Nell’ambito del trasferimento oltreoceano dei dati delle pubbliche amministrazioni italiane, dopo il caso Google Analytics, le big tech sono uscite dalla porta per rientrare dalla finestra e, nonostante la decisione di affidarsi a uno strumento alternativo sicuro (sulla carta) come Web Analytics Italia sia stata presa da Agid, ora a rischiare per il possibile trasferimento dei dati negli Usa sono i responsabili del trattamento dati delle PA italiane (e Agid stessa).
Ma andiamo per gradi.
Le segnalazioni di Monitora PA
Nel mese di maggio 2022, gli attivisti digitali di Monitora PA hanno iniziato la loro attività di ricerca dei trasferimenti illegali dei dati personali che i cittadini italiani avevano affidato alle Pubbliche Amministrazioni visitando i loro siti web. A partire da quel mese, si sono succedute una serie di segnalazioni (e in alcuni casi anche veri e propri reclami) al Garante per la Protezione dei Dati Personali da parte di vari attivisti per sollecitare un’analisi sui trasferimenti extra UE di dati personali raccolti durante la navigazione.
La prima segnalazione del giugno 2022, aveva riguardato proprio l’utilizzo di Google Analytics sui siti di 7833 pubbliche amministrazioni; negli stessi giorni il garante italiano aveva espresso la propria posizione in riferimento al cosiddetto provvedimento Caffeina, nel quale si portava “all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio”.
Una soluzione (tra le tante) rispettosa della privacy: Web Analytics Italia
Più volte in passato, nelle varie comunicazioni inviate alle amministrazioni, Monitora PA ha proposto l’utilizzo di Web Analytics Italia, uno strumento alternativo a Google Analytics, basato sul software open source Matomo e messo a disposizione da AgID – Agenzia per l’Italia Digitale.
Il valore aggiunto di una piattaforma come Web Analytics Italia in termini di protezione dei dati personali è dovuto al fatto che i server su cui vengono memorizzate le statistiche di navigazione e i dati dei visitatori dei siti web, se opportunamente configurati, possano risiedere sul territorio italiano o europeo. Inoltre, il fatto che Web Analytics Italia possa essere gestito direttamente da AgID (un ente pubblico che fa riferimento alla Presidenza del Consiglio) o da altro fornitore dell’Unione Europea, dovrebbe essere un ulteriore importante fattore di affidabilità trattandosi di entità sotto la giurisdizione UE. Queste caratteristiche, confrontate ad esempio con Google Analytics, rendono Web Analytics Italia conforme al GDPR mettendo la privacy dei cittadini al centro e i dati personali dei visitatori al sicuro da utilizzi impropri.
L’adozione di Web Analytics Italia in seguito alla dismissione dell’utilizzo di Google Analytics da parte di un gran numero di PA, all’epoca prese di sorpresa AgID, non preparata a ricevere una mole così imponente di dati, tanto che venne disposta la temporanea chiusura di nuove registrazioni in attesa degli adeguamenti necessari a garantire l’utilizzo per tutte le PA che ne facevano richiesta. Il 13 marzo 2023, in questo comunicato l’Agenzia per l’Italia Digitale ha annunciato il potenziamento del sistema per far fronte alle sempre maggiori richieste di utilizzo da parte delle PA italiane.
Il ruolo di Telecom/TIM nella nuova soluzione tecnologica
A fine 2022, AgID ha indetto un affidamento diretto (quindi senza gara tra più soggetti interessati, che avrebbero potuto proporre soluzioni tecnologiche diverse) assegnando la commessa a Telecom Italia/TIM, per una spesa complessiva di 138.917 €.
Sarebbe interessante sapere, per trasparenza nei confronti di una spesa fatta con denaro pubblico da parte di AgID, se nei requisiti di assegnazione sia stato specificato a Telecom/TIM l’utilizzo di una soluzione tecnologica che, oltre a datacenter europei, dovesse prevedere anche l’utilizzo di subfornitori europei o comunque di nazioni con decisione di adeguatezza (art. 45 del Regolamento UE 2016/679) ancora valida.
Al momento, in seguito all’invalidazione del Privacy Shield da parte della Corte di Giustizia UE, le aziende USA non forniscono tutele sufficienti nei confronti dei cittadini europei in termini di protezione dei dati personali, come chiarito tre anni fa dalla Corte di Giustizia Europea con la famosa sentenza Schrems II.
I GAFAM escono dalla porta e rientrano dalla finestra
È proprio il caso di dirlo: i GAFAM – un acronimo che indica le grandi aziende tecnologiche USA come Google (ora Alphabet), Amazon, Facebook (ora Meta), Apple e Microsoft – sono usciti dalla porta e sono rientrati dalla finestra.
Per potenziare il sistema e risolvere i problemi di carico e prestazioni dell’applicativo, AgID – Agenzia per l’Italia Digitale si è avvalsa, tramite Telecom/TIM, dei servizi di Amazon Web Service Inc. società statunitense di proprietà del gruppo Amazon che ripropone tutti i problemi di trasferimento extra UE dei dati personali, già rilevati per l’utilizzo di Google Analytics.
Contrariamente a quanto avvenuto nel 2022, questa volta le scelte tecnologiche sono state fatte direttamente da AgID e, ipotesi dello scrivente, in modo non del tutto trasparente per le PA che, pur restando titolari del trattamento, probabilmente non sono neanche state messe preventivamente al corrente dell’utilizzo dei servizi cloud di Amazon.
Alla data odierna, il server richiamato da Web Analytics Italia risulta puntare al dominio ingestion.webanalytics.italia.it e, come si vede chiaramente dall’immagine sotto, esso punta tramite un reindirizzamento a server di Amazon riconoscibili dal nome “aws” o “amazonaws” (Amazon Web Services).
Dall’analisi dei nomi dei server, risulta utilizzata una Regione Aws chiamata eu-south-1 che, secondo le informazioni ufficiali riportate in questa pagina, risulta essere fisicamente su un datacenter dislocato in Italia e più precisamente a Milano.
Perché Amazon non è compliant GDPR?
Nel proprio AWS Data Processing Addendum (che, a sua volta, integra l’AWS Customer Agreement) la società Amazon Web Services Inc. dichiara esplicitamente di rispettare le normative statunitensi. Così come per Google (anch’essa sotto la giurisdizione USA), anche Amazon deve sottostare alle leggi americane, in particolare al CLOUD Act, al Foreign Intelligence Surveillance Act (FISA) Emendament Act sezione 702 e all’Executive Order 12333. Questo vincolo normativo a cui devono sottostare le aziende USA, ha portato qualche anno fa all’invalidazione del Privacy Shield da parte della Corte di Giustizia Europea, a causa della violazione dei diritti umani dei cittadini europei.
Il combinato disposto delle tre leggi sopra citate, obbliga le aziende USA a fornire, a qualsiasi agenzia governativa che ne faccia richiesta, i dati dei cittadini europei (e più in generale di qualsiasi nazionalità) senza l’autorizzazione di un magistrato e in assoluta segretezza, impedendo di fatto alla persona coinvolta di venire a conoscenza dell’indagine a suo carico e dell’analisi dei suoi dati personali.
Il fatto che, come abbiamo visto prima, i server utilizzati da Amazon siano dislocati in un datacenter a Milano è del tutto irrilevante ai fini del GDPR, in quanto è sufficiente che l’azienda (o la sua controllante) siano sotto la giurisdizione USA per aver l’obbligo di attenersi alle leggi americane.
Anche se l’azienda firmataria del contratto con AgID è Telecom/TIM, quest’ultima utilizza servizi erogati da Amazon Web Service Inc. Di particolare rilevanza è l’aspetto sostanziale e tecnico: Amazon Web Service Inc. può potenzialmente eseguire qualsiasi software sui datacenter europei che controlla direttamente; grazie al software che accede ai dati, Amazon ha di fatto accesso ai dati stessi e potrebbe essere costretta a prelevarli segretamente, eliminando qualsiasi evidenza.
Cosa cambia per il titolare del trattamento dei dati personali?
Nonostante la scelta tecnica sia stata presumibilmente presa in autonomia da AgID, nulla cambia in termini di responsabilità da parte del titolare del trattamento, ovvero dal legale rappresentante di ogni singola pubblica amministrazione. Secondo quanto previsto dal GDPR, la responsabilità legale resta in capo al titolare del trattamento, che deve essere in grado di dimostrare che tutti i responsabili del trattamento (chi tratta i dati per conto del titolare) siano in grado di rispettare le normative e i diritti degli interessati, ovvero dei cittadini che utilizzano i siti web della pubblica amministrazione.
Conclusioni
Dalla notizia pubblicata sul sito di Monitora PA, si apprende che gli attivisti si sono immediatamente adoperati per segnalare l’accaduto a 2340 amministrazioni che stanno attualmente utilizzando Web Analytics Italia, chiedendo di interrompere il trasferimento extra UE dei dati personali entro il termine di 15 giorni.
In caso di reiterato invio oltre tale termine, gli attivisti digitali hanno preannunciato il ricorso ad una segnalazione all’Autorità Garante per la Protezione dei Dati Personali nei confronti del titolare del trattamento e ad AgID, in qualità di responsabile del trattamento.
