DATI AZIENDALI NEI CLOUD USA: VIENE RISPETTATO IL GDPR?

Dati aziendali nei cloud usa - conformità GDPR

Numerose aziende italiane si affidano a servizi di cloud computing internazionali, in particolare statunitensi (es. Dropbox, Google, Amazon, Office, ecc.). Questa tendenza produce un flusso di dati extra UE e una acquisizione di dati personali da parte di società terze, causando una perdita del controllo dei dati “europei”. I dati coinvolti, oltre a contenere informazioni che possono riguardare il know how aziendale, spesso contengono dati personali (di clienti, fornitori, dipendenti, ecc), causando problemi di conformità al GDPR.

LE CONDIZIONI DEL TRASFERIMENTO EXTRA UE

L’art. 44 del GDPR delinea un principio generale per il trasferimento dei dati personali Extra Ue, stabilendo che può aver luogo soltanto se il Titolare ed il Responsabile del trattamento rispettino i principi imposti dalla normativa privacy europea. Il fine di tale disposizione è assicurare che il livello di protezione delle persone fisiche garantito dal regolamento europeo non sia pregiudicato. In sintesi, il trasferimento dati extra UE è possibile ove sia presente una decisione di adeguatezza da parte della Commissione Europea, relativa al livello di protezione offerto dal Paese terzo; in mancanza della decisione è possibile solo se l’esportatore abbia verificato la presenza di garanzie adeguate (le norme vincolanti d’impresa, le clausole tipo di protezione dei dati adottate dalla Commissione, un codice di condotta, …). 

LA FINE DEL PRIVACY SHIELD

Fino al 16 Luglio 2020 era in vigore la decisione di adeguatezza n. 2016/1250, conosciuta come “PRIVACY SHIELD”, cioè lo scudo UE-USA che definiva i principi di protezione dei dati personali dei cittadini europei trasferiti al di là dell’Atlantico all’interno degli accordi commerciali con aziende statunitensi. Tuttavia, nel luglio 2020, la Corte di Giustizia europea ,con la c.d. “Sentenza Schrems II”, ha invalidato la citata decisione di adeguatezza: questo perché, nel marzo 2018, in USA è entrato in vigore il c.d. “Cloud Act”, il quale stabilisce che le autorità giudiziarie ed amministrative statunitensi, al fine di accelerare e rendere più efficienti le loro indagini, possano richiedere ai fornitori di servizi cloud soggetti alla giurisdizione statunitense la produzione, la conservazione o il backup di dati ed informazioni contenuti in documenti elettronici conservati in Paesi terzi, tra i quali ovviamente anche l’Unione Europea. Il Cloud Act pone diverse criticità per quel che concerne gli ordini di esibizione di dati formulati da autorità giudiziarie o amministrative USA (è inoltre irrilevante il luogo in cui si trovano i dati travolti dall’ordine di esibizione, con la conseguenza che si applica anche ad una società americana che garantisce la localizzazione di data center in UE). Secondo la Corte di Giustizia Europea, la normativa degli Stati Uniti, e in particolare taluni programmi che consentono l’accesso da parte delle autorità pubbliche statunitensi, per finalità di sicurezza nazionale, comportano limitazioni della protezione dei dati personali inconciliabili con il GDPR.

COSA SUCCEDE ORA? IL TRANSFER RISK ASSESSMENT (TRA)

Con l’abolizione del Privacy Shield tutti i trasferimenti di dati verso gli USA sono di default illegali e passibili di sanzione, salvo il rispetto delle condizioni richieste dalla normativa e dalla giurisprudenza europea: la stessa sentenza “Schrems II” ha introdotto nell’ordinamento il principio del c.d. “TRANSFER RISK ASSESSMENT” (TRA), il quale presuppone che, se il Paese Terzo non è fra i Paesi riconosciuti da una decisione della Commissione, si deve fare affidamento su uno degli strumenti di garanzia dell’art. 46 del GDPR (es. clausole contrattuali standard). Dette clausole, però, non forniscono garanzie da tutti i rischi di tutti i Paesi terzi e, tra questi, figurano proprio gli USA. In questo senso, secondo la CGUE, il Titolare del trattamento, per verificare la necessità di misure di garanzia ulteriori rispetto alle CCS, dovrà eseguire un TRANSFER RISK ASSESSMENT avente ad oggetto:

  • i rischi connessi al “Paese Destinatario” (data centers) (es. esistono accordi anche parziali di adeguatezza; qual è il framework legale sui diritti umani; il suo sistema legale e giudiziario è riconosciuto lo stato di diritto facile accesso alla giustizia; mezzi di ricorso efficaci; indipendenza del sistema giudiziario; come vengono riconosciute ed eseguite le sentenze estere; leggi e prassi che regolano l’accesso ai dati da parte di terzi, incluse pratiche di sorveglianza delle autorità pubbliche).
  • i rischi connessi al tipo di trasferimento (tipo di dati personali trasferiti, es. dati anagrafici, dati sanitari; categorie di interessati, es. minori; tipologie di soggetti coinvolti nel trasferimento, es. più fornitori coinvolti oltre al fornitore Cloud?; scopo del trasferimento, es. obblighi di legge; formato dei dati, es. documenti; contenuti multimediali; la sicurezza tecnologica e organizzativa di cui dispone il data importer per proteggere i dati, es. secure file transfer protocol; la possibilità che il dato venga trasferito a più entità).
  • i rischi connessi all’impatto del trasferimento sugli interessati (selezionare quali dati migrare nel cloud; record chiaro sulle categorie di dati che si intendono migrare nel cloud, es. per tipologie di dati/tipologie di transizioni; attenzione al principio di minimizzazione, es. statistiche di utilizzo o cronologie su transazioni degli utenti; due diligence su metadati; individuazione delle corrette basi giuridiche; trasparenza nei confronti dell’interessato sul trattamento).

COSA FARE QUANDO IL “TRA” RESTITUISCE UNA VALUTAZIONE DI RISCHIO 

In tale caso, il solo ricorso alle CCS non consente di operare un lecito trasferimento dei dati Extra-UE, dovendo essere adottate ulteriori misure di garanzia, tra le quali:

  • Misure tecniche: 
    • Proteggere con password i dati prima di trasferirli su cloud. Fornire la password in modo separato all’invio dei dati nel caso in cui il fornitore cloud elabori i dati oltre a memorizzarli.
    • Crittografare i dati prima del trasferimento utilizzando una soluzione di crittografia appropriata e adeguate procedure di gestione delle chiavi;
    • Applicare tecniche di pseudonimizzazione ai dati prima del trasferimento e il fornitore non ha accesso alle informazioni aggiuntive
  • Misure organizzative:
    • Il fornitore cloud esegue ulteriori controlli interni all’interno della sua organizzazione per assicurarsi che i dati non vengano condivisi con terze parti o autorità pubbliche, se non all’interno di un procedimento proprio di uno stato di diritto
    • Il Fornitore cloud ha una policy rigorosa e definita laddove riceve richieste o ordini legali per l’accesso di terzi ai dati.

 

COME POSSIAMO AIUTARTI?

Per verificare il corretto uso dei cloud aziendali ed il rispetto della normativa in materia di trasferimenti extra UE, abbiamo pensato al TRANSFER RISK ASSESSMENT STRESS TEST! che comprende:

Dati aziendali nei cloud usa - conformità GDPR

Se invece vuoi cogliere l’occasione per aggiornare e rivedere a 360° l’adeguamento privacy della tua azienda, mettiamo a disposizione il servizio di PRIVACY STRESS TEST ( scopri di più ) , con inclusa anche la valutazione del TRANSFER RISK ASSESSMENT.

Desideri ricevere maggiori informazioni?