BLOG

21 Maggio 2022

Hosting GDPR

Vediamo come riconoscere un Hosting conforme alla GDPR e quali sono le problematiche più comuni.

Hosting GDPR Bandiera europea con lucchetto

GDPR è l’acronimo di General Data Protection Regulation (Regolamento generale sulla protezione dei dati).

Si tratta di una nuova normativa imposta in Europa il 25 maggio 2018 che impone alle aziende di proteggere i dati personali dei propri clienti.

Il Regolamento generale sulla protezione dei dati (GDPR) è una legge sulla protezione dei dati introdotta dall’Unione europea nel 2016. Ha lo scopo di proteggere i dati personali e la privacy dei cittadini dell’UE.

Il GDPR si applica a tutte le aziende che offrono beni o servizi ai cittadini dell’UE, indipendentemente dalla loro ubicazione. Si applica anche alle aziende che monitorano il comportamento dei residenti nell’UE, anche se non hanno una presenza fisica nell’UE.

Vediamo come riconoscere un hosting conforme al GDPR e quali sono i problemi più comuni come, ad esempio, le dichiarazioni false e mendaci di Hosting non conformi che affermano di esserlo.

Hosting GDPR Europei ed Aziende di Hosting Europee.

Un servizio di Hosting conforme alla GDPR deve rispettare principalmente due principi. Quello della territorialità e della presenza legale.

Con il principio della territorialità, i dati debbono obbligatoriamente risiedere FISICAMENTE all’interno dei confini europei dei paesi membri appartenenti all’unione Europea.

Vuoi affidarti ad un’azienda di Hosting Svizzero con i server su suolo svizzero? Non puoi.

Vuoi affidarti ad un’azienda di Hosting a San Marino con i server su territorio San Marinese? Non puoi.

Vuoi affidarti ad Hosting Enterprise americani come WPENGINE, WordPress VIP, Fastly, Pantheon, RunCloud, CloudWays? No. Non puoi.

I server come ripetuto debbono essere su territorio Europeo e tutti i servizi sopra descritti fanno uso di server posizionati su territorio NON europeo ma statunitense che non godono più ormai del porto franco che era stato creato con il privacy shield di fatto abolito.

Hosting USA e Privacy Shield.

Il Privacy Shield è (o meglio era) un quadro che consente il trasferimento di dati personali dall’UE agli Stati Uniti.

Il programma è stato creato nel 2016 dopo che la Commissione europea ha rilevato che il programma Safe Harbor non forniva una protezione adeguata ai cittadini dell’UE. Il Privacy Shield sostituisce il programma Safe Harbor e stabilisce requisiti più severi per le aziende che desiderano operare negli Stati Uniti e fornire servizi ai clienti europei.

Cos’è il Privacy Shield e a cosa serve?

Il Privacy Shield è un quadro di riferimento che consente alle aziende di trasferire dati personali dall’UE agli Stati Uniti. Sostituisce un precedente accordo chiamato Safe Harbor, ritenuto inadeguato dalle autorità di regolamentazione perché non forniva sufficienti garanzie per i diritti alla privacy dei cittadini dell’UE. Il nuovo quadro è stato sviluppato dal Dipartimento del Commercio degli Stati Uniti e approvato dai funzionari europei nel luglio 2016, dopo che i negoziati erano in corso dal settembre 2015.

 

Quando è stato abolito lo scudo per la privacy?

Con la sentenza del 16 luglio 2020 nella causa C-311/18 tra il Data Protection Commissioner/Maximilian Schrems e Facebook Ireland, la Corte di Giustizia dell’Unione Europea (CGUE) ha dichiarato il Privacy Shield UE-US incompatibile con il GDPR e, quindi, non più valido.

La ragione alla base di questa decisione è che l’attuale livello di protezione dei dati personali previsto dalla legislazione statunitense non può essere considerato equivalente a quello del GDPR. Ciò è dovuto in gran parte ai programmi di sorveglianza statunitensi e alla mancanza di un meccanismo adeguato agli utenti europei.

L’annullamento del Privacy Shield ha avuto effetto immediato, il che significa che il Privacy Shield non costituisce più una base valida per trasferire i dati dell’UE negli Stati Uniti.

 

Le dichiarazioni false della conformità GDPR di aziende di Hosting e servizi.

Per capire questo passaggio bisogna tenere a mente un concetto molto semplice: Non è illecito o reato per un’azienda non europea vendere servizi ad aziende europee.

E’ invece illecito e reato per un’azienda europea comprare servizi di aziende non europee e non certificate GDPR.

Su questa asimmetria, si giocano le false dichiarazioni di conformità delle aziende che dicono di essere conformi al regolamento GDPR.

Prendiamo ad esempio WordPress VIP, il servizio di Hosting di fascia Enterprise sviluppato da AUTOMATTIC, l’azienda che produce e sviluppa WordPress per intenderci.

Leggendo la loro dichiarazione in merito a WordPress VIP e GDPR abbiamo i seguenti concetti (tradotto con Google Translate per comodità) :

Il regolamento generale sulla protezione dei dati in Europa (aka GDPR) è un regolamento sulla privacy di vasta portata entrato in vigore a maggio 2018.

Questa pagina fornisce informazioni sulla legge e sui nostri piani per l’attuazione degli importanti principi del GDPR per i prodotti e servizi VIP di WordPress, inclusi WordPress.com e VIP Cloud. Attualmente stiamo lavorando per aggiungere funzionalità per migliorare la scelta dell’utente e portare maggiore trasparenza alle nostre pratiche relative alla raccolta, all’archiviazione e all’utilizzo dei tuoi dati.

Ad esempio, per tua comodità, ora abbiamo a disposizione un addendum per l’elaborazione dei dati VIP di WordPress. Se la tua azienda sta esplorando come confermare la conformità al GDPR del fornitore, questo documento può essere di aiuto poiché affronta le particolari sfumature dei servizi di hosting.

I prodotti e i servizi VIP di WordPress sono conformi ai requisiti GDPR e rispetteranno le date stabilite dall’Unione Europea.

Forniremo inoltre strumenti e informazioni aggiuntivi in modo che gli utenti dei nostri servizi possano adottare le misure necessarie per conformarsi alla legge, se necessario.

A primo impatto, dunque, potremmo tranquillamente fidarci considerando la dimensione e la fama dell’azienda che ce lo comunica, il tono e il tenore dell’affermazione che non lascia interpretazione alla stessa.

Ma siamo veramente sicuri? Possiamo davvero stare tranquilli e non rischiare una sanzione del 4% del nostro fatturato ?

Vediamo meglio e Andiamo a vedere chi è WordPress VIP e chi è AUTOMATTIC.

Nel loro footer vediamo immediatamente che manca la loro ragione sociale, manca il loro indirizzo e manca il loro VAT code. Sarebbe impossibile per un’azienda europea operare sui mercati europei senza mostrare in modo eloquente nel footer queste informazioni che sono OBBLIGATORIE.

Andiamo a vedere allora se almeno AUTOMATTIC abbia una sede europea, una branch o una succursale andando a vedere il loro sito automattic.com

Anche in questo caso nessuna informazione di natura legale sul loro sito che possa indentificare un’azienda costituita in Europa, ma solo una Automattic Inc e nulla più.

Cercando in rete su Google non esce un solo riferimento ad una branch Europea di AUTOMATTIC ma tutto invece sembra ricondurre all’unica Automattic INC con sede a San Francisco negli stati uniti.

Automattic INC

Ovviamente non sta a noi andare a giudicare le motivazioni per cui un’azienda come AUTOMATTIC non apra una branch Europea per poter operare serenamente con i loro servizi, tuttavia ad oggi 21 Maggio 2022 questi sono i fatti documentati e documentabili.

Lo stesso vale per i servizi di configurazione Managed di Hosting che fanno uso di multiple location e multipli fornitori .

Vale la pena spendere due righe in merito a quei fornitori come RunCloud o CloudWays ad esempio che offrono di fatto una piattaforma di hosting gestita per implementare applicazioni popolari basate su PHP sull’hosting delle infrastrutture in pochi clic.

Detto in modo molto semplice qualora si volessero installare e configurare delle istanze Cloud per progetti PHP, ma non si è sistemisti e non si vuole impazzire nel configurare Database, Server Web o Cache Varnish, questi sistemi permettono previa iscrizione e pagamento del servizio di allocare un’istanza perfettamente configurata su diversi fornitori di Hosting Cloud come Linode, Vultr, AWS, Google Cloud ecc..

 

Come ben sappiamo questi fornitori, almeno per certo Vultr, AWS e Google Cloud hanno diverse region divise a continenti e dunque si tende a pensare che se usassimo RunCloud o CloudWays per generare delle istanze magari su AWS a Milano (si AWS ha anche region in Italia a Milano), potremmo di fatto essere GDPR compliant in quanto a livello fisico le istanze girano su territorio intracomunitario e dunque europeo.

Il ragionamento a primo impatto potrebbe sembrare assolutamente corretto e lineare, peccato che addentrandosi in un esame tecnico le cose sono un po’ più complesse di quanto possono sembrare.

Di fatto RunCloud e CloudWays non sono dei meri “creatori” di istanze ma di fatto sono dei servizi PaaS (Platform as a service) che vivono in piena simbiosi con l’istanza creata.

Non è possibile insomma creare un’instanza con RunCloud e CloudWays, disattivare i due servizi e poi continuare a usare l’istanza creata, bisogna invece necessariamente continuare ad utilizzare l’istanza passando per il servizio iniziale come RunCloud e Cloudways che avranno accesso alla vostra istanza tramite le loro API e potranno di fatto effettuare operazioni sulla vostra istanza fregandosene di fatto di quelle che sono le leggi Europee.

In fondo sia RunCloud che CloudWays non hanno sede, filiali o succursali su territorio europeo.

RunCloud GDPR

RunCloud nello specifico è un’azienda che ha sede in Malesia; quindi, è assolutamente non conforme alla GDPR sebbene nel loro sito cerchino di nascondere il problema con informazioni confusionarie e fuorvianti.

Avere sede in Malesia e clienti nella UE, dunque, come sopra precedentemente indicato non è un problema loro ma di voi clienti che europei che non risulterete in regola con i requisiti europei.

CloudWays GDPR

CloudWays nello specifico è un’azienda che ha sede a Malta; quindi, come vale per RunCloud è assolutamente non conforme alla GDPR sebbene nel loro sito cerchino di nascondere il problema con informazioni confusionarie e fuorvianti.

Avere sede a Malta e clienti nella UE, dunque, come sopra precedentemente indicato non è un problema loro ma di voi clienti che europei che non risulterete in regola con i requisiti europei.

E’ prassi comune come abbiamo visto cercare di convincere un eventuale cliente che l’azienda sia conforme ai requisiti GDPR, millantando buoni intenti e tante belle parole che risultano però prive di efficacia e valore legale.

Non basta dire “ci impegniamo”, “stiamo facendo”, “siamo brave persone” per essere in regola con una legge.

Bisogna soddisfare requisiti formali e sostanziali: dati e datacenter su territorio Europeo (in uno dei paesi membri della UE), e aziende, branch, filiali, succursali costituite in Europa su un paese membro e relativa VAT europea. Tutto quello che non rispetta queste due condizioni automaticamente si ritiene non compliant alla legge GDPR.

Qualora Automattic o altri hosting non conformi alla GDPR citati in questo articolo provvederanno ad operare in conformità con il regolamento sulla protezione dei DATI, avremmo la premura di rettificare l’articolo e apportare le dovute modifiche.

Andiamo a vedere di seguito, quelli che sono Hosting WordPress non conformi e compliant alla GDPR.

Fastly GDPR.

Come possiamo vedere dal loro sito hanno uffici nelle seguenti località, nessuna in unione europea.

Cercando su Google non emerge in alcun caso la presenza di branch, filiali o succursali con VAT europea.

Fastly GDPR

WP Engine GDPR

WP Engine risulta essere un provider di Hosting WordPress ad Austin Texas con succursale in UK. Con la brexit, dunque è pacifico affermare che non ci siano posizioni europee.

Irongate House, 22-30 Duke’s Place
London, EC3A 7LP United Kingdom

Andando a vedere la lista dei loro sub-processori la cosa è ancora più eloquente, elencando sub-processori esclusivamente non Europei.

Pantheon.io Hosting GDPR

Pur avendo sede negli Stati Uniti a San Francisco, anche Pantheon.io esibisce una dichiarazione di conformità mendace che non ha alcun valore legale.

Pantheon GDPR

 

Quali sono le conseguenze di usare un Hosting non conforme alla GDPR?

Le sanzioni amministrative legate alla privacy possono arrivare fino a 20 milioni di euro e possono essere pari al 2 per cento o al 4 per cento del fatturato per le imprese.

Per essere più chiari, nel caso di esempio di una piccola azienda che fatturi 500 mila euro con un utile di 250 mila euro, la sanzione irrorata sarebbe di 20 Mila euro.

 

l GDPR regola soltanto le sanzioni amministrative pecuniarie, l’articolo 83 prevede un importo pari ad un massimo di:

  • 10 milioni di euro o 2 per cento del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non nominano il DPO, non comunicano un data breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
  • 20 milioni di euro o 4 per cento del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

In ogni caso, le conseguenze per imprese e professionisti che commettono violazioni sono diverse:

  • sanzioni penali;
  • sanzioni amministrative;
  • risarcimento del danno in favore dell’interessato;
  • divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.

Insomma, non è uno scherzo o qualcosa da prendere sottogamba date le potenziali conseguenze nefaste che abbiamo mostrato sopra con un caso reale.

Capitano spesso le sanzioni di questo tipo per la violazione della GDPR ?

Vanno da 8 Mila a 11,5 Milioni di Euro gli importi delle multe subite nel 2019 da PMI, Ditte Individuali, Liberi Professionisti, e Aziende non a norma con il GDPR. Ecco un elenco sintetico dei provvedimenti di ingiunzione di sanzione amministrativa pecuniaria, emessi dal Garante per la Protezione dei Dati Personali (Garante Privacy – Autorità di controllo italiana), sia in base al Regolamento UE 2016/679, sia in base al Codice Privacy italiano (D. Lgs. 196/2003, novellato dal D. Lgs. 101/2018).

Dire che capitano spesso dunque potrebbero essere inesatto, però sicuramente sono capitate e possono capitare.

Il caso più frequente è quella dell’accertamento del Garante della Privacy a seguito di segnalazione (anche anonima) di individui, dipendenti insoddisfatti, competitor.

Basta infatti inviare una mail (o meglio PEC) all’indirizzo del Garante Privacy per poter vedere protocollata la richiesta e dare input ad una richiesta di accertamento che ove fondata può sfociare nella sanzione.

Cosa fare dunque se hai un sito in un Hosting non conforme al GDPR?

Il nostro consiglio è quello di verificare che il fornitore sia conforme alla GDPR e l’hosting finale risieda su server Europei (entro i confini) e gestiti da aziende Europee.

Ad esempio, noi che siamo un’azienda Europa, ci forniamo da altra azienda Europea che ha Datacenter in Germania e Finlandia (paesi europei).

Noi abbiamo VAT Europea, l’azienda datacenter da cui siamo in colocation ha VAT Europea, la posizione fisica dei server è su territorio Europeo.

A maggior tutela, forniamo la documentazione legale comprovante e la relativa documentazione sulla gestione dei Cookie, della GDPR e persino il Documento Programmatico sulla sicurezza, ad oggi non più obbligatorio ma comunque a valore aggiunto.

Qualora così non fosse e da accurate analisi (vi consigliamo sempre di far effettuare la verifica da qualcuno attualmente non coinvolto, non un fornitore ad esempio) venisse alla luce che il sito non sia conforme alla GDPR dovrete valutare con celerità, un’alternativa equivalente o migliore in termini di feature, prestazioni e funzionalità a quello che attualmente state utilizzando.

Possiamo assistervi a questo processo proponendovi soluzioni ad alte performance e uno stack software compatibile con quelli sopra indicati nonché garantendo la piena e totale conformità al regolamento GDPR.

Nello specifico il nostro stack software è basato su NGINX, PHP-FPM, Varnish, ElasticSearch, REDIS e Memcache ed è in grado di sostituire con maggiori performance tutti i fornitori non GDPR compliant sopra elencati.

Seguentemente alla migrazione sui nostri sistemi risulterà pertanto necessario revisionare tutte le informative privacy, al fine di inserire maggiori informazioni circa i dati che possono essere trasferiti all’estero, il luogo in cui vengono trasferiti e le garanzie di tutela di cui godono. Le stesse dovranno essere poi portate a conoscenza degli interessati. Anche i Registri del Titolare o del Responsabile del trattamento dovranno essere di conseguenza aggiornati.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Facebook, Inc. detiene i diritti su Facebook®; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Questo sito non è affiliato, sponsorizzato, o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello Europeo da MANAGED SERVER SRL Via Enzo Ferrari, 9 62012 Civitanova Marche (MC) Italia.

SOLO UN ATTIMO !

Vorresti vedere come gira il tuo WooCommerce sui nostri sistemi senza dover migrare nulla ? 

Inserisci l'indirizzo del tuo sito WooCommerce e otterrai una dimostrazione navigabile, senza dover fare assolutamente nulla e completamente gratis.

No grazie, i miei clienti preferiscono il sito lento.
Torna in alto