Ciao Andrea, On Fri, 27 Jan 2023 09:11:56 +0100 Andrea Trentini wrote:
> Mi è arrivata info che a breve la mail degli studenti verrà gestita > da Microsoft (Office365) > > https://www.unimi.it/it/archivio-avvisi/la-webmail-studentiunimiit-passa-microsoft-outlook > > Chiedo ai più esperti qui: Schrems II non aveva stabilito che USA non > è un safe harbour? (e quindi saremmo in presenza di una violazione > del GDPR?) O c'è sotto qualche arcano che non fa scattare violazione? Nessun trucchetto arcano: la violazione dell'articolo 28 comma 1 del GDPR è palese, perché anche costringendo gli studenti ad usare GPG (cosa che sarebbe buona e giusta), come rilevavi i dati personali relativi ad identità (la casella, appunto), a relazioni, a orari e luoghi e molti altri contenuti negli header SMTP rimarrebbero disponibili a Microsoft e alle agenzie del governo USA che ne facciano richiesta. Anche massiva: "Ciao M$, insieme a quelle dei Magistrati italiani, mi metti sullo stesso share anche tutte le mail di tutti gli studenti dell'Unimi? Non stare ad informare il Rettore (che poi poverino si sente in colpa) e naturalmente nemmeno il DPO (che tanto non capirebbe)" Nota bene: si tratta del parere di esperti, non il mio: ``` It stems from the analysis made by the authorities that the sole use of a CSP that is part of a multinational group subject to third country laws may result in the concerned third country laws also applying to data stored in the EEA . Possible requests would in this case be addressed directly to the CSP within the EEA and would concern data present in the EEA and not data already undergoing transfer. In this context, the controller/CSP would therefore not necessarily have made the assessment of this legal framework with a view to apply the relevant safeguards. The analysis of all the elements that may lead to different situations and different violations of the aforementioned relevant provisions of the GDPR in respect of the processing carried out by the processor (acting as an autonomous controller under Article 28(10) of the GDPR when it acts in violation of the instructions of the controller) and/or by the public authority itself if appropriate instructions are not provided according to Article 28(3) of the GDPR or a processor not providing appropriate safeguards as required by Article 28(1) of the GDPR is engaged. ``` https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf (pagina 19) Ahimé l'incompetenza regna sovrana. Spero almeno non insegnino Informatica o Giurisprudenza. Giacomo _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa