corrispondente ad uno dei server di Amazon Web Service, Inc.

    Le informazioni inviate durante tali trasferimenti sono più che sufficienti ad identificare il soggetto interessato, tracciarne la navigazione e ad arricchirne il profilo cognitivo-comportamentale.

  4. Come ben noto anche a seguito della sentenza Schrems II della Corte di Giustizia dell'Unione Europea, l'uso dei servizi forniti da società statunitensi per il trattamento di dati personali di cittadini europei non è attualmente conforme - in assenza di misure tecniche supplementari efficaci che non ci risultano indicate sul vostro sito - alle disposizioni del GDPR in ordine al trasferimento transfrontaliero dei dati personali verso gli Stati Uniti o altri Paesi la cui legislazione non fornisca ai cittadini europei una protezione equivalente a quella garantita nell'Unione.

  5. Anche l'EDPB, con le Raccomandazioni 01/2020, ha precisato che si possono trasferire dati personali in tali Paesi utilizzando altre basi legali (come le clausole contrattuali tipo di protezione dei dati) ma solo adottando efficaci misure tecniche supplementari (per esempio la cifratura dei dati personali con chiavi indisponibili ai riceventi) di modo che non sia possibile utilizzare i dati personali in violazione dei diritti fondamentali dei cittadini europei al di fuori dell’UE.

  6. Nel documento "2022 Azione esecutiva coordinata - Utilizzo di servizi basati su cloud da parte del settore pubblico" adottato come raccomandazione il 17 gennaio 2023 l'EDPB ribadisce che: "..l'utilizzo da parte di un ente pubblico del software fornito dal fornitore di servizi cloud può comportare trasferimenti verso molte destinazioni che non garantiscono un livello di protezione sostanzialmente equivalente a quello dell'UE, compresi gli Stati Uniti d'America (USA). In questi casi, l'ente pubblico - che agisce in qualità di titolare del trattamento - deve valutare attentamente i trasferimenti che possono essere effettuati per suo conto dal fornitore di servizi cloud, ad esempio identificando le categorie di dati personali trasferiti, le finalità, i soggetti a cui i dati possono essere trasferiti e il paese terzo coinvolto. La valutazione dei trasferimenti internazionali di dati personali in atto
    dovrebbe essere effettuata prima di impegnarsi con il fornitore di servizi cloud. Gli enti pubblici devono fornire istruzioni all'incaricato del trattamento per individuare e utilizzare uno strumento di trasferimento adeguato e, se necessario, per individuare e attuare misure supplementari appropriate che garantiscano che le garanzie contenute nello strumento di trasferimento prescelto possano essere rispettate dall'importatore, in modo da assicurare che il livello di protezione offerto dal GDPR non sia compromesso quando i dati sono trasferiti a un paese terzo. [...]
    Emerge dall'analisi effettuata dalle Autorità che il solo uso di un Cloud Service Provider che sia parte di un gruppo multinazionale soggetto alla normativa di paesi terzi, può risultare nell'applicazione di tale normativa anche a dati salvati nel EEA." [^4]

    Ne consegue che la selezione di una regione europea per l'esecuzione del servizio di Web Analytics non fornisce, di per sé, alcuna garanzia di protezione dei dati personali registrati dal Vostro sito.

  7. Inoltre l'AWS Data Processing Addendum [^5] che integra l'AWS Customer Agreement [^6] dichiara esplicitamente di rispettare le normative statunitensi cui Amazon Web Services, Inc (parte dell'accordo, come indicato in premessa) è sottoposta:

    • al punto 1.4, chiarendo che ogni sottoscrittore rispetterà "tutte le leggi, le regole e i regolamenti ad esso applicabili e per esso vincolanti"
    • al punto 3, chiarendo che "_AWS non accederà, utilizzerà o rivelerà a terze parti i dati del cliente eccetto che per rispettarle la legge o un ordine valido e vincolante di un'agenzia governativa. [...]". Inoltre AWS dichiara che "_se costretta a rivelare dati del cliente ad una agenzia governativa, AWS darà al cliente una ragionevole notifica della richiesta [...] a meno che ciò non sia vietato dalla normativa in questione."

  8. Come è noto, l'Autorità Garante per la Protezione dei dati Personali italiana con Provvedimento del 9 giugno 2022 [docweb n. 9782890], pubblicato il 23 giugno 2022, ha richiamato "all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA" e invitato "tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali".

  9. Ritengo quindi che i trasferimenti di dati personali sopra indicati non siano conformi al disposto normativo vigente - in ragione del trasferimento trasfrontaliero di dati personali e in assenza di una condizione legittimante ai sensi degli artt. 44 e ss. GDPR - e che quindi espongano a rischi ingiustificati tutti i visitatori del Vostro sito web istituzionale.

  10. Pertanto, fermo restando il diritto del Vostro Ente di presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali qualora AgID rifiuti di ottemperare alla Vostra richiesta, invito l'Ente in indirizzo ad imporre ad AgID - Agenzia per l'Italia Digitale - la sostituzione del servizio in questione con altro fornitore non sottoposto a normative incompatibili con i diritti fondamentali dei cittadini europei entro 15 giorni dalla ricezione della presente.

  11. In alternativa e negli stessi termini, invito l'Ente a sostituire il servizio in questione con altro fornitore conforme o ad adottare misure tecniche supplementari efficaci a protezione dei dati personali tali che nessun dato (o insieme di dati), raggiungendo i server di Amazon, possa permettere di identificare i visitatori del vostro sito con probabilità non trascurabile.

  12. In difetto di ottemperanza da parte Vostra, nel termine sopra indicato, agli obblighi di legge in materia di trattamento dei dati personali, sarò costretto a rivolgermi al Garante per la Protezione dei Dati Personali, ai sensi e per gli effetti degli artt. 141 e seguenti del Codice in materia di protezione dei dati personali (DECRETO LEGISLATIVO 30 giugno 2003, n.196 e successive modifiche e integrazioni) per una valutazione della Vostra condotta anche ai fini dell'emanazione di eventuali provvedimenti di cui all'art. 58 del GDPR.

atodaro commented 1 year ago

Anche il nostro istituto scolastico ha ricevuto la medesima comunicazione; sulle faq di WAI si dichiara che: I dati statistici raccolti da WAI vengono memorizzati su servizi di storage, nell'ambito dell'Accordo Quadro Public Clound Iaas e PaaS, localizzati in Italia. Ritengo sia necessaria una risposta formale da parte di AgID a tutte le PA che utilizzano questo servizio.