Articolo Pubblicato da IOTtoday il 27 Novembre 2020
L’avv. Valentina Frediani di Colin & Partners Srl parla di come il Privacy Shield sia cambiato e cosa accade nel mondo dell’IoT, e non solo…
La Corte di giustizia dell’Unione europea lo scorso 16 luglio 2020 ha dichiarato non validi i trasferimenti dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor. La Corte, infatti, ha ritenuto che i requisiti del diritto interno degli Stati Uniti comportino limitazioni alla protezione dei dati personali e siano incompatibili con i principi stabiliti dal nostro Regolemento Europeo per la protezione dei dati personali, potendo le autorità pubbliche degli Stati Uniti accedere per fini connessi alla sicurezza nazionale ai dati personali trasferiti dall’UE, senza alcun tipo di garanzia per gli interessati.
Questa sentenza (denominata Schrems II, nominativo del ricorrente) ha provocato e provoca forti impatti anche sul mondo IoT. La sentenza infatti rende illeciti i trasferimenti effettuati anche all’interno di sistemi informativi propri delle multinazionali (che hanno sedi tra USA ed Europa e trasferiscono dati verso la prima) nonché il ricorso a servizi erogati da aziende con sede o comunque allocazione dei dati negli USA stessi.
A fronte di tale pronuncia, il 10 novembre 2020 è stata emessa dal Comitato Europeo per la protezione dei dati (EDPB) la Raccomandazione 1/2020 che suggerisce per le aziende europee degli step da porre in essere per valutare la conformità dei trattamenti e se poter continuare a trasferire i dati individuando anche misure supplementari sia di natura tecnica, che organizzativa che contrattuale.
Le aziende che quindi stanno usufruendo di servizi esternalizzati o comunque stanno trasferendo dati verso gli USA dovranno ben conoscere la Raccomandazione e fare le valutazioni indicate in quanto potrebbero rischiare sia un blocco dei dati che sanzioni. Ma occorre applicare ragionevolezza e capire praticamente quali sono le azioni da intraprendere.
GUARDA IL VIDEO
Innanzi tutto è essenziale capire quali trattamenti costituiscono oggetto di trasferimento. In particolare se dai contratti stipulati per allocare i nostri dati ed usufruire magari di servizi connessi alla gestione e valutazione del dato, vi sono dei trasferimenti verso gli USA. Ovviamente stiamo parlando di trasferimenti che abbiano ad oggetto dati personali quindi dati collegati a dipendenti, fornitori piuttosto che clienti. Non prendiamo in considerazione i soli dati legati alla produzione se non sono associati a dati personali, perché la sentenza si applica solo a dati facenti riferimento a persone fisiche (nome, cognome, dati sanitari, ecc.).
Una volta verificata la sussistenza dovremmo capire se siamo in grado come azienda che li “esporta” verso sistemi statunitensi, di applicare la crittografia cosiddetta forte piuttosto che pseudonimizzazione (laddove le informazioni aggiuntive necessarie per risalire a persone fisiche identificabili siano in esclusivo possesso del Titolare ed eventuali autorità pubbliche del Paese destinatario non abbiano informazioni tali da consentire detta identificazione). Si pensi all’ipotesi di dati di produzione connessi ad operatori attivi sui macchinari, dove il dato trasferito sia un codice identificativo del lavoratore in possesso esclusivamente del Titolare.
Occorrerà anche predisporre misure organizzative ovvero misure che possano consistere in politiche interne, metodo organizzativi e standard da poter imporre ai destinatari dei dati per poter garantire la protezione dei dati, e redigere contratti che prevedano specifiche sulle responsabilità di protezione ed accesso ai dati stessi. È opportuno essere chiari: è ovvio che per le aziende europee che hanno attualmente in essere contratti e relazioni attive con gli USA è impensabile da un giorno all’altro come pretenderebbe la sentenza Schrems, di bloccare il trasferimento dei dati.
Per cui occorre, in un’ottica di gestione del rischio, seguire gli step di analisi indicati dalla Raccomandazione ma soprattutto valutare i prossimi progetti che includano un trasferimento del genere alla luce delle misure tecniche indicate dalla Commissione europea. Le garanzie tecniche ed organizzative come descritte nella Raccomandazione divengono difatti un “check” preselettivo del Fornitore nel momento in cui si vadano ad avviare nuovi progetti. Ciò sia alla luce di un futuro investimento che partirebbe già sanzionabile, sia alla luce dei rischi connessi ai dati stessi ed alle responsabilità del Titolare verso quei soggetti a cui i dati fanno riferimento, perchè potrebbero avanzare richieste risarcitorie al Titolare non adeguatosi alle norme vigenti.
Vuoi saperne di più?
L’Avvocato Giulia Rizza ha analizzato e sintetizzato, in un White Paper, i punti salienti della Raccomandazione.
Per ricevere, gratuitamente, il nostro White Paper scrivi a comunicazione@consulentelegaleinformatico.it
L'articolo Privacy Shield, il trasferimento dati negli Stati Uniti è sempre illecito? proviene da Colin.