CE, rif. ordine, 12 marzo 2021, Doctolib, req. n° 450163 - Decisione sommaria provvisoria

Nella sua decisione Doctolib, il Consiglio di Stato ha riconosciuto l'incompatibilità della legge statunitense con la protezione dei dati personali dell'UE.

Per quanto riguarda gli Stati Uniti, la sentenza Schrems II (CGUE 16 luglio 2020, causa C-311/18) ha invalidato lo Scudo per la privacy, l'equivalente di una decisione di adeguatezza, che ha permesso alle aziende soggette di esportare dati personali negli Stati Uniti. La legge statunitense consente alle autorità pubbliche di accedere ai dati personali senza fornire ai soggetti interessati rimedi efficaci.

Doctolib, che offre un servizio di prenotazione di appuntamenti medici online, ospita i suoi dati sui server di una filiale di Amazon Web Services (AWS), una società con sede negli Stati Uniti. Nell'ambito della campagna di vaccinazione contro il covid-19, Doctolib è stata incaricata dal Ministero della Solidarietà e della Salute di gestire i relativi appuntamenti.

Al giudice ad interim del Consiglio di Stato è stato chiesto di sospendere questa partnership in quanto non rispetterebbe il Regolamento generale sulla protezione dei dati (UE) 2016/679 del 27 aprile 2016 (GDPR).

Il giudice respinge in quel :

AWS Sarl, la filiale lussemburghese di AWS Inc. certificato come "host di dati sanitari". (CSP, art. L. 1111-8). I dati sono ospitati in centri situati in Francia e Germania e il contratto non prevede alcun trasferimento di dati negli Stati Uniti per motivi tecnici. Poiché AWS Sarl è una filiale di una società statunitense, potrebbe essere soggetta a una richiesta di accesso da parte delle autorità pubbliche statunitensi, secondo i richiedenti.

Dati in questione. - Il Consiglio di Stato osserva che "i dati in questione includono dati di identificazione personale e dati dell'appuntamento ma nessun dato sanitario sulle possibili ragioni mediche per l'idoneità alla vaccinazione", in quanto gli individui sono tenuti a giustificare la loro idoneità solo con una dichiarazione giurata.

Periodo di conservazione. - I dati " sarà cancellato al più tardi dopo un periodo di tre mesi. dalla data in cui viene fissato l'appuntamento, e ogni persona interessata che ha creato un account sulla piattaforma ai fini della vaccinazione può cancellarlo direttamente online.

Richiesta di accesso da parte delle autorità pubbliche statunitensi. - Al fine di garantire il loro rapporto, il contratto prevede cheAWS dovrà contestare "qualsiasi applicazione generica o non conforme ai regolamenti dell'UE". ". Questa misura è accompagnata da un "meccanismo per la sicurezza dei dati ospitati da AWS mediante un procedura di crittografia basata su una terza parte fidata situata in Francia al fine di impedire la lettura dei dati da parte di terzi".

> Il livello di protezione così messo in atto dalle parti "non può essere considerato manifestamente insufficiente in considerazione del rischio di violazione del RGPD".

 

La portata della decisione è relativa, in quanto si tratta di una decisione provvisoria ad interim che sanziona una "manifesta illegalità" e potrebbe quindi essere corretta. Da continuare.

 
Vedi anche
CNIL, deliberazione n. 2020-044 del 20 aprile 2020 e comunicato stampa del 14 ottobre 2020.
CE, rif. ordine, 13 ottobre 2020, n° 444937
 
 
it_ITItalian