DATA PROTECTION

Trasferimento dati all’estero: l’EDPS avvia due indagini per l’adeguamento UE a Schrems II

Il garante privacy europeo ha avviato due indagini sull’uso dei servizi cloud offerti da Amazon Web Services e Microsoft e dei servizi offerti dalla suite Microsoft Office 365: lo scopo è quello di fornire le indicazioni corrette per l’adeguamento delle istituzioni UE ai principi della sentenza Schrems II. I dettagli

31 Mag 2021
C
Marina Rita Carbone

Consulente privacy

È stato annunciato da parte del Garante Europeo per la protezione dei dati personali (meglio noto come EDPS) l’avvio di due indagini, al fine condiviso di consentire l’adeguamento delle istituzioni europee ai principi fondamentali dettati dalla sentenza “Schrems II”, che ha posto fine all’applicazione del Privacy Shield, dichiarandone l’incompatibilità con le norme contenute all’interno del GDPR.

Trasferimento dei dati all’estero: le indagini dell’EDPS

Secondo quanto riportato sulla pagina istituzionale dell’EDPS, sono due le indagini avviate dal Garante:

  • la prima, riguardante l’utilizzo dei servizi cloud forniti da Amazon Web Services e Microsoft all’interno dei contratti Cloud II da parte di tutte le istituzioni, organismi e agenzia dell’Unione Europea (c.d. EUIs): obiettivo dichiarato dell’indagine è quello di verificare che i contratti e i servizi cloud siano conformi a quanto riportato nella Schrems II, nel caso in cui l’utilizzo dei servizi in cloud comporti il trasferimento dei dati verso Paesi extra-UE;
  • la seconda, riguardante l’utilizzo, da parte delle istituzioni e degli organismi dell’UE, dei servizi forniti da Microsoft all’interno del pacchetto Microsoft Office 365: obiettivo di tale indagine, invece, è verificare che la Commissione Europea, nel suo utilizzo del pacchetto Office, sia conforme alle raccomandazioni formulate dallo stesso EDPS sull’uso dei prodotti e dei servizi Microsoft da parte delle istituzioni pubbliche.

Dette indagini fanno parte della più ampia strategia di adeguamento alla sentenza Schrems II, annunciata nell’ottobre 2020, allo scopo di rendere i trasferimenti internazionali attualmente in corso e quelli futuri pienamente conformi alla legge europea sulla protezione dei dati personali.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Richiesta una valutazione d’impatto sui trasferimenti extra-UE

All’interno dell’indagine, sarà richiesto alle istituzioni europee di condurre una “Transfer Impact Assessment” (TIA), una valutazione d’impatto, caso per caso, sui trasferimenti extra-UE, al fine di individuare con assoluto rigore se nel paese terzo di destinazione sia previsto un livello di protezione dei dati sostanzialmente equivalente a quello fornito in UE.

A tale scopo, l’EDPS fornirà un elenco di domande preliminari per avviare i TIAs con gli importatori di dati.

Sulla base di tali valutazioni effettuate con l’aiuto degli importatori di dati, le istituzioni europee dovrebbero essere in grado di stabilire se sia possibile o meno continuare a svolgere i trasferimenti individuati nella prima fase di mappatura.

Per poter continuare ad effettuare tali trasferimenti, le EUIs, insieme agli importatori di dati, potrebbero dover individuare e attuare misure di salvaguardia supplementari al fine di rispecchiare gli standard indicati nella sentenza Schrems II.

Sarà d’obbligo anche valutare, caso per caso, se vi siano i presupposti per fruire delle deroghe previste all’interno dei Regolamenti europei applicabili.

I risultati dell’analisi condotta dall’EDPS

Il processo di adeguamento alla strategia Schrems II è, oggi, assolutamente graduale: lo stesso EDPS, in ottobre, ha richiesto alle istituzioni europee di riferire quali fossero i trasferimenti di dati personali verso paesi terzi, attualmente in corso, di modo tale da svolgere una mappatura puntuale degli stessi, verificando la possibile applicazione delle garanzie di cui agli artt. 44 e ss. GDPR.

L’analisi sinora svolta dall’EDPS ha mostrato che, a causa delle numerose ed eterogenee operazioni di trattamento poste in essere dalle EUIs, specialmente nel caso in cui si utilizzano strumenti e servizi offerti dai grandi fornitori di servizi, come Amazon e Microsoft, sussistono moltissimi trattamenti che comportano un trasferimento di dati al di fuori dell’UE, in particolare verso gli Stati Uniti.

L’analisi ha fatto emergere, altresì, una crescente interdipendenza delle organizzazioni istituzionali dai software e dalle infrastrutture basate sul cloud, e, conseguentemente, dai grandi fornitori di servizi IT, la maggior parte dei quali hanno sede in USA e sono, dunque, soggetti ad attività di sorveglianza che risultano sproporzionate rispetto alle garanzie richieste dalla normativa europea.

L’attuale Garante europeo della protezione dei dati, Wojciech Wiewiórowski, ha dichiarato che “”A seguito dell’esito dell’esercizio di rendicontazione da parte delle istituzioni e degli organi dell’UE, abbiamo individuato alcuni tipi di contratti che richiedono particolare attenzione ed è per questo che abbiamo deciso di avviare queste due indagini. Sono consapevole che i “contratti Cloud II” sono stati firmati all’inizio del 2020 prima della sentenza “Schrems II” e che sia Amazon che Microsoft hanno annunciato nuove misure con l’obiettivo di allinearsi alla sentenza. Tuttavia, queste misure annunciate potrebbero non essere sufficienti a garantire il pieno rispetto della legislazione dell’UE in materia di protezione dei dati e quindi la necessità di indagare adeguatamente su questo punto”.

Wiewiórowski ha dichiarato altresì che, tramite le indagini attualmente in corso, l’EDPS potrà anche permettere di gettare le fondamenta per la rinegoziazione dei contratti con i diversi fornitori di servizi extra-UE, fornendo un primo grande esempio di conformità dei trasferimenti dati post Schrems II.

La strategia europea post Schrems II

Come anticipato in premessa, il 29 ottobre 2020 il Garante europeo della protezione dei dati (EDPS o GEPD) ha pubblicato un documento strategico volto a monitorare la conformità delle istituzioni, degli organi e delle agenzie europee (IME) alla sentenza “Schrems II” in relazione ai trasferimenti di dati personali verso paesi terzi, e in particolare gli Stati Uniti. L’obiettivo è di assicurare che tutti i trasferimenti internazionali, siano conformi al GDPR e, più in generale, alla normativa europea in materia di privacy e protezione di dati personali.

Al momento della pubblicazione della strategia di adeguamento delle istituzioni ai principi cardine enunciati nella sentenza Schrems II, Wojciech Wiewiórowski, ha dichiarato che i trasferimenti di dati personali da parte delle istituzioni europee verso paesi terzi dovrebbero essere conformi non solo al GDPR, ma anche e soprattutto alla Carta dei diritti fondamentali dell’UE e al Capitolo V del Reg. UE 1725/2018.

A tal fine, la strategia dell’EDPS si basa sulla cooperazione e sulla responsabilità dei responsabili del trattamento, allo scopo di valutare se lo standard di protezione stabilito dalla sentenza della Corte sia garantito quando vengono effettuati trasferimenti di dati personali verso paesi terzi.

La strategia dell’EDPS non si ferma alle istituzioni e agli organismi pubblici, mirando a ottenere una protezione costante e duratura dei diritti dei cittadini europei, in un contesto globale che vede i grandi fornitori statunitensi in una posizione di enorme potere rispetto al singolo utente.

Sebbene la strategia miri a rendere conformi alla sentenza tutti i trasferimenti di dati verso i paesi terzi nel medio termine, il Garante europeo ha individuato altre due priorità da affrontare a breve termine:

  • i contratti di trattamento in corso tra titolare e responsabile del trattamento che comportano trasferimenti di dati verso paesi terzi;
  • i contratti tra responsabile e sub-responsabile del trattamento, con particolare attenzione ai trasferimenti di dati effettuati negli Stati Uniti.

Sono così state delineate azioni di conformità a breve e a medio termine, dal cui esito discenderà anche l’adeguamento delle misure generali contrattuali applicate dai grandi fornitori di servizi e, presumibilmente, delle linee guida che permettano anche alle aziende di verificare se le garanzie applicate ai propri trattamenti siano conformi alle disposizioni contenute negli artt. 44 e ss. GDPR.

Le raccomandazioni di EDPS ed EDPB

Alcune indicazioni, tuttavia, sono già state fornite dal Garante e dall’EDPB (European Data Protection Board) in merito alle possibili soluzioni da adottare per garantire una continuità dei trattamenti in essere alla data di pubblicazione della sentenza Schrems II, anche nel caso in cui essi siano effettuati verso gli Stati Uniti.

Sono stati emessi, infatti, dei pareri congiunti su due standard di clausole contrattuali (CSC):

  • uno, sulle CSC nei contratti tra titolare e responsabile del trattamento;
  • l’altro, sulle CSC nel caso in cui sussista un trasferimento di dati personali verso paesi terzi.

EDPB, inoltre, ha pubblicato, con l’ausilio del Garante Europeo, le linee guida 01/2020 sulle misure supplementari finalizzate a garantire un livello di protezione sostanzialmente equivalente nell’UE quando si verificano trasferimenti di dati personali verso paesi terzi.

Le linee guida 01/2020 sono diventate applicabili immediatamente dopo la loro pubblicazione nel novembre 2020, nonostante sia in corso il processo di consultazione pubblica.

17 novembre, milano
Scopri Insight e Tips & Tricks dai migliori professionisti di settore: un evento unico ti aspetta!
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr