In questo post illustrerò che:
- i server di Google che sono utilizzati anche dalle pubbliche amministrazioni italiane sono localizzati negli USA;
- Google non applica la normativa europea;
- Google effettua una scansione dei documenti archiviati in GDrive e allegati alle mail e archivia il relativo contenuto di testo.
Prima una doverosa premessa per i “non addetti ai lavori”. A seguito delle note vicende in terra statunitense riguardanti i metodi della sorvegliana di massa (NSA, Snowden, ecc…) l’Unione Europea aveva dichiarato non più valido l’accordo tra UE-USA sul trasferimento dei dati personali.
In sintesi, dato che gli USA non avevano dimostrato affidabilità nel trattare i dati che transitavano sul loro territorio (o meglio, nei server situati negli Stati Uniti, cfr: https://iusmanagement.org/2015/10/06/caso-snowden-e-cittadini-europei-la-decisione-della-commissione-europea-non-preclude-laccertamento-delladeguatezza-del-trattamento-dei-dati-personali-in-usa/), l’UE aveva deciso di stipulare un nuovo accordo, chiedendo agli USA ulteriori garanzie e definendo standard più rigorosi (http://iusmanagement.org/2016/08/02/1726/), seppur tra i dubbi del Garante Europea per la privacy (https://iusmanagement.org/2016/07/26/il-garante-europeo-della-protezione-dei-dati-nutre-forti-dubi-in-merito-alladeguatezza-dello-scudo-ue-usa-per-la-privacy/).
Quindi ogni organizzazione con sede in Europa aveva due possibilità: o chiedeva a Google di conservare i dati (Gmail, Gdrive, ecc…) in server situati in UE, oppure Google doveva dichiarare di attenersi scrupolosamente al c.d. Privacy shield (Scudo Privacy), cioè l’accordo UE-USA del 2016.
1) I server di Google che sono utilizzati anche dalle pubbliche amministrazioni italiane sono localizzati negli USA
All’inizio, nel 2016, molte pubbliche amministrazioni hanno avuto rassicurazioni che i server della posta elettronica fossero situati in UE. E così è stato: personalmente il sottoscritto ha verificato che i server della posta elettronica del proprio ente fossere in UE, e risultavano situati in Irlanda. Infatti analizzando una mail inviata a maggio 2017, questa risulta inviata da un server con la seguente localizzazione e hostname:
Decimal: 886171879
Hostname: ec2-52-209-232-231.eu-west-1.compute.amazonaws.com
ASN: 16509
ISP: Amazon Data Services Ireland Limited
Services: Datacenter
Assignment: Likely Static IP
Country: Ireland
State/Region: Dublin
City: Dublin
Con l’approvazione dello “scudo” del 2016, sembravano diminuiti tutti i timori di “illecito trattamento dei dati”. Ma lo “scudo” nacque in un brutto periodo: infatti nello stesso periodo di approvazione dello scudo (12 luglio 2016), vi fu il referendum sulla Brexit (23 giugno 2016). Tutti i server delle Big di Internet, infatti, sono collocati in prevalenza nel Regno Unito, e la fuoriuscita dalla UE poteva vanificare l’accordo UE-USA (https://iusmanagement.org/2021/01/18/brexit-il-punto-sulle-conseguenze-per-la-protezione-dei-dati/).
Prima del 2021, data in cui è divenuta effettiva la Brexit, è comunque giunta una sentenza della Corte di Giustizia dell’Unione Europea (Grande Sezione, sentenza del 16 luglio 2020 nella causa causa C‑311/18), che ha stabilito che la decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, è invalida.
A me quindi è venuto il dubbio e ho scoperto, sempre analizzando gli headers delle mail del solito account aziendale, che ora il mail server è localizzato in USA, come di seguito specificato:
Decimal: 3512065710
Hostname: mail-qk1-f174.google.com
ASN: 15169
ISP: Google LLC
Services: Datacenter
Likely mail server
Assignment: Likely Static IP
Country: United States
State/Region: California
City: Mountain View
Il tutto è avvenuto senza nessuna informativa circa il trasferimento di dati al di fuori dell’UE. Dall’analisi delle mail sono riuscito a determinare che a novembre 2018 il mailserver era ancora localizzato in Irlanda, mentre dal 2019 il mailserver è ormai localizzato in USA.
2) Google non applica la normativa europea
Cosa dichiara Google nell’informativa dei dati personali relativa ai propri servizi? Nella pagina dell’informativa sul trattamento dei dati personali, intitolata “NORMATIVE VIGENTI SUL TRASFERIMENTO DEI DATI” (https://policies.google.com/privacy/frameworks?hl=it&fg=1) Google dichiarava tra il 28 settembre 2020 e il 10 febbraio 2022:
Le leggi in materia di protezione dei dati personali variano da paese a paese e alcune prevedono più protezione di altre. Indipendentemente da dove sono elaborate le tue informazioni, noi applichiamo le stesse protezioni descritte nelle Norme sulla privacy. Inoltre, rispettiamo alcune normative vigenti relative al trasferimento dei dati, tra cui le normative europee descritte di seguito.
Dopo il 10 febbraio 2022 Google specifica:
Gestiamo server in tutto il mondo e le tue informazioni potrebbero essere elaborate su server situati al di fuori del paese in cui vivi. ..Come descritto nella nostra certificazione Privacy Shield (scudo per la privacy), rispettiamo gli Accordi EU-U.S. Privacy Shield (scudo UE-USA per la privacy)
In questa pagina, però, dal 16 luglio 2020 è stato inserito, in basso, un’ultima frase: Dal 16 luglio 2020 non ci basiamo più sull’EU-U.S. Privacy Shield (scudo UE-USA per la privacy) per trasferire dati dallo Spazio economico europeo e dal Regno Unito negli Stati Uniti.
Quindi questa è la dichiarazione da parte di Google che la stessa società non applica la normativa UE (o UE-USA). Ma cosa è successo il 16 luglio 2020? E’ la data della famosa sentenza della Corte di Giustizia UE che ha dichiarato l’accordo non più valido. In assenza di una valida base giuridica per trasferire i dati dall’UE agli USA, però, tali dati non potrebbero essere trasferiti!
3) Google effettua una scansione automatica (e all’insaputa dei clienti) dei documenti archiviati in GDrive e allegati alle mail
Questo punto è più facile da dimostrare. Ciascuno di noi può provare a cercare in GDrive una stringa di testo utlizzando la barra di ricerca di Drive. Se ci facciamo caso, la funzione individua anche stringhe di testo che non sono contenute nel nome del file, ma all’interno del file. Ciò dimostra che i server Google effettuano una scansione dei documenti archiviati in Drive. Se questi documenti sono allegati alle mail, c’è la possibilità di individuare una stringa di testo contenuta nell’allegato alla mail, e non contenuta nè nel testo nè nell’oggetto della mail (per esempio, io ho fatto la prova con la partita IVA del mio ente, che è sempre contenuta nei documenti, ma non nelle mail).
Quando i documenti sono banali (appunti vari) il fatto potrebbe non costituire un problema, ma diventa un “problemone” quando parliamo di account business, soprattutto di enti pubblici italiani. Peraltro, soprattutto con la pandemia COVID-19 e lo smarworking, si è intensificato l’utilizzo di GDrive per archiviare i documenti anche da parte della PA. Immaginate a quelle PP.AA. che trattano dati sanitari, dati giudiziari, dati di ricerca medica e scientifica: tutti questi dati sono stati presi da Google e portati negli USA.
In teoria, l’NSA o altre strutture governative statunitensi potrebbero avere accesso a dati molto importanti dei cittadini e delle istituzioni italiane senza l’autorizzazione di un’autorità, amministrativa o giudiziaria, italiana, e senza nemmeno notificare tale accesso ai soggetti interessati. Infatti l’accesso (o il sequestro) sarebbe effettuato nei confronti di server localizzati negli Stati Uniti, su cui le autorità e i cittadini italiani non hanno nessun controllo.
Sicuramente questo problema non viene meno se ci rivolgiamo a fornitori dall’altra parte del globo (es: Cina), anzi probabilmente si aggrava. E’ per questo motivo che, almeno la PA italiana dovrebbe sempre avere la certezza che i server dove sono archiviati i propri documenti, siano almeno localizzati in Italia, a disposizione e protetti dalle autorità e dalle leggi italiane e europee.