loader image

STOP AL PRIVACY SHIELD: le imprese italiane dicono addio a Google, FB & co.?

Diritto Digitale

 

È questa la domanda che circola tra le imprese italiane ed europee, dopo la sentenza della Corte di Giustizia UE del Luglio scorso che ha posto fine al Privacy Shield, rendendo di fatto illegali tutti i trasferimenti di dati dall’Europa agli Stati Uniti.

Gli effetti della sentenza sono stati immediati e si sono tradotti in dubbi e quesiti concreti per chi fa impresa: posso ancora utilizzare Google Cloud per la mia azienda? Posso continuare a fare campagne di advertising con Facebook?

La buona notizia è che non si deve dire addio a questi servizi (sarebbe impensabile ad oggi, data anche la loro enorme diffusione).
Anche se sono necessari degli accorgimenti legali e tecnici di cui parlare.

Insomma, esistono già delle soluzioni da poter adottare, che sono state recentement indicate dagli organi istituzionali europei proprio in seguito alla caduta del Privacy Shield.

In questa news, cercheremo di fare quindi il punto della situazione, chiarendo quali passi deve fare un’azienda italiana per essere conforme alle leggi in materia, se intende continuare ad utilizzare i servizi digitali di Google o di altre aziende americane.

1. COSA FARE PER CONTINUARE AD INVIARE I DATI A GOOGLE E AGLI ATRI SERVIZI DIGITALI AMERICANI?

È innegabile che l’invalidazione del Privacy Shield stia creando enormi difficoltà ad imprese ed enti europei che trasferiscono dati con partner situati in territorio americano.
In particolare, tante sono le aziende italiane, anche fra le piccole e medie imprese, che si avvalgono di servizi digitali americani come Google Cloud o Facebook e che ora si vedono costrette a correre ai ripari per poter continuare a trasferire dati personali verso i server delle più note Big Tech.

Ecco allora cosa fare per tornare ad una situazione di conformità alle normative in materia di privacy.

A. IDENTIFICARE TUTTI I TRASFERIMENTI DI DATI PERSONALI VERSO GLI USA

Facciamo una breve premessa: non esiste solo Google.
All’interno dell’azienda potrebbe essere in uso un servizio di newsletter o di marketing automation americano, oppure l’app connessa al vostro core business ha i server allocati negli Stati Uniti.

Insomma, le variabili sono tante, per cui il primo passo è quello di effettuare una attenta ricognizione di tutti i trasferimenti di dati personali di dipendenti, clienti, fornitori, dall’Italia agli USA.

B. ADOTTARE LE CLAUSOLE CONTRATTUALI TIPO O UN’ALTRA MISURA DI GARANZIA

L’azienda italiana che vuole continuare a trasferire dati verso gli Stati Uniti dovrà avvalersi di una tra le misure di garanzie indicati dall’art. 46 GDPR (la normativa privacy europea).
Le più diffuse sono le cc.dd. clausole contrattuali tipo stipulate fra chi invia i dati (es. azienda italiana) e chi li riceve (es. Google).

Vi starete chiedendo: come posso contrattare con un gigante come Google o Facebook? È una lotta impari.
In realtà le grandi aziende americane stanno prendendo coscienza della situazione post-Privacy Shield dichiarando apertamente di aderire a tali clausole, che rappresentano uno standard di protezione e sicurezza stabilito dalla Commissione Europea, l’organo deputato ad emanarle e a revisionarle per eventuali aggiornamenti.

All’impresa italiana spetta quindi il compito di accertare che i trasferimenti di dati verso gli Stati Uniti siano protetti da tali clausole o altri strumenti di garanzia, consultando i termini dei loro servizi.

C. APPLICARE MISURE SUPPLEMENTARI

Oggi purtoppo la sola applicazione di clausole contrattuali tipo non basta più per legittimare il trasferimento di dati verso gli USA, perché la Corte di Giustizia Europea, con la sentenza del Luglio scorso (ne avevamo già parlato qui: LINK) chiede misure di garanzie supplementari

La ragione è legata ad aspetti non solo normativi, ma anche di natura politica. La normativa interna americana consente infatti all’intelligence l’accesso e il monitoraggio sui dati anche di cittadini europei, per finalità di sorveglianza la cui discrezionalità è così ampia da non garantire un livello di protezione adeguato ai cittadini UE

A nulla valgono le solo clausole contrattuali tipo (o altre misure di protezione di tipo contrattuale), perchè come tali vincolano solo le parti e non le autorità governative americane che restano liberi di superare – e quindi vanificare – quegli accordi, qualora decidano di attivare programmi di sorveglianza per motivi di sicurezza nazionale.

E’ quindi necessario adottare misure supplementari, volte a garantire ai dati trasferiti verso gli Stati Uniti un livello di protezione sostanzialmente equivalente a quello previsto dall’Unione Europea.

2. UN ESEMPIO DI TRASFERIMENTO DATI CON APPLICAZIONE DI MISURE SUPPLEMENTARI

Per capire meglio quanto detto sopra riportiamo un esempio che trae ispirazione dalle recentissime raccomandazioni 1/2020, emanate dall’European Data Protection Board, l’organo comunitario deputato, tra le altre, a fornire un indirizzo uniforme sull’applicazione del GDPR.

Questo, lo scenario: una clinica privata italiana utilizza un servizio di cloud computing per archiviare a scopo di backup dati personali fra cui sono ricompresi anche dati sanitari.

In questa situazione specifica, ci sono tutti i presupposti per l’implementazione di misure ulteriori a supporto delle clausole contrattuali tipo o di altri strumenti di garanzia.
La ragione risiede, prima di tutto, nella natura dei dati trattati, dal momento che i dati sanitari sono dati considerati sensibili e quindi meritevoli di una maggiore tutela.
Non dobbiamo inoltre dimenticare che anche la sola “messa a disposizione” o “conservazione” dei dati – attività tipiche dei servizi cloud – sono veri e propri trattamenti ai sensi della normativa privacy europea e dovranno essere valutati come tali agli occhi del titolare del trattamento che si affida a tali fornitori.

L’azienda italiana dovrà quindi applicare una misura di garanzia supplementare. Ad oggi non esiste un elenco ufficiale di queste misure. Quindi la scelta sul tipo di misura da adottare è tutta nelle mani dell’azienda, chiamata a scegliere l’opzione più adatta per il tipo di trasferimento effettuato.

Restando all’esempio precedente, si potrebbe fare affidamento ad un sistema di CRITTOGRAFIA, al fine di cifrare i dati personali, cioè renderli incomprensibili a chi non possiede le relative chiavi crittografiche.

Il sistema, oltre ad essere sicuro, si rivela molto adatto al caso specifico perchè l’archivio per fini di back-up dei dati non richiede l’accesso di quei dati in chiaro. L’unica finalità, appunto, è quello di avere una copia di dati che, in caso di necessità, riesca a supplire ad eventuali malfunzionamenti o violazioni dei server principali.

Vediamo allora quali sono i passaggi da seguire per attivare questa spicifica misura supplementare:

  1. UTILIZZARE UN SISTEMA DI CRITTOGRAFIA AVANZATO PRIMA DEL TRASFERIMENTO DI DATI. In particolare, la crittografia deve essere robusta a tal punto da arginare possibili critto-analisi e accessi da parte dell’intelligence americana.
  2. GESTIRE LE CHIAVI CRITTOGRAFICHE IN MODO AFFIDABILE. In particolare, solo l’azienda italiana (esportatrice dei dati) deve essere tenuto alla loro conservazione. Il motivo è chiaro: se le chiavi fossero in possesso anche dell’azienda americana (destinataria dei dati), si vanificherebbe ogni sforzo, perchè a quel punto l’Intelligence americana sarebbe titolata a ordinarne la consegna.

LA CONSULENZA DELLO STUDIO.

Dopo l’uscita delle Raccomandazioni dell’EDPB non è più rinviabile un adeguamento normativo dell’azienda per quanto concerne i trasferimenti di dati verso gli Stati Uniti.

Le Raccomandazioni dell’EDPB dettano infatti una linea chiara ed ora spetta all’aziende applicarle.

In questa fase complessa e delicata, lo Studio Legale Baldrati & Strinati offre la consulenza necessaria per scegliere le soluzioni più adatte ai singoli casi concreti, valutando quale sia l’opzione migliore anche in termini di efficacia, senza pregiudicare il flusso produttivo e commerciale che spesso fa perno su servizi digitali americani.

 

Articoli recenti

Sistema di Vendita Piramidale: Starlife multata da AGCM

Sistema di Vendita Piramidale: Starlife multata da AGCM

Il caso Starlife: sistema di Vendita Piramidale al bando e multa di 850.000 Euro  Ancora una volta, l’AGCM (l’Autorità Garante della Concorrenza e del Mercato) ha affrontato un caso di Sistema di Vendita Piramidale (LINK PROVVEDIMENTO), la cui diffusione non sembra...

leggi tutto

Scopri anche

Il nostro magazine di approfondimento che racconta i nuovi scenari del diritto applicato al mondo digitale ed alle nuove tecnologie.

Vorresti una consulenza legale?

Programma la tua Videocall

Vorresti approfondire ?

Contattaci 

Tipologia