giovedì 14/07/2022 • 06:00
A seguito dell'esame del software Microsoft 365, sono state pubblicate le FAQ del Garante Tedesco sul trasferimento dei dati personali negli USA. Il problema dell'uso di servizi di terze parti si complica qualora i server siano collocati negli USA, che non forniscono adeguate garanzie in materia di protezione dei dati personali.
Ascolta la news 5:03
L'ormai annoso problema dell'uso di servizi di terze parti con server collocati al di fuori dello spazio SEE si complica ulteriormente qualora i server siano collocati negli Stati Uniti. La ragione è sempre la stessa: gli USA non forniscono adeguate garanzie in materia di protezione dei dati personali.
L'interesse verso la tutela delle persone fisiche attraverso una corretta gestione delle loro informazioni si è evoluta di pari passo con lo sviluppo delle tecnologie con cui i dati personali vengono trattati, fino a divenire un ambito normativo estremamente raffinato e destinato a tutelare un diritto oramai universalmente riconosciuto quale fondamentale.
Il dibattito attorno alla materia è stato vivacizzato solo pochi giorni fa con il provvedimento n. 224 del 9 giugno 2022 dell'Autorità Garante per la Protezione dei Dati Personali (di seguito anche solo “il Garante”), con cui il Garante ha dichiarato a chiare lettere l'illegittimità del trattamento di dati personali per mezzo dell' utilizzo di Google Analytics, di fatto confermando quanto già deciso dall'Autorità austriaca, prima, e francese, poi.
In particolare, le informazioni oggetto di trasferimento e oggetto di disamina nel provvedimento da parte del Garante riguardavano le interazioni degli utenti, per mezzo del loro indirizzo IP, con i siti web su cui sono installati i cookies di Google Analytics.
L'identificazione dell'utente in queste situazioni non è assolutamente da considerarsi ipotesi remota, tanto più che la stessa risulta maggiormente semplificata laddove l'utente acceda ai siti internet attraverso il proprio account Google, come nel caso oggetto di esame del Garante.
Il provvedimento n. 22422 del Garante esita, pertanto, in un ammonimento, nei confronti della società Titolare del trattamento dei dati personali, a conformare alla normativa privacy vigente entro 90 giorni i trattamenti di dati effettuati per mezzo di Google Analytics, mediante l'adozione di ulteriori misure di garanzia. In difetto di ciò il trattamento dovrà cessare.
Nel suddetto provvedimento, il nodo della questione veniva rintracciato nel trasferimento di dati personali verso gli Stati Uniti in assenza di garanzie adeguate, ai sensi dell'art. 46 del Regolamento (UE) 679/2016 (GDPR) in un contesto normativo in cui, a seguito della sentenza “Schrems II” del luglio 2020, la Corte di Giustizia Europea ha dichiarato inadeguati gli standard di protezione dei dati personali offerti dagli Stati Uniti e, di conseguenza, decaduta la validità del Privacy Shield. La Corte affonda le radici di tale decisione nella sproporzionata facoltà, data dall'Executive Order 12333 e dal Foreign Intelligence Surveillance Act, alle autorità pubbliche americane di poter accedere, senza alcun limite, alle informazioni trasferite negli USA in assenza di alcun mezzo di tutela giudiziaria riconosciuto ai soggetti interessati.
Le FAQ dell'Autorità tedesca
A conferma dell'orientamento già avviato dalle Autorità garanti austriaca, francese e italiana, l'Autorità tedesca (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit - BfDI) ha pubblicando sul proprio sito istituzionale le FAQ sulle problematiche legate all'utilizzo di Microsoft 365, destando non poche preoccupazioni stante diffusione capillare dei software di casa Microsoft, alcuni dei quali basato su applicazioni web o funzionalità cloud.
Sotto la lente dell'Autorità teutonica è finito, ancora una volta, il trasferimento di dati personali verso gli Stati Uniti in assenza di una valida base giuridica.
Nel caso specifico, sono stati esaminati i servizi offerti nel pacchetto Microsoft 365 che hanno evidenziato come, allo stato attuale, nonostante le trattative in corso con Microsoft per rivedere le licenze e i termini di trattamento dei dati personali, ci sono ancora regolamenti - nei termini di servizio online OST o nei regolamenti sulla protezione dei dati (DPA) di Microsoft - che non sono conformi ai requisiti di protezione dei dati richiesti dal GDPR.
In particolare, l'Autorità tedesca pone l'accento sul fatto che, sebbene Microsoft memorizzi su server europei i c.d. “dati del cliente” ovvero <<qualsiasi dato, inclusi qualsiasi file di testo, audio, video o immagine e software, fornito a Microsoft da o per conto della Società>>, risultano esclusi da questa forma di tutela:
Il Garante tedesco afferma, quindi, che <<in molti casi non è nemmeno chiaro quali dati vengano effettivamente inviati, poiché la trasmissione è spesso criptata e i dati non possono quindi essere visualizzati durante un audit. Nel complesso, vi è una mancanza di trasparenza per quanto riguarda i dati trattati da Microsoft che soddisfano i requisiti del Regolamento generale sulla protezione dei dati>>.
Inoltre, l'Autorità tedesca specifica che, anche in caso di archiviazione dei dati allocati presso i server europei, gli stessi potrebbero essere accessibili in forza di quanto stabilito dall'American Clarifyng Lawful Overseas Use of Data Act (“Cloud Act”) che offre, alle autorità americane l'opportunità di richiedere alle società statunitensi di divulgare dati allocati al di fuori degli Stati Uniti.
Tale circostanza, a giudizio dell'autorità tedesca, rende inadeguate le garanzie offerte da Microsoft rispetto agli standard di sicurezza imposti dalla legislazione europea, atteso che tale divulgazione sarebbe consentita ai sensi dell'art. 48 del GDPRsolo in presenza di un accordo di assistenza giudiziaria reciproca che, allo stato attuale, non esiste ancora.
Le condizioni per un uso conforme
Le condizioni cui il Garante tedesco subordina l'uso di Microsoft 365, al fine di renderlo conforme alla normativa privacy vigente, includono:
Le misure tecniche organizzative
Alle condizioni su esposte, il Garante tedesco ha ritenuto di chiarire che per quanto riguarda la trasmissione di dati di telemetria, sono particolarmente importanti una serie di misure tecnico-organizzative, tra cui le più significative sono, senza dubbio:
Tuttavia, sebbene tali indicazioni, il Garante federale non fornisce mai una chiara indicazione dell'applicazione di tali condizioni d'uso/misure sul possibile successo finale nella compliance.
Lo scenario futuro
Se da un lato le autorità europee proseguono nella loro attività di difesa dei diritti dei cittadini dell'Unione, dall'altro sorgono notevoli problematiche per tutti i Titolari del trattamento, considerando il largo utilizzo di strumenti messi a disposizione dalle big tech statunitensi e la loro diffusione capillare nel nostro territorio.
Nel marzo 2022, il presidente USA Joe Biden e la presidente della Commissione europea Ursula von der Leyen annunciavano in conferenza stampa a Bruxelles di aver raggiunto un accordo di principio sui flussi di dati transatlantici. Si è trattato, per ora, di un mero annuncio politico. Non resta che attendere la pubblicazione del documento, con l'auspicio che possa così trovarsi definitivamente soluzione alla vexata quaestio del trasferimento dei dati negli Stati Uniti, consentendo agli operatori europei di non dover rinunciare agli strumenti offerti dai colossi di diritto americano senza incorrere in violazioni del GDPR.
© Copyright - Tutti i diritti riservati - Giuffrè Francis Lefebvre S.p.A.
Rimani aggiornato sulle ultime notizie di fisco, lavoro, contabilità, impresa, finanziamenti, professioni e innovazione
Per continuare a vederlo e consultare altri contenuti esclusivi abbonati a QuotidianoPiù,
la soluzione digitale dove trovare ogni giorno notizie, video e podcast su fisco, lavoro, contabilità, impresa, finanziamenti e mondo digitale.
Abbonati o
contatta il tuo
agente di fiducia.
Se invece sei già abbonato, effettua il login.