L’organizzazione senza scopo di lucro con sede a Vienna “Noyb” (My privacy is non of your business), fondata dall’avvocato austriaco e attivista per la privacy Max Schrems, ha dichiarato di aver presentato un reclamo contro Amazon all’autorità tedesca per la protezione dei dati, per irregolarità legate alla compliance al GDPR e in particolare al principio di privacy by default. Una situazione che per l’organizzazione denunciante, potrebbe portare a multe per oltre 4 miliardi di euro.
Indice degli argomenti
Le presunte irregolarità
I server di posta elettronica di Amazon infatti, utilizzati per la comunicazione diretta tra clienti e venditori di terze parti sulla piattaforma, in alcuni casi non consentirebbero l’applicazione di una qualsiasi forma di crittografia, infrangendo requisiti fondamentali di sicurezza e protezione del dato ai sensi del GDPR. Secondo la denuncia le email dei venditori sono instradate attraverso server Amazon che in alcuni casi non riescono a fornire la cosiddetta crittografia TLS.
Il TLS – Transport Layer Security è uno dei protocolli di sicurezza più importanti e ampiamente utilizzati. Protegge una parte significativa dei dati che vengono trasmessi online. Viene utilizzato soprattutto per proteggere i dati che viaggiano tra un browser e un sito tramite Https, ma può anche essere utilizzato per proteggere la posta elettronica e una serie di altri protocolli. Quando inviamo informazioni online, riscontriamo tre problemi di sicurezza principali:
- Come possiamo sapere se la persona con cui stiamo comunicando è davvero chi dicono di essere
- Come possiamo sapere che i dati non sono stati manomessi da quando li hanno inviati
- Come possiamo impedire ad altre persone di vedere e accedere ai dati
Questi problemi sono cruciali, specialmente quando inviamo informazioni sensibili o preziose. TLS utilizza una serie di tecniche crittografiche per affrontare ciascuno di questi tre problemi. Insieme, consentono al protocollo di autenticare l’altra parte in una connessione, verificare l’integrità dei dati e fornire una protezione crittografata.
In altre parole il TLS è prezioso perché garantisce che l’altra parte in una connessione sia chi dice di essere, mostra se i dati mantengono la loro integrità iniziale e fornisce riservatezza attraverso la crittografia. Tutti aspetti di data security importanti che i server di Amazon non applicherebbero by default.
Cosa prevede il GDPR: le possibili conseguenze
Dato che l’articolo 25 del GDPR richiede la protezione dei dati “fin dalla progettazione e per impostazione predefinita” per tutti i processi (IT) di business per prodotti e servizi e l’intero regolamento dovrebbe rendere più sicuri i dati personali e meno probabili le perdite di dati, molti legali sostengono che questa nuova legge imponga la crittografia di tutte le e-mail per impostazione predefinita.
Anche se non è chiaro al momento se questo sia vero o meno, vale la pena pensare alle conseguenze di questa attività, se non lo avete già fatto. Su questo elemento di vulnerabilità alla privacy degli utenti, l’organizzazione di Max Schrems ha presentato un reclamo all’autorità di controllo per la protezione dei dati dello stato dell’Assia in Germania. A seguito dell’esposto anche l Autorità Garante lussemburghese si sta interessando al caso dato che che Amazon ha la sua sede in Lussemburgo. La società di Jeff Bezos nel mirino di Noyb acquista prodotti dai fornitori per venderli al consumatore finale, ma allo stesso tempo consente alle società terze di utilizzare la propria piattaforma, nota come marketplace, per commercializzare i propri articoli.
Chi è Schrems
Schrems è un veterano attivista per la privacy che ha intrapreso la sua prima azione legale contro Facebook come studente nel 2011. Il suo caso alla fine ha portato a ciò che gli avvocati hanno definito una sentenza “bomba” nel 2015, abbattendo il quadro di trasferimento di dati Safe Harbor tra l’Unione europea e il Stati Uniti. Ad oggi l’ avvocato, Schrems ha presentato denunce contro Facebook, Amazon, Google, Instagram e WhatsApp negli ultimi anni. Oltre a dare battaglia alle più importanti Big Tech americane l’attivista austriaco Schrems ha dato vita ad un progetto molto interessante per raccogliere sentenze e novità sul regolamento per la protezione dei dati personali con il nome Gdpr Hub.
