Trasferimento dei dati: la necessaria valutazione della legislazione straniera?

da | 9 luglio 2021

Aggiornamento 2 novembre 2022

 

Il Comitato europeo per la protezione dei dati (GEPD) fornisce il suo quadro di riferimento per la conformità al GDPR quando si trasferiscono dati al di fuori dell'Unione Europea.

Raccomandazioni 01/2020 sulle misure che
integrano gli strumenti di trasferimento per garantire la conformità con
Il livello di protezione dei dati personali nell'UE
Versione 2.0
Adottato il 18 giugno 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

Si prevedeva che questo quadro avrebbe alleggerito le formalità contrattuali per le aziende (Norme Vincolanti d'Impresa o Clausole Contrattuali Standard) relative ai trasferimenti di dati al di fuori dell'Unione Europea.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

A meno che non rientrino nelle deroghe previste dall'Articolo 49 del RGPD.

Infatti, uno Stato sovrano può in ogni caso accedere ai dati su richiesta specifica: solo una richiesta generale di accesso ai dati potrebbe essere contestata per principio.

Per quanto riguarda i trasferimenti di dati verso gli Stati Uniti, non esiste ancora una decisione di adeguatezza da parte della Commissione Europea, dopo la cosiddetta sentenza Schrems I del 6 ottobre 2015 (C-362/14) (invalidazione di Safe Harbour) e la sentenza Schrems II del 16 luglio 2020 (C-311/18) (invalidazione di Privacy Shield). La legislazione statunitense riflette una concezione della privacy incentrata sulla protezione del cittadino americano, esclusi gli stranieri, che non è la concezione universalistica dell'Unione Europea.

Il Quarto Emendamento alla Costituzione degli Stati Uniti stabilisce: "Il diritto del popolo di essere sicuro nelle proprie persone, case, documenti ed effetti personali, contro perquisizioni e sequestri irragionevoli, non sarà violato, e nessun mandato sarà emesso, se non sulla base di una probabile causa, supportata da giuramento o dichiarazione, e che descriva in modo particolare il luogo da perquisire, e le persone o le cose da sequestrare".

Nonostante gli sforzi di avvicinamento (si veda il recente ordine esecutivo di Joe Biden del 7 ottobre 2022, che prevede un delegato del ramo esecutivo e persino un tribunale indipendente, ma le cui opinioni non sono vincolanti), la legge statunitense prevede ancora una sorveglianza di massa e l'assenza di rimedi efficaci per i diritti degli interessati.

Spetta quindi principalmente all'esportatore di dati, in un pericoloso esercizio di valutazione, verificare la legislazione straniera. Il Comitato fornisce un elenco di fonti di dati nell'Allegato III delle sue raccomandazioni.

Le nuove Clausole Contrattuali Standard ("SCC") (adottate dalla Commissione Europea il 4 giugno 2021 e pubblicate il 7 giugno 2021, che entreranno in vigore il 27 giugno 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) non esentano da questo esercizio.

La decisione provvisoria Doctolib può fornire alcuni indizi su come garantire un trasferimento di dati: ubicazione e crittografia in Francia, obbligo per la filiale europea di contestare la richiesta "generale" straniera, dati a bassa sensibilità, breve periodo di conservazione dei dati: https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Consulti un avvocato specializzato in diritto informatico

Trasferimento dati su cloud estero: la decisione Doctolib

da | 12 maggio 2021

CE, rif. ordine, 12 marzo 2021, Doctolib, req. n° 450163 - Decisione sommaria provvisoria

Nella sua decisione Doctolib, il Consiglio di Stato ha riconosciuto l'incompatibilità della legge statunitense con la protezione dei dati personali dell'UE.

Per quanto riguarda gli Stati Uniti, la sentenza Schrems II (CGUE 16 luglio 2020, causa C-311/18) ha invalidato lo Scudo per la privacy, l'equivalente di una decisione di adeguatezza, che ha permesso alle aziende soggette di esportare dati personali negli Stati Uniti. La legge statunitense consente alle autorità pubbliche di accedere ai dati personali senza fornire ai soggetti interessati rimedi efficaci.

Doctolib, che offre un servizio di prenotazione di appuntamenti medici online, ospita i suoi dati sui server di una filiale di Amazon Web Services (AWS), una società con sede negli Stati Uniti. Nell'ambito della campagna di vaccinazione contro il covid-19, Doctolib è stata incaricata dal Ministero della Solidarietà e della Salute di gestire i relativi appuntamenti.

Al giudice ad interim del Consiglio di Stato è stato chiesto di sospendere questa partnership in quanto non rispetterebbe il Regolamento generale sulla protezione dei dati (UE) 2016/679 del 27 aprile 2016 (GDPR).

Il giudice respinge in quel :

AWS Sarl, la filiale lussemburghese di AWS Inc. certificato come "host di dati sanitari". (CSP, art. L. 1111-8). I dati sono ospitati in centri situati in Francia e Germania e il contratto non prevede alcun trasferimento di dati negli Stati Uniti per motivi tecnici. Poiché AWS Sarl è una filiale di una società statunitense, potrebbe essere soggetta a una richiesta di accesso da parte delle autorità pubbliche statunitensi, secondo i richiedenti.

Dati in questione. - Il Consiglio di Stato osserva che "i dati in questione includono dati di identificazione personale e dati dell'appuntamento ma nessun dato sanitario sulle possibili ragioni mediche per l'idoneità alla vaccinazione", in quanto gli individui sono tenuti a giustificare la loro idoneità solo con una dichiarazione giurata.

Periodo di conservazione. - I dati " sarà cancellato al più tardi dopo un periodo di tre mesi. dalla data in cui viene fissato l'appuntamento, e ogni persona interessata che ha creato un account sulla piattaforma ai fini della vaccinazione può cancellarlo direttamente online.

Richiesta di accesso da parte delle autorità pubbliche statunitensi. - Al fine di garantire il loro rapporto, il contratto prevede cheAWS dovrà contestare "qualsiasi applicazione generica o non conforme ai regolamenti dell'UE". ". Questa misura è accompagnata da un "meccanismo per la sicurezza dei dati ospitati da AWS mediante un procedura di crittografia basata su una terza parte fidata situata in Francia al fine di impedire la lettura dei dati da parte di terzi".

> Il livello di protezione così messo in atto dalle parti "non può essere considerato manifestamente insufficiente in considerazione del rischio di violazione del RGPD".

 

La portata della decisione è relativa, in quanto si tratta di una decisione provvisoria ad interim che sanziona una "manifesta illegalità" e potrebbe quindi essere corretta. Da continuare.

 
Vedi anche
CNIL, deliberazione n. 2020-044 del 20 aprile 2020 e comunicato stampa del 14 ottobre 2020.
CE, rif. ordine, 13 ottobre 2020, n° 444937
 
 
it_ITItalian
it_ITItalian fr_FRFrench en_GBEnglish de_DE_formalGerman es_ESSpanish pt_PTPortuguese