Privacy e trasferimento dati: l'UE multa se stessa
di Alberto Falchi pubblicata il 08 Gennaio 2025, alle 18:02 nel canale Innovazione
Un cittadino tedesco ha fatto causa all'UE per il trasferimento non autorizzato di dati su server USA. Il motivo? La presenza del tasto Login con Facebook sul un sito ufficiale dell'UE
La complessità delle regole europee sulla privacy, il GDPR, ha fatto un'altra vittima: l'Unione Europea. Non è uno scherzo: il Tribunale dell'Unione europea l'8 gennaio ha infatti ordinato alla Commissione Europea di risarcire un cittadino tedesco per trattamento non autorizzato dei dati personali. A riportarlo sono Reuters e altre testate online.
UE contro UE: quando il GDPR colpisce le istituzioni
Il GDPR è un regolamento in vigore da ormai molti anni in Europa, nato per garantire la tutela dei dati personali dei cittadini europei. Nello specifico, nasce per limitare lo scambio di informazioni personali verso altri Stati, in particolare gli USA, dove hanno sede colossi dei social network come Meta (Facebook, Instagram, WhatsApp), Google, X e non solo.
Ma cosa è successo esattamente? I fatti risalgono agli anni 2021 e 2022 e sono relativi alle conferenze GoGreen organizzate in questo periodo e pubblicizzate tramite una pagina istituzionale dell'UE. All'interno di questa pagina, era possibile registrarsi agli eventi usando il classico tasto "Login con Facebook".
Ad avviare la causa un cittadino tedesco, Thomas Bindl, che ha scelto questo metodo per registrarsi all'evento e successivamente ha fatto causa all'UE per violaziona del GDPR: accedento tramite Facebook, infatti, i dati personali del cittadino, inclusi l'indirizzo IP e informazioni sul browser utilizzato, sono state trasferite a terze parti fuori dall'UE e residenti negli USA. Nello specifico, queste terze parti erano due aziende americane: Meta e AWS.
Secondo Bindl, questa violazione potenzialmente consentirebbe alle agenzie di intelligence statunitensi di accedere ai suoi dati personali, e per questo ha deciso di portare l'UE davanti a un giudice. Che gli ha dato ragione, stabilendo che dovrà essere risarcito di 400 euro per danni non materiali e di altri 800 euro per presunte violazioni del suo diritto di accesso alle informazioni.
Interessante come né AWS né Meta abbiano responsabilità in questo. Nel caso di AWS perché i dati sono sempre passati tramite server dell'azienda fisicamente collocati in Germania, e quindi non hanno mai lasciato i confini UE se non in un singolo caso, dovuto però a un errore di Bindl stesso.
Nel caso di Meta, invece, non si tratta di un'errore dell'azienda: secondo il Tribunale della Commissione Europea, infatti, la scelta di inserire il tasto per il login tramite Facebook è stata una scelta dell'UE, che ai tempi (marzo 2022) non aveva ancora preso una decisione netta sull'adeguatezza degli standard di protezione dei dati personali adottati dagli USA.
Ecovacs Deboot X8 Omni, il robot che lava con il rullo
Recensione Turtle Beach Stealth Pivot: un controller dalla doppia personalità
Xiaomi Redmi Note 14 Pro+ 5G. Ottimo rapporto qualità-prezzo! Basta questo? La recensione
Crytek se la passa male: licenziamenti e stop allo sviluppo di Crysis 4
Vertiv Liquid Cooling Services: una gamma di servizi completi per il raffreddamento a liquido dei datacenter per l'IA
Netatmo Advance: ecco la nuova videocamera interna che combina sicurezza e privacy 
12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoUn cittadino tedesco ha fatto causa all'UE per il trasferimento non autorizzato di dati su server USA. Il motivo? La presenza del tasto Login con Facebook sul un sito ufficiale dell'UE
Click sul link per visualizzare la notizia.
siamo alle comiche finali.
Che crepa st'unione europea..
Fatto bene il tedesco a denunciare, fatto bene il tribunale a dargli ragione.
Quando un sistema può multare sé stesso, significa che è imparziale.
appunto, non notizia
Informaticamente parlando, un login OAUTH2 non è configurabile come una cessione di credenziali a terzi.
Mi sembra quindi una notizia farlocca.
Informaticamente parlando, un login OAUTH2 non è configurabile come una cessione di credenziali a terzi.
Mi sembra quindi una notizia farlocca.
Non c'entrano niente le credenziali.
Si parla di trasferimento di informazioni personali.
Informaticamente parlando, un login OAUTH2 non è configurabile come una cessione di credenziali a terzi.
Mi sembra quindi una notizia farlocca.
Nessuno cede mai credenziali a nessuno, al più ti danno un token per passare una API. ma Meta può legare i dati di contesto al profilo FB e chissà quante altre cose interne.
FB permette di creare delle app proxy GDPR-compliant da cui transitare per fare SSO, qui non era stata creata e sono andati dritti sul meta-realm SSO globale/americano, era responsabilità EU fare diversamente.
Poi pare mancassero anche diverse informative riguardo alla privacy, diritto di opposizione e tutto il classico corollario GDPR.
Al di là di cosa faccia o non faccia Meta/FB, il punto che è la UE si è affidata ad un provider non-compliant.
Pare che nel momento dei fatti ci fossero anche notizie di data breach conclamati presso FB, ma questo esula dalla questione.
La protezione dei dati personali e l'accesso ad internet sono due concetti opposti. nel momento in cui accetti di accedere al web in qualsiasi forma, stai pur certo che sicuramente i tuoi dati saranno presi da qualche sistema, bot o altro. Da quando hanno introdotto la possibilità di "accettare i cookie" se ne ha proprio la certezza, prima ci poteva essere un contrasto di opinioni ma ora no, tutti quelli che sono sul web ci sono solo per quella ragione: schedare, incasellare e infilare in categorie per fini commerciali.
Nel mio mondo il web è a pagamento e nessuno può prendere nulla, pena 10 anni di carcere.
È un tale che ha fondato e dirige una società tedesca, EuGD, che assiste consumatori europei nei risarcimenti in materia di violazioni GDPR.
Dunque non solo è del mestiere, è anche parte professionalmente interessata. Non a caso sono già in modalità “pesca a strascico” per imbastire una richiesta danni collettiva al modico 25% di commissione.
Ok, è un cagacaxxi di professione
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".