Pillole
Al via le ispezioni del Garante su aziende e pubbliche amministrazioni sul rispetto del Gdpr
Sanzioni privacy per chi, sui propri siti Internet, continua a usare e anche per chi ha usato in passato Google Analytics 3 o servizi simili. Sono servizi per avere statistiche su chi visita le pagine web, ma sono illegittime se trasferiscono dati verso gli Usa.
Il Garante italiano, seguendo i precedenti conformi dei garanti austriaco e francese, ha, infatti, bocciato la versione 3 di Google Analytics (GA) con il provvedimento n. 224 del 9 giugno 2022, a latere del quale ha avvisato aziende e pubbliche amministrazione che, a partire dal novantesimo giorno successivo alla notifica del provvedimento citato all'operatore coinvolto, sarebbero state avviate ispezioni per accertare chi è in regola e chi no con il Gdpr (regolamento Ue sulla privacy n. 2016/679).
DataKnightmare: L'algoritmico è politico
Il Garante stoppa Google Analytics. E ora? Ci poniamo il problema che forse (forse!) GA 4 è rispettoso del GDPR o riconosciamo che Analytics è solo la punta dell'iceberg, l'inizio della Lunga Marcia verso la nostra sovranità digitale e l'indipendenza da Big Tech (o il riconoscimento dello status di colonia)?
In questa puntata Walter Vannini spiega perché il cloud USA non è adatto alle esigenze Europee e dice che non c'è alternativa alla scelta di far crescere il cloud Europeo (che esiste nonostante i nostri governanti).
Più di 60 partiti politici italiani trasferiscono illegalmente all'estero i nostri dati personali, alimentando il capitalismo della sorveglianza che li userà per alterare i risultati delle prossime elezioni. Questo il risultato dell'analisi dell'Osservatorio Monitora PA. La ricerca ha verificato che quasi nessun partito rispetta il pronunciamento del Garante delle Privacy che mette l'accento sulla "illiceità dei trasferimenti effettuati verso gli Stati Uniti". L'osservatorio Monitora PA ha scritto ai partiti politici chiedendo l'immediata interruzione di tali trasferimenti. Nel sito Monitora PA si possono leggere i risultati dell'analisi.
Di seguito un breve estratto tratto dal sito web. L'articolo 9 del Regolamento Europeo 2016/679 sui Dati Personali vieta espressamente il trattamento delle opinioni politiche dei cittadini a meno di specifici casi eccezionali.
Affinché le “intelligenze artificiali” che permettono questa manipolazione cognitiva su vasta scala funzionino, è necessario fornire loro le intenzioni di voto più probabile per ciascun elettore, in modo che possano selezionare i messaggi più efficaci per orientarlo nella direzione “giusta”.
Google sorveglia già milioni di italiani, quando telefonano o mandano un sms, quando scrivono o leggono un'email, quando mandano una foto al proprio medico, quando visitano un sito web o quando fanno un qualsiasi acquisto… e ne orienta in modo invisibile scelte, opinioni e comportamenti attraverso i contenuti che seleziona per ciascuno di loro.
- Ma quali partiti informano Google ogni volta che visitate il loro sito web?
- Quali partiti blaterano di sovranità nazionale… mentre permettono ad aziende USA di profilare e manipolare i propri elettori?
- Quali partiti blaterano di diritti, di legalità o di europeismo… mentre violano la normativa europea?
- Quali partiti blaterano di concorrenza e libero mercato… mentre rafforzano monopoli stranieri?
Siamo hacker: poniamo domande e cerchiamo risposte
Per rispondere a queste domande, abbiamo deciso di orientare il nostro osservatorio su un elenco di partiti politici faticosamente creato dalla nostra comunità.
Sull'illiceità di tali trasferimenti si è già espressa il 16 luglio 2020 la Corte di Giustizia Europea con la sentenza Schrems II che ha riconosciuto come non valido il Privacy Shield in quanto la normativa statunitense impone alle società americane di fornire segretamente qualsiasi dato di loro interesse per qualsiasi cittadino straniero, senza nemmeno il bisogno dell'autorizzazione di un giudice. L'Autorità Garante per la Protezione dei Dati Personali, il 9 giugno 2022 ha ribadito il concetto, richiamando “all'attenzione di tutti i gestori italiani di siti web, pubblici e privati, l'illiceità dei trasferimenti effettuati verso gli Stati Uniti” e invitando “tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali”.
I risultati della nostra analisi sono talmente avvilenti che abbiamo deciso di presentarli in forma schematica, lasciando agli elettori l'onere di comprenderne la gravità.
Leggi i risultati dell'analisi sul sito Monitora PA
La suite europea sarà open source, facile da usare, e pienamente compatibile col prodotto americano.
Da tempo, ormai, l'Unione Europea non vede di buon occhio la dipendenza informatica di cui l'intero Vecchio Continente sostanzialmente soffre nei confronti delle grandi multinazionali americane che, in aggiunta a essere praticamente le sole fornitrici di certe tecnologie, spesso agiscono in modo non conforme a quanto stabilito dalle leggi europee.
Così Bruxelles ha da un lato iniziato a promulgare alcune direttive con le quali intende regolamentare l'azione dei giganti tecnologici che agiscono in Europa, e dall'altro avviato la ricerca di soluzioni alternative, specialmente in campo software, rispetto a quanto offerto dagli americani.
L'ultima novità in questo senso riguarda la volontà di affrancarsi dal dominio di Microsoft Office, per lo meno per quanto riguarda la pubblica amministrazione, e si concretizza in un accordo con Nextcloud per lo sviluppo di una suite per ufficio "europea".
Leggi l'articolo originale su ZEUS News Vedi anche il comunicato di Nextcloud
La puntata è dedicata principalmente all'intelligenza artificiale, partendo dalla notizia del licenziamento di Blake Lemoine, dipendente di Google che aveva dichiarato che un chatbot basato su IA poteva essere considerato senziente. Evidentemente, Google non apprezza affermazioni esagerate sulle IA che sviluppa e preferisce avere un profilo più basso. Come spiegare, altrimenti, la collaborazione tra Google e il governo israeliano in tema di sorveglianza basata su intelligenza artificiale?
Diamo anche alcune altre notizie - di serietà variabile - riguardanti gli sviluppi dell'intelligenza artificiale.
Ma esiste anche una sorveglianza "stupida": niente IA, ma tanto cloud, dall'uso della domotica al prelevamento del DNA alla nascita, tutto fa brodo.
Infine alcune notiziole: ancora problemi per Google dal GDPR; i giudici americani fanno ricerche come gli studenti delle superiori (su wikipedia); il trenino "Termini-Centocelle", grazie ai lavori di ammodernamento, viaggerà su un futuristico binario unico per 1,5km; ma soprattutto, pare che stavolta il copyright per Topolino scada sul serio!
Ascolta il podcast sul sito di Radio Onda Rossa
È solo un annuncio politico, non c'è ancora un testo, su un nuovo quadro per i flussi di dati transatlantici. Gli esperti privacy attendono di leggere il testo dell'accordo e Schrems già (ri)promette battaglia: "Se non conforme al diritto Ue lo porterò di nuovo in tribunale". Ecco i punti chiave.
L’accordo sul flusso di dati arriva dopo mesi di trattative e segue l’invalidazione nel luglio 2020 da parte della giustizia europea dell’intesa “Privacy Shield” che consentiva questo trasferimento, a causa dei timori sui programmi di sorveglianza americani. Secondo la Corte di giustizia Ue ‘Privacy Shield’ non preservava da “interferenze nei diritti fondamentali delle persone i cui dati vengono trasferiti’. Schrems: “Se testo non conforme al diritto Ue lo porterò di nuovo in tribunale”
E proprio il protagonista della decisione della Corte di giustizia Maximilian Schrems ha subito commentato, in modo critico, l’annuncio politico di Biden-von der Leyen utilizzando questa foto:
“L’accordo era apparentemente un simbolo che von der Leyen voleva, ma non ha il sostegno degli esperti a Bruxelles, poiché gli Stati Uniti non si sono mossi. È particolarmente spaventoso che gli Stati Uniti abbiano presumibilmente usato la guerra contro l’Ucraina per spingere l’UE su questa questione economica”, ha dichiarato l’attivista per la protezione dei dati personali.
L'autorità belga per la protezione dei dati ha dichiarato che il quadro dell'Interactive Advertising Bureau of Europe non è conforme alle normative sulla privacy dell'UE per il modo in cui gli editori ottengono il consenso per la raccolta e l'utilizzo dei dati personali.
La sentenza potrebbe avere un impatto su migliaia di aziende in tutto il continente.
L'autorità ha comminato una multa di 250.000 euro e ha ordinato di eliminare definitivamente i dati personali già elaborati nel sistema Tcf “da tutti i suoi sistemi informatici, file e supporti dati, e dai sistemi informatici, file e supporti dati dei responsabili del trattamento contrattati da Iab Europe”.
La decisione del garante della privacy del Belgio contro Iab Europe “potrebbe cambiare il modo in cui opera l’intero settore della pubblicità mirata, il che è atteso da tempo”. Così la vice direttrice generale dell’organizzazione europea dei consumatori (Beuc), Ursula Pachl, in una nota a commento della multa inflitta dall’Autorità belga.
Leggi l'articolo su Corriere Comunicazione.
Il Garante austriaco ha sentenziato che Google Analytics è illecito ai sensi del GDPR. Sorpresi? Non siatelo.
Il pronunciamento dell’Autorità Garante per la protezione dei dati personali austriaca (vedi articolo di Saetta) ha deciso che l’utilizzo del servizio Google Analytics, fornito da Google LLC, non è conforme alla normativa europea.
Walter Vannini spiega perché questo pronunciamente potrebbe diventare una valanga.
Dal 9 gennaio sono in vigore le nuove linee guida sui cookie dei siti web, presentate dal Garante Privacy a luglio. Le aziende che ancora non si sono messe in regola rischiano ora sanzioni. “Nelle prossime settimane partiranno le ispezioni”, fanno sapere dal Garante Privacy. Le sanzioni sono quelle, salate, del GDPR: fino al 4 per cento del fatturato annuale dell'azienda. Il Garante chiede insomma alle aziende di facilitare la vita agli utenti che navigano sui loro siti, con gli ormai noti (e famigerati) cookie banner. Tra l'altro deve essere possibile rifiutare tutti i cookie chiudendo il banner, con un clic sulla X; e non subirne più la riproposizione assillante, dopo il rifiuto. Fino a luglio invece – e ancora adesso con i siti non a norma – l'utente veniva spesso preso per sfinimento: accettare tutti i cookie era di gran lunga la scelta più comoda; rifiutare alcuni o tutti i cookie richiedeva alcuni clic in più, su varie caselle, a volte per altro impraticabili sul piccolo schermo del cellulare. E chi era riuscito a rifiutare i cookie, con una bella prova di pazienza, poi doveva averne altrettanta dopo: perché lo stesso sito poteva ignorare quella scelta e continuare a chiedere di accettarli.
Leggi l'articolo su "Il sole 24 ore"
Con la decisione del 22 dicembre 2021, l’Autorità Garante per la protezione dei dati personali austriaca ha deciso che l’utilizzo del servizio Google Analytics, fornito da Google LLC, non è conforme alla normativa europea.
Come sappiamo, il quadro normativo americano consente alle agenzie di quel paese di imporre alle aziende di condividere i loro dati (Google ha evaso circa 201mila richieste nel solo 2019). Questo è il motivo per cui la normativa USA non è conforme a quella Europea. La conseguenza è stata che a luglio 2020 la Corte di Giustizia Europea ha invalidato l’accordo, detto “Privacy Shield”, tra l’Unione Europea e gli Usa
La situazione è ormai chiara, l’utilizzo dei servizi digitali delle aziende americane non è pienamente conforme, allo stato, alle norme europee, in quanto nessuna azienda americana si può sottrarre alle richieste delle agenzie americane di ottenere dati dei cittadini europei. E se questo è vero per Google Analytics, tra l’altro uno dei servizi più usati al mondo, vale anche per tutte le altre aziende americane.
Leggi l'articolo completo di Bruna Saetta
Ascolta il podcast di DataKnightMare
Capitalismo delle piattaforme. Il Digital Services Act e il Digital Markets Act si avviano al confronto finale prima dell'approvazione. Tra luci e ombre, resta il nodo del consenso alla profilazione degli utenti
Ti proteggo dagli abusi delle Big Tech, almeno da quelli più evidenti. E non è certo poco, in un mondo – nel resto del mondo – che sta andando nel verso opposto. Metto dei limiti – più tratteggiati che indicati – allo strapotere del “GAFA”, Google, Amazon, FaceBook o Meta che dir si voglia, Apple. Lo faccio. Ma poi ti lascio solo. Solo davanti alla loro invadenza, “te la vedi te”.
E’ in questo modo, infatti, che l’Europa si avvia a concludere un faticosissimo confronto destinato ad incidere direttamente sul lavoro, sulle abitudini e sulle vite di tutti.
Leggi l'articolo intero su "Il Manifesto"
Il sistema potrebbe essere convertito in qualsiasi momento in uno strumento di spionaggio di massa, per rintracciare e perseguire minoranze, attivisti e oppositori politici.
Apple ha annunciato una serie di misure per la “protezione dei bambini” che hanno fatto rabbrividire gli esperti e gli attivisti per la privacy. Si tratta di tre programmi separati, che per ora saranno applicati solo negli Stati Uniti — ma nel proprio comunicato stampa l’azienda di Cupertino ha scritto che i suoi impegni “si evolveranno e si espanderanno del tempo” perché “proteggere i bambini è una responsabilità importante.”
Ma come dovrebbero essere protetti i bambini? Leggi cosa dice Apple e le criticità individuate da "The submarine"
Inoltre il parlamento Europeo ha approvato di recente la Deroga ePrivacy, che consente ai fornitori di servizi di posta elettronica e di messaggistica, di poter cercare all'interno dei messaggi personali di ciascun cittadino con lo scopo di individuare presunti contenuti sospetti, e quindi segnalarli alla polizia.
Presentato il documento che approfondisce aspetti strategici per il percorso di migrazione verso il cloud di dati e servizi digitali delle amministrazioni. Sul sito dell'agenzia per l'innovazione si può scaricare.
C'è però chi sostiene che i nodi da scogllere sono ancora molti.
Saverio Riotto si interroga su "quali saranno i criteri di selezione dei soggetti (il plurale è d’obbligo) che realizzeranno le infrastrutture e i servizi, da un lato il ministro annuncia un bando e dall’altro raccoglie proposte. Ricordiamo che già questa primavera si erano fatte avanti tre cordate: Leonardo/Microsoft, Fincantieri/Amazon AWS, TIM/Google. Senza giungere ad un qualche risultato, se non alimentare lo spettro del cloud act americano 5 . Attualmente (anche se il ministro non le cita in conferenza) si sono fatte avanti le cordate tra Almaviva e Aruba, il consorzio Italia Cloud e soprattutto Tim, Cdp, Sogei e Leonardo, la cordata più accreditata, considerando che, in linea teorica, il PSN rientrerebbe nel cosiddetto Perimetro di sicurezza nazionale cibernetica e dovrebbe essere affidato ad una entità a controllo pubblico. "
Un articolo molto chiaro di Luciano Paccagnella, docente di Sociologia della conoscenza e delle reti dell'Università di Torino, che spiega in maniera molto chiara quali sono le questioni in ballo nel Piano Nazionale di Ripresa e Resilienza (PNRR) relativamente ai processi di digitalizzazione e innovazione del Paese che hanno particolare rilevanza all'interno del Piano.
In cosa consiste una società "completamente digitale"? Come è affrontato il tema delle "competenze digitali, tra le quali non vi sono solo competenze strettamente tecniche (per esempio, come impostare una tabella in un foglio elettronico) ma anche e soprattutto competenze cognitive critiche (per esempio: come stimare rapidamente l’affidabilità del sito internet che stiamo consultando?)".
"Ma il punto cruciale del piano è quello che riguarda la digitalizzazione della Pubblica Amministrazione, dove la parola d’ordine è “cloud first”. " L'autore fa alcuni esempi per spiegare qual'è il problema del Lock In tecnologico. Quali scelte faranno le PA in tema di cloud? Si affideranno al cloud pubblico di Google, Amazon, o Microsoft? Ma cosa hanno di pubblico i servizi di queste aziende?
PNRR. A. Baldassarra: “Cloud nazionale? Il governo rifiuti una narrativa sbagliata che penalizza imprese e competenze italiane”
Il vero rischio è che con i nostri soldi del PNRR contribuiremo a far crescere il PIL degli altri. E questo senza considerare il rischio di trovarsi, negli anni a venire, a commentare ancora una volta una “occasione perduta”, con scempio delle competenze e delle capacità industriali del Paese, come già avvenuto nel secolo scorso prima con l’elettronica e poi con l’informatica.
Ultimamente in Italia si è acceso e continua ad andare avanti in modo importante il dibattito sul tema del “Cloud Nazionale”.
In vista del Piano Nazionale di Ripresa e Resilienza (PNRR) il Ministro Vittorio Colao ha infatti comunicato che il suo obiettivo è creare un cloud unico per la PA entro il 2022.
Un intervento, quello di Colao, che ha mosso le acque sul tema della nuvola, scatenando il dibattito su come verrà presidiato il terreno della digitalizzazione in Italia.
Come si è appreso dalla stampa, in un primo momento sembrava che i gruppi candidati ad avere un ruolo preponderante nel piano “Italia Digitale 2026” a difesa della sicurezza cyber italiana e per la digitalizzazione sul Cloud fossero rappresentati dalle alleanze Leonardo–Microsoft, Fincantieri–Amazon e TIM–Google, quest’ultima partita per prima nel 2020. Ora, nelle ultime ore sembra prender piede un diverso schema di gioco centrato su un accordo a tre tra Cassa Depositi e Prestiti (CDP), Leonardo e TIM (dietro cui sarebbe diluita in modo silente la presenza di Google).
Leggi l'articolo intero con l'intervista a Baldassarra, AD di Seeweb.
La ricostruzione dello scontro tra PagoPa e Garante Privacy sull'app IO e l'analisi di come stanno i fatti. L'Autorità controbatte il Governo e pubblica la relazione tecnica che dimostra come i dati di 11,5 milioni di italiani, utenti dell'app, siano trasferiti in Usa in violazione delle norme sulla protezione dei dati personali.
Vìola la privacy degli utenti IO, l’app “fiore all’occhiello” del Governo. A stabilirlo è stato il Garante per la protezione dei dati personali che, con il provvedimento adottato ieri, ha imposto alla società partecipata dallo Stato sviluppatrice dell’app, PagoPa, la limitazione provvisoria, “da rendere operativa senza ingiustificato ritardo, e comunque non oltre 7 giorni dalla ricezione del presente provvedimento”, dei trattamenti effettuati mediante IO che prevedono l’interazione con i servizi di Google e quelli di Mixpanel.
Come ormai sappiamo, WhatsApp ha dato un ultimatum a tutti i suoi utenti: chi non ha accettato la nuova policy entro il 15 maggio non potrà più usare WhatsApp.
L'azienda di proprietà di Facebook, con sede Europea in Irlanda, ci aveva già provato a febbraio 2021 sollevando feroci critiche che l'avevano indotta a rimandare la scadenza per avere il tempo di spiegare meglio agli utenti i cambiamenti introdotti nella policy.
Leggi l'articolo completo
Non si può dire che il cloud sia un tema sottostimato dell’agenda nazionale: il Ministero dell’Innovazione l’ha individuato come un punto fondamentale della propria azione,
Il ministro dell’Innovazione ha recentemente annunciato che l’Italia seguirà il modello francese, quello cioè annunciato da Parigi la settimana scorsa, che prevede che i dati della PA siano rigorosamente gestiti da operatori europei, in modo da porli al riparo da intrusioni di agenzie estere, in particolare americane, alle quali la normativa statunitense del CLOUD ACT ha concesso il dono dell’extraterritorialità.
Quindi tutto bene se il nostro governo seguirà questa via che, peraltro, avrebbe il pregio di dare fiducia e fiato all’industria ICT nazionale. Poi però si leggono notizie di stampa secondo cui il futuro Polo strategico nazionale, dove dovrebbero confluire asset e dati strategici della nostra PA, sarà gestito da un “campione nazionale” in “partnership” con un campione digitale globale. I nomi circolati fino ad ora sono TIM (con Google), Fincantieri (con Amazon) e Leonardo (con Azure/Microsoft). E allora viene il dubbio: il governo ha capito fino in fondo la lezione francese?
Leggi l'articolo integrale di Innocenzo Genna
Il 5 marzo è spuntata nell’app di WhatsApp, in cima alle chat, il messaggio “Stiamo aggiornando i termini e l’informativa sulla privacy”.
Il messaggio, che si compone di due pagine, termina così: "I termini entreranno in vigore il 15 maggio 2021. Ti invitiamo ad accettarli per continuare a usare WhatsApp dopo questa data"
Ma il messaggio a chi è rivolto?
Il comunicato stampa di Privacy Network che giosce per la rimozione dalla pagina delle piattaforme consigliate dal Ministero della suite di Google for education
"Vittoria! Il Ministero dell’istruzione ha rimosso GSuite for Education dall’elenco delle piattaforme consigliate per la DAD.
È stata dura, ma Privacy Network ha raggiunto il suo obiettivo, facendo un passo in più verso la protezione dei dati di studenti e studentesse italiane."
Ultimora: sul sito del Ministero dell'Istruzione c'è ancora Google Suite for Education tra le piattaforme consigliate.
