Nel 2020 passò quasi in sordina la rottura del privacy shield, se ne parlò qui.
Questo scudo il cui nome rassicurante sembrava mettere al sicuro la privacy in realtà era stato eretto per scopi differenti, tanto è vero che è stato invalidato perché chi si attiene alle indicazioni contenute in quell’accordo viola il GDPR.
Come se non bastasse il Cloud Act continua a rimanere in vigore negli USA, ricordiamo come in questo documento dal valore legale si dichiari esplicitamente che:
“In primo luogo, la legge autorizza gli Stati Uniti a stringere accordi operativi con altri paesi che soddisfano determinati criteri, come il rispetto dello stato di diritto, al fine di affrontare il problema del conflitto tra leggi. Per le indagini su reati gravi gli accordi sul cloud possono essere utilizzati per rimuovere le restrizioni previste dalle leggi di ciascun paese …
In secondo luogo, il Cloud Act rende esplicito nella legge statunitense il principio consolidato negli Stati Uniti e a livello internazionale secondo cui a una società soggetta alla giurisdizione di un paese (USA ndr) può essere richiesto di produrre i dati che la società controlla, indipendentemente da dove siano memorizzati, in qualsiasi momento…”
Siamo nell’ultimo quarto del 2022 e ora sembra che ci sia un risveglio dal torpore (causato dagli eventi planetari degli ultimi 3 anni?) e alcuni stati stavolta non si limitano ad annunciare misure per contrastare la gestione indiscriminata del dato ma passano all’azione.
In Francia
“Il ministro francese dell’istruzione nazionale e della gioventù ha affermato che le versioni gratuite di Microsoft Office 365 e Google Workspace non dovrebbero essere utilizzate nelle scuole, una posizione che riflette le attuali preoccupazioni europee sulla sovranità dei dati in cloud, sulla concorrenza e sulle regole sulla privacy.
Ad agosto, Philippe Latombe, membro dell’Assemblea nazionale francese, ha avvertito Pap Ndiaye, ministro dell’istruzione nazionale, che la versione gratuita di Microsoft Office 365, sebbene attraente, equivale a una forma di scarico illegale. Ha chiesto al ministro dell’Istruzione cosa intende fare, dati i problemi di sovranità dei dati legati alla memorizzazione dei dati personali in un servizio cloud americano.
La scorsa settimana, il ministero dell’Istruzione nazionale ha pubblicato una risposta scritta per confermare che i contratti di appalto pubblico francesi richiedono pagamenti.
“Le offerte di servizi gratuiti sono quindi, in linea di principio, escluse dall’ambito degli appalti pubblici”, afferma il comunicato del ministero, e il ministro Ndiaye avrebbe confermato questa posizione.
Questo vale per altre offerte gratuite come Google Workspace for Education. Le versioni a pagamento di questi servizi cloud potrebbero essere un’opzione se non fossero già state vietate in base alle preoccupazioni sulla sicurezza dei dati.”
Sì perché l’oggetto del contendere non ruota attorno al pagamento o meno del servizio; se si fosse voluto davvero privilegiare software e piattaforme che non impongono una licenza per essere utilizzati, allora si sarebbe dovuta intraprendere in massa la via del software libero, cosa che evidentemente non è accaduta.
Che poi non è un male pagare per un software o un servizio, ci mancherebbe altro, ma ci si deve chiedere, a fronte di questo pagamento, cosa si ottiene in termini di sovranità del dato.
Forse la versione a pagamento dei software sotto giurisdizione USA non sono soggetti al Cloud Act? Sembra di no.
Ma non solo in Francia ci si è mossi in questa direzione, soltanto poco più a nord est infatti …
In Germania
“Le autorità federali e statali tedesche per la protezione dei dati (DSK) hanno sollevato dubbi sulla compatibilità di Microsoft 365 con le leggi sulla protezione dei dati in Germania e nell’Unione Europea allargata.
Secondo il rapporto del German watchdog’s report, che è stato scritto dopo due anni di trattative con Microsoft, l’organismo afferma che il prodotto “rimane in violazione” del regolamento generale sulla protezione dei dati (GDPR)…
Ai sensi del GDPR, i bambini di età inferiore ai 13 anni non sono in grado di acconsentire alla raccolta dei propri dati, mentre il consenso può essere fornito da coloro che hanno la responsabilità genitoriale per i minori di 16 anni ma non di età inferiore ai 13 anni. Quando le piattaforme archiviano dati sugli adulti, tali clienti hanno la possibilità di richiedere la cancellazione dei propri dati.
Il rapporto aggiunge (tradotto dal tedesco): “Molti dei servizi inclusi in Microsoft 365 richiedono a Microsoft di accedere ai dati non crittografati e non pseudonimizzati”.
Il rapporto DSK indica che la suite per ufficio non è quindi adatta per l’uso legalmente conforme nelle scuole o presso le autorità pubbliche in Germania, sebbene ciò non influisca sull’uso da parte di aziende o consumatori.
..Un portavoce di Microsoft ha dichiarato: “I prodotti Microsoft 365 soddisfano i più elevati standard del settore per la protezione della privacy e della sicurezza dei dati. Siamo rispettosamente in disaccordo con le preoccupazioni sollevate dalla Datenschutzkonferenz e abbiamo già implementato molte modifiche suggerite alla nostra protezione dei dati. Rimaniamo impegnati a lavorare con il DSK per affrontare eventuali problemi rimanenti”.
Tuttavia, secondo Microsoft, non è stata apportata alcuna modifica all’elaborazione effettiva dei dati da parte degli Stati Uniti (Cloud Act del 2018), rimangono i diritti di accesso sproporzionati per i servizi segreti statunitensi, e dunque non è fornita nessuna protezione legale giudiziaria per i cittadini dell’UE.
Matthias Pfau, fondatore del servizio di posta elettronica crittografato Tutanota, ha commentato la sentenza: “È incredibile che i servizi online americani continuino a calpestare il GDPR europeo più di quattro anni dopo la sua approvazione… Invece di fare affidamento sulla cooperazione volontaria, ora è necessario trarre conseguenze più dure, ad esempio utilizzando sistemi completamente diversi. Linux con Open Office è un’ottima alternativa a cui le scuole e le autorità dovrebbero passare immediatamente.” “
Nel frattempo anche Danimarca e Olanda si preparano ad adottare le prime concrete contromisure per dare un taglio a questo atteggiamento accomodante da parte degli enti pubblici nei confronti di alcuni giganti del’ICT a stelle e strisce.
Per una breve raccolta cronologica di questi eventi invitiamo a leggere qui.
Per altro lo strapotere esercitato dalle big tech può in realtà rivelarsi anche dannoso in altri contesti, un esempio lo troviamo qui.
Altre criticità
“Da un articolo apparso sul New York Times di recente, due persone della California e del Texas sono state bloccate in modo permanente dai loro account Google a causa di un problema con gli algoritmi automatizzati anti pedofilia di Google stessa.
L’incidente è dovuto alle foto di bambini nudi destinate alla diagnosi di un medico.
Mark, un papà di San Francisco e grande utilizzatore dei prodotti Google, ha scoperto che suo figlio neonato soffriva di dolori all’inguine e ha immediatamente programmato una consulenza di emergenza online a causa della pandemia di COVID-19.
Mark e sua moglie sono stati consigliati dal medico di scattare una foto dell’area interessata in anticipo e di caricarla su un portale medico. Le foto sono state scattate sul suo smartphone Android e sono state salvate su Google Cloud. Due giorni dopo, l’algoritmo di Google ha scambiato le foto sensibili di suo figlio come sfruttamento minorile e il suo account è stato disabilitato.
In qualità di ex ingegnere del software, conosceva algoritmi simili e Mark pensava che ci sarebbe stato qualcuno che sarebbe intervenuto e avrebbe recuperato il suo account, ma si sbagliava. Anche dopo aver spiegato la sua situazione in un modulo di follow-up (evviva l’umanità, la disponibilità e la comprensione ndr), Google ha risposto che non avrebbe restituito l’account, senza ulteriori spiegazioni.
Un incidente quasi identico è accaduto ad un papà in Texas, gli è stato chiesto di raccogliere immagini del figlio malato in una zona intima. Anche lui ha scattato le foto per la diagnosi del medico dal suo telefono Android che sono state sincronizzate con Google Foto, inviate a sua moglie tramite Google Hangouts ed il risultato è stato lo stesso.
Questo padre di famiglia è stato escluso dalla maggior parte della sua vita digitale che aveva acquisito per oltre un decennio.
In entrambi i casi, la loro “violazione” delle politiche di Google si è trasformata in un’indagine della polizia, inizialmente a loro insaputa. Tuttavia, in entrambi i casi si è dimostrata la loro non colpevolezza.
Nonostante questo, anche dopo che la polizia è stata coinvolta ed ha certificato la chiusura dal caso per un malinteso causato da un algoritmo, Google non era disposta a riattivare gli account o restituire i dati…”
Caso sfortunato, estremo? Vogliamo riflettere sulle migliaia di account bannati, puniti, cancellati o bloccati sui vari social media negli ultimi due anni, spesso per aver riportato articoli o fatti rivelatisi di semplice attualità ma scomodi?
No, si aprirebbe un capitolo troppo vasto.
Una riflessione però è d’obbligo, il bel paese che misure sta mettendo in atto a fronte di leggi stralciate per anni da parte di chi ha il dominio assoluto su certa tecnologia?
In che server (mani) si trovano i dati sensibili di milioni di cittadini e quelli giudiziari? E quelli relativi agli affari di stato?
Sono riflessioni importanti da fare, la sovranità del dato trascurata è la punta di un iceberg, già di per se piuttosto voluminosa.
Ma non serve addentrarsi nella selva delle relazioni internazionali per porsi una domanda semplice.
Gli enti pubblici in Italia a chi affidano i dati, dove li archiviano e con quali software?
Ed il sillogismo:
-In Europa vige in GDPR
-L’Italia fa parte dell’Europa e ne rispetta le leggi
-L’Italia applica il GDPR
È valido?
ITServicenet Team