in attesa del nuovo Privacy Shield

Trasferimento dati su cloud Usa: quali soluzioni per le aziende italiane

Dopo l’invalidazione del Privacy Shield la vera domanda è: “Quale valutazione devono effettuare le aziende per continuare a usare i servizi cloud il cui venir meno comporterebbe la necessità di una riorganizzazione della struttura del business?”. Proviamo a fare il punto della situazione

10 Mag 2022
Maddalena Valli

Studio Legalitax

cloud - Strategia Cloud Italia - Gaia-X

Ogni giorno un gran numero di aziende italiane si avvale nello svolgimento delle proprie attività, di servizi basati sul cloud forniti da società con sede fuori dai confini europei, per lo più negli Stati Uniti, o di loro controllate con sede nella Comunità Europea (UE).

La problematica, a seguito dell’invalidazione del Privacy Shield nel luglio 2020[1], è ormai ben nota ed oggetto di plurimi studi volti ad evidenziare lo stato di potenziale criticità generatosi a seguito della decisione della Corte di Giustizia dell’Unione Europea (CGUE).

I nostri dati sul cloud delle big tech, anche l’Europa (EDPS) vuole vederci chiaro

L’introduzione del Cloud Act, le normative Usa sulla sorveglianza e l’invalidazione del Privacy Shield

Nel marzo 2018 è stato introdotto negli USA il c.d. “Cloud Act” (Clarifying Lawful Overseas Use of Data – CLOUD – Act”), un provvedimento normativo federale che consente alle autorità USA di acquisire dati informatici dagli operatori di servizi di cloud computing “regardless of whether such communications, records or other informations are located within or outside of USA” ossia indipendentemente dal fatto che tali comunicazioni, registrazioni o altre informazioni si trovino all’interno o all’esterno degli Stati Uniti.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Tale intervento normativo impatta non solo sugli Internet Server provider (ISP) intese sia come compagnie private sottoposte alla giurisdizione degli Stati Uniti ovvero le società costituite negli USA e le loro filiali o controllate all’estero, ma anche su società straniere che hanno una filiale negli Stati Uniti o che operano sul mercato statunitense.

L’introduzione del Cloud Act nell’ordinamento statunitense si deve alla opposizione di Microsoft nel 2013 alla richiesta di accesso alle informazioni contenute nei server collocati in Irlanda avanzata dal Federal Bureau of Investigation (FBI), sulla base dello Stored Communications Act del 1986 (SCA). L’opposizione di Microsoft si fondava sulla inapplicabilità dello SCA per i dati ubicati al di fuori del territorio degli Stati Uniti. Tuttavia, la risoluzione della questione è stata operata con l’entrata in vigore del Cloud Act, che ha portato con sé non poche problematiche, in quanto le autorità statunitensi avrebbero il potere di accedere ai dati contenuti in qualsiasi archivio informatico, ancorché ubicato fuori tal territorio statunitense, in palese conflitto con le logiche introdotte dal Regolamento (EU) 679/2016 (il “GDPR”) ove i server fossero collocati nella UE. Sul punto, infatti, si richiamano il Considerando 115 e l’art. 48 del GDPR.

Trasferimento dati extra UE, cosa sta succedendo dopo Schrems II

Il Considerando 115 del GDPR prevede che “Alcuni paesi terzi adottano leggi, regolamenti e altri atti normativi finalizzati a disciplinare direttamente le attività di trattamento di persone fisiche e giuridiche poste sotto la giurisdizione degli Stati membri. Essi possono includere le sentenze di autorità giurisdizionali o le decisioni di autorità amministrative di paesi terzi che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento e non sono basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria. L’applicazione extraterritoriale di tali leggi, regolamenti e altri atti normativi potrebbe essere contraria al diritto internazionale e ostacolare il conseguimento della protezione delle persone fisiche assicurata nell’Unione con il presente regolamento. I trasferimenti dovrebbero quindi essere consentiti solo se ricorrono le condizioni previste dal presente regolamento per i trasferimenti a paesi terzi. Ciò vale, tra l’altro, quando la comunicazione è necessaria per un rilevante motivo di interesse pubblico riconosciuto dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento”.

Alla contrarietà al diritto internazionale degli interventi normativi di paesi terzi in cui si ammette un controllo del trasferimento dei dati, l’art. 48 del GDPR aggiunge che “le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria, fatti salvi gli altri presupposti di trasferimento a norma del presente capo”, ossia che il trasferimento dei dati raccolti in un paese terzo può avvenire sulla base di una sentenza o di una decisione amministrativa esclusivamente ove sussista un accordo internazionale con il paese in questione.

Seppur con il Privacy Shield, adottato nel luglio 2016 con la Decisione 2016/1250 della Commissione europea, sembrava essere stata definita una regolamentazione esaustiva relativamente al trasferimento di dati extra-UE, la sua invalidazione ha fatto riemergere una delle principali problematiche per i trattamenti effettuati dalle società.

Il Privacy Shield, infatti, si sostanziava in un accordo tra UE e USA (fra Commissione Europea e Dipartimento del Commercio degli Stati Uniti) finalizzato a tutelare la riservatezza dei dati personali dei cittadini europei in caso di trasferimento dei dati fuori dai confini europei per scopi commerciali. Con l’invalidazione operata dalla sentenza della Corte di Giustizia dell’Unione Europea, le società, hanno dovuto individuare una base giuridica differente per poter trasferire i dati dei propri clienti, posto che ai sensi del titolo V del GDPR il trasferimento dei dati è ammissibile solo sulla base di:

  • una decisione di adeguatezza (come il Privacy Shield);
  • Trasferimento soggetto a garanzie adeguate (clausole standard tra cui quelle contrattuali);
  • Norme vincolanti d’impresa
  • Il consenso dell’interessato al trasferimento.

Ricordiamo inoltre che secondo i disposti della legge federale sulla sorveglianza statunitense (la FISA702 (50 USC § 1881)) del 2008 i “fornitori di servizi di comunicazione elettronica” statunitensi possono essere obbligati a concedere alle autorità di sicurezza statunitensi l’accesso ai dati personali di “persone non statunitensi”, definite come chiunque non sia cittadino statunitense o residente permanente negli Stati Uniti. La legge ha consentito di fatto la realizzazione di programmi di sorveglianza generalizzata come i noti PRISM, Tempora e Upstream. Non è prevista una richiesta preventiva di approvazione giudiziaria individualizzata per la sorveglianza delle persone non statunitensi.

Le nuove Clausole Contrattuali Standard e la documentazione idonea al trasferimento dei dati

Il 4 giugno 2021 la Commissione europea ha adottato la decisione di esecuzione 2021/914, con cui sono state aggiornate le clausole contrattuali standard fino a quel momento disciplinate dalle decisioni del 2001 (decisione 2001/497/CE) e del 2010 (decisione 2010/87/UE). Le Clausole Contrattuali Standard (CCS-SCC), come anticipato, costituiscono, insieme alle norme vincolanti d’impresa e al giudizio di adeguatezza, uno strumento di cui i Titolari del trattamento possono servirsi per il trasferimento legittimo dei dati trattati verso paesi terzi ai sensi del GDPR.

Le nuove Clausole Contrattuali Standard, entrate in vigore il 27 giugno 2021, prevedono che gli esportatori di dati devono documentare la propria Valutazione dell’impatto del trasferimento (TIA) e fornire tale documentazione su richiesta all’autorità di controllo competente.

La valutazione circa l’adeguato livello di sicurezza deve comprendere l’intera filiera dei vari responsabili e considerare aspetti sia teorici che pratici relativi ai trattamenti, a cominciare dallo stato dell’arte, dai costi di attuazione, dalla natura, l’ambito, il contesto e le finalità di ogni attività di trattamento, fino all’analisi dei rischi connessi al trattamento per l’interessato e alla necessità di ricorrere alla crittografia o alla pseudonimizzazione, anche durante la trasmissione, qualora lo scopo del trattamento possa essere realizzato in tal modo.

Tuttavia, alcune Autorità di Controllo non hanno ritenuto le suddette nuove Clausole come base giuridica sufficiente a garantire la tutela dei dati in caso di trasferimento[2], con decisioni che al momento non hanno comportato l’applicazione di sanzioni ma sono degli avvertimenti chiari della direzione indicata dai Garanti.

Pertanto, se è vero che una definitiva soluzione alla problematica parrebbe essere solo la sottoscrizione di un nuovo accordo politico tra UE e USA, è pur vero che le aziende non possono ad oggi privarsi di quei servizi cloud su cui hanno basato gran parte del proprio business. A tal riguardo, dunque, le società dovrebbero effettuare con un team di consulenti specializzati nel settore una serie di valutazioni finalizzate a garantire la massima tutela dei dati in caso di trasferimento extra-UE, sulla scorta delle dichiarazioni di adeguamento fornite dai fornitori. Seppur non è detto che le suddette valutazioni possano essere considerate in sede di accertamento sufficienti o idonee, è ragionevole ritenere che possano essere considerate di buon grado da parte delle Autorità di Controllo.

Soluzioni possibili

È innegabile che le summenzionate criticità abbiano dei riflessi su talune organizzazioni in cui è oggettivamente complesso, economicamente impegnativo e forse irrealizzabile, quanto meno in tempi celeri, valutare soluzioni alternative a quelle dell’utilizzo di queste tipologie di cloud. Quindi, nell’attesa di un nuovo accordo fra Ue e USA, recentemente annunciato ma ancora in una fase embrionale di elaborazione, la vera domanda da porsi è: “Quale valutazione devono effettuare tali aziende al fine di poter continuare ad utilizzare i predetti servizi il cui venir meno comporterebbe la necessità di una importante riorganizzazione della struttura del business?”

Ad oggi non vi sono impedimenti normativi formali all’utilizzo di servizi cloud forniti da aziende con sede negli Usa o da queste controllate, sia che questi servizi riguardino piattaforme di hosting dei dati o erogazione di cookies ed altre tecnologie di tracciamento se tutto avviene nel rispetto dei numerosi disposti che le varie leggi applicabili (nazionali ed europee) stabiliscono. Non possiamo infatti nel 2022 prescindere dal reticolo sempre più intricato di Regolamenti e leggi che forniscono il perimetro di gestione dei dati personali; le aziende al tempo stesso hanno sempre più difficoltà a percepire tali norme come utili a proteggere i dati personali, vedendole come un intralcio alla competitività sui mercati. La compliance nella gestione dei dati si sta confrontando con uno scenario in cui vi sono l’ormai prossimo Digital Markets Act, il Digital Services Act[3], il Data Governance Act (che interessa settori strategici quali trasporti e sanità), il Regolamento e-Privacy, la Network and Information Security (NIS) Directive  2016/1148 e la ormai prossima “NIS 2” che vedrà le aziende classificate in “essenziali” e/o “importanti” a seconda della criticità dei servizi che offrono.

È fondamentale quindi identificare come giungere ad una compliance dimostrabile all’impianto normativo applicabile, mediante una attenta analisi dei contratti e delle misure poste in atto per garantire la sicurezza dei dati dai vari soggetti identificati, nella filiera di trattamento dei dati.

Concretamente, i principali punti di attenzione sono:

  • I subfornitori di servizi, da identificare come “altri responsabili di trattamento” ex art.28 c.4 del Gdpr e sui quali devono venire trasferiti gli obblighi sottoscritti fra titolare e responsabile. Ricordiamo che secondo lo stesso articolo del Gdpr “Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile”.
  • Le dichiarazioni di manleva, spesso proposte nei contratti in modo difforme ai dettami dell’art. 82 GDPR o con limitazioni negli importi che potrebbero comportare l’inefficacia di azioni di rivalsa da parte del titolare di trattamento.
  • Come stabilito dal Working Party 29 (oggi European Data Protection Board – EDPB) nella sua Opinion del 2010[4], l’espressione “intervenire per conto di” significa servire gli interessi di un altro soggetto, evocando così il concetto giuridico di mandato. La designazione a responsabile del trattamento appare dunque riconducibile all’istituto del mandato (artt. 1703 e ss. del Codice Civile), conseguentemente l’obbligo di adottare idonee misure di sicurezza è ritenuto una obbligazione di mezzi, per la quale si applicano i criteri generali sulla imputabilità e sulla responsabilità.
  • L’evoluzione della normativa deve venire valutata e prevista: devono venire inserite nella nomina a responsabile apposite clausole che prevedano la successione ed evoluzione delle leggi, in modo da garantire la compliance del responsabile agli obblighi in base alle previsioni legislative che possono modificarsi nel tempo per la durata del contratto.
  • Verificare che le CCS/SCC adottate nei contratti rispondano alle ultime rese disponibili dalle Autorità competenti[5], come precedentemente indicato.
  • Verificare l’elenco dei Paesi la cui normativa è considerata equiparabile ai sensi dell’art. 45, par. 2 Gdpr sulla base di decisioni di adeguatezza[6], in modo da semplificare ove possibile i passaggi dell’analisi di compliance.
  • Adottare ove possibile le Binding Corporate Rules – BCR[7], un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) individuati all’art. 47, paragrafi 1 e 2, del GDPR, al cui rispetto sono tenute tutte le entità (che agiscono in qualità di titolare o responsabile del trattamento) appartenenti ad uno stesso gruppo societario (corporate).

Conclusioni

In conclusione, per i trasferimenti di dati personali verso fornitori con sede negli Usa, suggeriamo di considerare, in una logica di privacy by design, di richiedere il consenso preventivo degli interessati in modo che costituisca la base giuridica del trasferimento. Tale procedura prevede di fornire una specifica informativa indicante, oltre a quanto stabilito dall’art.13 GDPR, i dati che sarebbero oggetto di (anche ipotetico o possibile) trasferimento e quindi passibili di accesso da parte delle autorità statunitensi ai sensi delle citate normative federali esistenti negli Usa.

Note

  1. Sul punto si veda la sentenza della Corte di Giustizia dell’Unione Europea del 16 luglio 2020 nella causa C-311/18 tra il Data Protection Commissioner/Maximilian Schrems e Facebook Ireland https://curia.europa.eu/juris/liste.jsf?language=it&num=C-311/18
  2. Si pensi al provvedimento emesso il 15 marzo 2021 dall’Autorità tedesca nei confronti della società FOGS Magazin per l’utilizzo di Mailchimp- Rocket Science Group LLC ovvero al provvedimento adottato dall’Autorità Garante Austrica nei confronti di una società per l’utilizzo di Google Analytics.
  3. Lo scorso 23 aprile la Commissione europea ha approvato il Digital Service Act (DSA), un pacchetto di norme con cui si impongono ai Big Tech gestori di piattaforme online obblighi finalizzati ad assicurare agli utenti le stesse garanzie legali dispongono nella vita off-line.Tra le novità normative proposte dal DSA si richiamano innanzitutto quelle in materia di profilazione che prevedono il divieto di contenuti pubblicitari mirati basati sulla profilazione per i servizi rivolti anche ai minori, nonché il divieto di contenuti pubblicitari mirati basati sulla profilazione di categorie speciali di dati che permettano di individuare soggetti fragili.

    Si tratta di novità normative che assumo un gran rilievo per le imprese, in quanto la violazione comporterebbe sanzioni fino al 6% del fatturato annuale.

    In questo modo, dunque, se da un lato si cerca di garantire maggiori tutele per gli utenti, dall’altro l’attività delle aziende deve essere ancor più improntata ad un utilizzo consapevole degli strumenti di cui dispongono.

  4. (https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf)
  5. Oggi sono quelle del 2021 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_it
  6. Elenco consultabile ad esempio qui https://www.garanteprivacy.it/temi/trasferimento-di-dati-all-estero
  7. Norme vincolanti di impresa, vedasi https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4