Key4biz

Garante privacy europeo: “Non usare i cloud provider USA. Conformarsi a Schrems II”

Garante_privacy_europeo_

Sul trasferimento dei dati personali verso gli Stati Uniti il Garante privacy europeo mette in guardia l’intera Unione europea e la invita ad utilizzare cloud provider che rispettano solo la normativa europea sulla data protection. 

“Il Garante incoraggia vivamente le istituzioni, uffici, agenzie e organi dell’Unione europea a evitare trasferimenti di dati personali verso gli Stati Uniti per nuove operazioni di trattamento o in caso di nuovi contratti con fornitori di servizi”.

La raccomandazione, e quindi la bocciatura ai cloud provider USA, è contenuta nella strategia delineata dal Garante europeo della protezione dei dati per consentire a tutti i soggetti dell’Unione europea di conformarsi alla sentenza “Scherms II” con cui la Corte di Giustizia Ue ha invalidato il Privacy Shield, in quanto gli Stati Uniti non proteggono a sufficienza il diritto alla riservatezza dei dati personali degli europei Ue trasferiti nei server in USA.
I provider di servizi di comunicazione elettronica statunitensi possono anche dire di rispettare i dettami del GDPR, ma alcune leggi USA (FISA 702 e EO 12333) li possono obbligare a violarlo, il tutto top secret.

Il documento

Il Garante europeo ha pubblicato il documento strategico per monitorare la conformità delle istituzioni, degli organi e degli organismi europei alla sentenza “Schrems II” in relazione ai trasferimenti di dati personali a paesi terzi, e in particolare , gli Stati Uniti. “L’obiettivo”, si legge, “è che i trasferimenti internazionali in corso e futuri siano effettuati in conformità con la legge sulla protezione dei dati dell’UE”.

“I trasferimenti di dati personali da parte di istituzioni, organi e organismi europei a paesi terzi dovrebbero essere conformi alla Carta dei diritti fondamentali dell’UE, nonché alla legislazione dell’UE in materia di protezione dei dati, in particolare al capitolo V del regolamento (UE) 2018/1725. A tal fine, la strategia si basa sulla cooperazione e la responsabilità dei responsabili del trattamento per valutare se lo standard di protezione essenzialmente equivalente, basato sulla sentenza della Corte, sia garantito quando i trasferimenti di dati personali vengono effettuati verso paesi terzi”, ha dichiarato il garante privacy europeo Wojciech Wiewiórowski.

La sentenza “Schrems II” ha conseguenze di vasta portata su tutti gli strumenti legali utilizzati per trasferire dati personali dal Spazio economico europeo a qualsiasi paese terzo, compresi i trasferimenti tra autorità pubbliche. Sebbene la strategia del Garante europeo miri a rendere tutti i trasferimenti conformi alla sentenza a medio termine, sono state identificate dall’EDPS due priorità da affrontare a breve termine: 

Il Gdpr cosa prevede per il cloud?

Il Regolamento Ue non lo cita mai, ma lo prende in considerazione indirettamente in numerosi punti proprio perché anche i cloud provider devono rispettare:

A cosa servono le Clausole Contrattuali Standard? La Corte di Giustizia UE le avrà dichiarate valide per un motivo?

Servono a richiedere per contratto determinate condizioni quando ci si è assicurati che il Paese di destinazione dei dati personali non ha una legislazione che vìoli i diritti che per legge dobbiamo garantire sui dati personali. 

E come me ne assicuro? 

 O scegliendo un provider in un Paese che ha già ricevuto una Decisione di Adeguatezza, o facendo verificare formalmente la cosa da un avvocato specializzato. 
Ma  l’EDPS, pur confermando in linea di principio la validità delle clausole contrattuali standard (SCC), ha evidenziato i rischi connessi al trattamento dei dati fuori dall’Unione Europea ed ha sostanzialmente accolto con favore le argomentazioni della Corte di Giustizia secondo cui – attualmente – non sussistono effettive ed adeguate garanzie che il singolo interessato possa realmente attivarsi per la tutela dei suoi diritti rispetto al trattamento dei dati trasferiti verso un Paese terzo.

Per approfondire

Leggi anche: Il Garante europeo privacy: “Microsoft responsabile del trattamento non trasparente dei dati dell’Unione europea”

Exit mobile version