Schrems II

Trasferimento dei dati Usa-Ue: cosa ci insegna la diatriba tra autorità in Francia

Il rischio di accesso da parte delle autorità Usa ai dati sensibili di cittadini francesi contenuti nell’Health Data Hub (ospitato da Microsoft), ha portato a due diverse interpretazioni, più o meno rigorose, della decisione Schrems II da parte dell’autorità per la protezione dei dati e del Conseil d’Etat. Facciamo il punto

29 Ott 2020
Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza

intelligenza artificiale

Agli inizi di ottobre 2020 l’autorità francese per la protezione dei dati (Commission Nationale de l’Informatique et des Libertés – CNIL) ha espresso preoccupazione per l’hosting da parte di Microsoft (UE) della banca dati centralizzata francese sulla salute pubblica (Plateforme des données de santé o Health Data Hub). Tuttavia, da un fronte diverso, la massima Corte amministrativa francese (Conseil d’Etat) ha emesso a metà ottobre 2020 una sentenza che dimostra di non condividere completamente la posizione della CNIL[1].

Ricostruiamo la vicenda per comprenderne le possibili conseguenze.

L’Health Data Hub, il nodo dell’host Microsoft

La CNIL si è espressa sull’Health Data Hub, facendo in modo che il governo francese mettesse fine a qualsiasi trasferimento di dati verso gli Stati Uniti nel contesto dell’Hub, e raccomandando un cambiamento del fornitore di hosting dei dati personali e particolari dei cittadini francesi. La posizione “non vincolante” della CNIL, non crea un divieto generale di trasferimento di dati particolari verso gli Stati Uniti ovvero un divieto di utilizzo di fornitori di servizi cloud americani; tuttavia la sua posizione incoraggia i titolari del trattamento dei dati (es. cloud provider) a porre quanto prima in atto una valutazione del rischio, come previsto dalla decisione Schrems II[2], e ad attuare forti misure di salvaguardia per garantire la protezione dei dati personali (principalmente relativi alla salute) dall’accesso da parte delle autorità statunitensi.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

L’impatto della decisione Schrems II sulla legittimità dei trasferimenti di dati particolari verso gli USA sulla base di clausole contrattuali standard (SCC) è stato quindi altamente impattante. All’inizio del procedimento d’oltralpe, il servizio di hosting fornito da Microsoft ha comportato l’accesso remoto da parte dei servizi informatici di Microsoft, a fini di manutenzione e supporto. L’accesso remoto si è detto limitato ai log e non comportava alcun accesso ai dati relativi alla salute. Tuttavia, permangono l’applicabilità delle leggi statunitensi sulla sorveglianza – CLOUD Act, sezione 702 della FISA (Foreign Intelligence Surveillance Amendment Act), Executive Order 12333 – al fornitore di servizi di hosting nonché i rischi associati a potenziali richieste di accesso ai dati ospitati all’interno dell’Unione Europea da parte di tribunali/autorità statunitensi.

L’interpretazione rigorosa di Schrems II da parte della CNIL

La CNIL espone la sua interpretazione della decisione Schrems II, la quale ha condizionato l’utilizzo delle Standard Contractual Clauses all’adozione di ulteriori misure di salvaguardia. La CNIL ritiene che tali salvaguardie supplementari siano “abbastanza difficili” da attuare per i trasferimenti a fornitori direttamente soggetti all’articolo 702 della FISA e all’OE 12333, come i fornitori di servizi di comunicazione elettronica. Quando il destinatario non è direttamente soggetto a tali disposizioni, i rischi sono legati al trasferimento di dati attraverso infrastrutture, come i cavi di comunicazione sottomarini, soggetti a tali programmi di sorveglianza e possono essere adeguatamente mitigati mediante la cifratura dei dati. A causa delle sue preoccupazioni circa la fattibilità dell’implementazione di sufficienti misure di salvaguardia, nel contesto dell’Health Data Hub, la CNIL ha raccomandato di fermare tutti i trasferimenti di dati verso gli Stati Uniti, e il 10 ottobre 2020 il Ministero della Salute francese ha espressamente confermato che i dati trattati dal Health Data Hub non possono essere trasferiti in paesi situati al di fuori dell’Unione Europea. Appare quindi evidente che la CNIL ha deciso di adottare una costruzione rigorosa, se non addirittura espansiva, della decisione Schrems II, ritenendo che i fattori che hanno portato all’invalidazione del Privacy Shield possano anche riguardare le SCC – quand’anche con garanzie aggiuntive – non sufficientemente “protettive” per i trasferimenti di dati personali e particolari verso gli Stati Uniti.

L’interpretazione “light” di Schrems II da parte del Conseil d’Etat

Anche se l’Health Data Hub è stato “ospitato” all’interno del territorio dell’Unione Europea, la CNIL ha espresso la preoccupazione che le potenziali richieste da parte delle autorità o dei tribunali statunitensi, nel contesto dei programmi di sorveglianza secondo le disposizioni della sezione 702 della FISA e dell’EO 12333, creino un rischio di accesso ai dati personali e particolari degli assistiti in Francia da parte delle autorità statunitensi. Tuttavia, il 19 giugno 2020 e di nuovo il 14 ottobre 2020, il Conseil d’Etat ha stabilito, in decisioni riguardanti rispettivamente le disposizioni del CLOUD Act e della sezione 702 della FISA e dell’EO 12333, che il rischio effettivo che un tribunale od un’autorità statunitense richieda l’accesso al database del Health Data Hub appare basso, in quanto è improbabile che i dati particolari siano utili a fini criminali/antiterroristici (e ancor meno nel database del Health Data Hub, dove i dati sono pseudonimizzati e non possono essere associati all’identità degli individui senza ulteriori informazioni).

Nel suo documento, contrariamente alla posizione del Conseil d’Etat, la CNIL ha sostenuto che esiste un rischio reale che un tribunale od un’autorità statunitense possa richiedere l’accesso al database dell’Health Data Hub, che i dati relativi alla salute sono “sensibili” e che le misure di pseudonimizzazione non riducono in realtà i rischi di reidentificazione (considerando il livello di dettaglio delle cartelle cliniche ospitate nel Health Data Hub); tuttavia, la CNIL non ha affrontato esplicitamente la posizione del Conseil d’Etat riguardo alla mancanza di utilità dei dati particolari nel contesto di procedimenti penali o di antiterrorismo. Come sottolinea la stessa CNIL, la sua posizione non è vincolante per gli operatori e nemmeno per gli interessati in generale. In primo luogo, la CNIL distingue il contesto del Health Data Hub dall’oggetto della decisione Schrems II, poiché i dati del Health Data Hub non dovrebbero essere trasferiti negli Stati Uniti, ma potrebbero essere oggetto di una richiesta di accesso ai dati memorizzati all’interno dell’Unione Europea. Inoltre, la CNIL dichiara espressamente che il suo parere copre solo il caso specifico dei dati relativi alla salute, e si riserva di giudicare i trasferimenti per altri settori o che riguardano dati personali “meno sensibili”. Questa posizione non è stata confermata dal Conseil d’Etat (che rivede la decisione della CNIL in prima e ultima istanza). Nella sua decisione del 19 giugno 2020 il Conseil d’Etat aveva dimostrato di non considerare tali disposizioni come un rischio importante e urgente per la protezione dei dati relativi alla salute. Per quanto riguarda il rischio associato all’articolo 702 della FISA e all’OE 12 333, il 13 ottobre il Conseil d’Etat ha stabilito che, dato l’importante interesse pubblico di mantenere una banca dati sanitaria COVID-19, i rischi di accesso da parte delle autorità statunitensi, sebbene possibili, non sono abbastanza gravi da giustificare la sospensione del servizio e l’immediato cambio di fornitore.

Le implicazioni pratiche delle due “vision” d’oltralpe

Le organizzazioni che elaborano dati relativi alla salute, e in particolare quelle che trasferiscono tali dati a qualsiasi affiliato di un fornitore di hosting con sede negli Stati Uniti, devono ora decidere se adottare l’interpretazione della CNIL e cercare opzioni di hosting alternative. Il Conseil d’Etat si è pronunciato solo sulla particolare emergenza della questione, ma non ha messo in discussione l’esistenza di rischi di accesso da parte delle autorità statunitensi. Pertanto, la posizione della CNIL, anche se non completamente confermata dal Conseil d’Etat in termini di livello di rischio, deve ancora essere presa in considerazione. In primo luogo, le parti interessate dovrebbero seguire da vicino gli sviluppi di questi procedimenti e la potenziale posizione pubblica che la CNIL potrebbe assumere a seguito di quest’ultima decisione del Conseil d’Etat. In secondo luogo, prima di prendere qualsiasi decisione, le imprese dovrebbero verificare se il cambiamento di fornitore è conforme ad altri campi del diritto applicabile (francese o europeo). Ad esempio, nell’Unione Europea gli enti pubblici non sono autorizzati, come regola generale degli appalti pubblici, a discriminare in base alla nazionalità del fornitore. In terzo luogo, è importante notare che le filiali o le consociate dei fornitori di servizi cloud statunitensi non sono gli unici soggetti che possono essere coperti dalle leggi di sorveglianza statunitensi. Pertanto, in una certa misura, una società “madre” francese, che memorizza i dati in Francia, potrebbe essere soggetta alle richieste di accesso delle autorità statunitensi se una delle sue affiliate è stabilita all’interno dell’Unione Europea e ha una qualche forma di controllo sui dati. Un’analisi approfondita dell’applicabilità delle leggi di sorveglianza straniere su qualsiasi fornitore dovrebbe quindi essere condotta prima di qualsiasi cambiamento di fornitore.

Le imprese che effettuano o prevedono di effettuare trasferimenti di dati relativi alla salute dovrebbero considerare l’impatto della decisione Schrems II e di questo nuovo parere guida della CNIL sulle loro operazioni il più presto possibile, conducendo una valutazione del rischio di trasferimento dei dati e implementando ulteriori salvaguardie per i trasferimenti, come l’utilizzo di un fornitore di crittografia di terze parti, con sede nell’Unione Europea e non soggetto alla giurisdizione degli Stati Uniti, al fine di evitare qualsiasi accesso ai dati personali e particolari.[3]

_____________________________________________________________________________________________

  1. Health Data Hub et protection de données personnelles: des précautions doivent être prises dans l’attente d’une solution pérenne
  2. Privacy Shield: le FAQ dell’EDPB sulla sentenza Schrems II. (traduzione in italiano a cura del Garante)
  3. Transfers of Health Data from France to the United States Not Prohibited… but Must be Protected by Strong Safeguards. Law Business Research.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati