Sul trasferimento dei dati personali verso gli Stati Uniti il Garante privacy europeo mette in guardia l’intera Unione europea e la invita ad utilizzare cloud provider che rispettano solo la normativa europea sulla data protection.
“Il Garante incoraggia vivamente le istituzioni, uffici, agenzie e organi dell’Unione europea a evitare trasferimenti di dati personali verso gli Stati Uniti per nuove operazioni di trattamento o in caso di nuovi contratti con fornitori di servizi”.
La raccomandazione, e quindi la bocciatura ai cloud provider USA, è contenuta nella strategia delineata dal Garante europeo della protezione dei dati per consentire a tutti i soggetti dell’Unione europea di conformarsi alla sentenza “Scherms II” con cui la Corte di Giustizia Ue ha invalidato il Privacy Shield, in quanto gli Stati Uniti non proteggono a sufficienza il diritto alla riservatezza dei dati personali degli europei Ue trasferiti nei server in USA.
I provider di servizi di comunicazione elettronica statunitensi possono anche dire di rispettare i dettami del GDPR, ma alcune leggi USA (FISA 702 e EO 12333) li possono obbligare a violarlo, il tutto top secret.
Il documento
Il Garante europeo ha pubblicato il documento strategico per monitorare la conformità delle istituzioni, degli organi e degli organismi europei alla sentenza “Schrems II” in relazione ai trasferimenti di dati personali a paesi terzi, e in particolare , gli Stati Uniti. “L’obiettivo”, si legge, “è che i trasferimenti internazionali in corso e futuri siano effettuati in conformità con la legge sulla protezione dei dati dell’UE”.
“I trasferimenti di dati personali da parte di istituzioni, organi e organismi europei a paesi terzi dovrebbero essere conformi alla Carta dei diritti fondamentali dell’UE, nonché alla legislazione dell’UE in materia di protezione dei dati, in particolare al capitolo V del regolamento (UE) 2018/1725. A tal fine, la strategia si basa sulla cooperazione e la responsabilità dei responsabili del trattamento per valutare se lo standard di protezione essenzialmente equivalente, basato sulla sentenza della Corte, sia garantito quando i trasferimenti di dati personali vengono effettuati verso paesi terzi”, ha dichiarato il garante privacy europeo Wojciech Wiewiórowski.
La sentenza “Schrems II” ha conseguenze di vasta portata su tutti gli strumenti legali utilizzati per trasferire dati personali dal Spazio economico europeo a qualsiasi paese terzo, compresi i trasferimenti tra autorità pubbliche. Sebbene la strategia del Garante europeo miri a rendere tutti i trasferimenti conformi alla sentenza a medio termine, sono state identificate dall’EDPS due priorità da affrontare a breve termine:
- il 5 ottobre scorso il Garante ha emesso un ordine alle istituzioni, uffici, agenzie e organi dell’Unione europea affinché completino una mappatura per identificare quali contratti in corso, procedure di appalto e altri tipi di cooperazione comportano trasferimenti di dati. Si tratta di trasferimenti che non hanno una base legale, trasferimenti che si basano su deroghe e trasferimenti a soggetti privati verso gli Stati Uniti che presentano rischi elevati per gli interessati.
- Le istituzioni, organi e organismi europei sono invitate a effettuare valutazioni dell’impatto del trasferimento caso per caso (Transfer Impact Assessments- TIAs) per identificare per il trasferimento specifico in questione se un livello di protezione sostanzialmente equivalente, come previsto nell’UE/SEE, è garantito nel paese terzo di destinazione.
- Sulla base di queste valutazioni, che devono essere effettuate con l’aiuto dei “data importers”, le istituzioni, uffici, agenzie e organi dell’Unione europea dovrebbero decidere se sia possibile continuare i trasferimenti dei dati negli Stati Uniti.
Il Gdpr cosa prevede per il cloud?
Il Regolamento Ue non lo cita mai, ma lo prende in considerazione indirettamente in numerosi punti proprio perché anche i cloud provider devono rispettare:
- Il principio di privacy by default e by design, introdotto dall’articolo 25 del Gdpr, che obbliga i provider ad offrire un’infrastruttura in grado di tutelare i dati personali dei clienti già nella fase di progettazione e per impostazione predefinita.
- Il principio dell’accountability, il titolare dei dati deve scegliere attentamente il cloud provider perché da tale scelta ne deriva una responsabilità da “rendicontare” al Garante Privacy in caso di controlli, violazione o abusi.
- I dettami sull’informativa, per esempio va dichiarato se si avvale di un cloud provider extra Ue, ovvero un provider che ha server o sede legale in Paesi extra UE; un’azienda può, infatti, essere anche italiana, ma con un’infrastruttura dislocata fuori dei confini europei.
A cosa servono le Clausole Contrattuali Standard? La Corte di Giustizia UE le avrà dichiarate valide per un motivo?
Servono a richiedere per contratto determinate condizioni quando ci si è assicurati che il Paese di destinazione dei dati personali non ha una legislazione che vìoli i diritti che per legge dobbiamo garantire sui dati personali.
E come me ne assicuro?
O scegliendo un provider in un Paese che ha già ricevuto una Decisione di Adeguatezza, o facendo verificare formalmente la cosa da un avvocato specializzato.
Ma l’EDPS, pur confermando in linea di principio la validità delle clausole contrattuali standard (SCC), ha evidenziato i rischi connessi al trattamento dei dati fuori dall’Unione Europea ed ha sostanzialmente accolto con favore le argomentazioni della Corte di Giustizia secondo cui – attualmente – non sussistono effettive ed adeguate garanzie che il singolo interessato possa realmente attivarsi per la tutela dei suoi diritti rispetto al trattamento dei dati trasferiti verso un Paese terzo.
Per approfondire
Leggi anche: Il Garante europeo privacy: “Microsoft responsabile del trattamento non trasparente dei dati dell’Unione europea”