Da quando, su iniziativa dell’attivista austriaco per la protezione dei dati Max Schrems, la Corte di giustizia dell’UE ha dichiarato non validi gli accordi bilaterali sul trasferimento dei dati transatlantici (prima Safe Harbor e poi Privacy Shield), sempre più fornitori di cloud statunitensi ricorrono alle cosiddette clausole contrattuali tipo (in inglese “Standard Contractual Clauses”, SCC). Nel corso dei nostri progetti personalizzati ci viene spesso chiesto cosa ciò comporti. Inoltre, esistono incertezze dovute a leggi come il CLOUD Act degli Stati Uniti, che per i fornitori americani regola l’obbligo di consegna dei dati alle autorità, anche nei casi in cui questi dati non siano conservati fisicamente negli Stati Uniti ma su server in Europa, per esempio.
Schrems resta scettico anche nei confronti delle clausole contrattuali standard aggiornate
È ovvio che un post su un blog non può e non deve sostituire la consulenza legale. Ciononostante, ricordiamo al nostro articolo sulla chiacchierata virtuale avuta con Max Schrems l’anno scorso. A quel tempo, Schrems aveva parlato chiaramente di “elusione” perpetuabile attraverso le clausole SCC. In particolare, si riferiva alle versioni aggiornate a partire da giugno 2021, che però sono molto più complesse da applicare perché, in linea di principio, occorre fare ogni volta una valutazione caso per caso.
I data center europei dei fornitori statunitensi non sono al sicuro dall’accesso delle autorità
Secondo Max Schrems, non è sempre facile valutare la situazione relativa ai fornitori statunitensi, caratterizzata da un trattamento dei dati diffuso dal punto di vista geografico, una situazione tipica nei settori della posta elettronica, della sicurezza o della distribuzione dei contenuti. Tuttavia, ciò che sembra essere chiaro è che, anche quando i fornitori di cloud statunitensi gestiscono propri data center in Europa, ciò non garantisce una protezione dei dati lì memorizzati, perché la legge applicabile FISA (Foreign Intelligence Surveillance Act) non ha limitazioni geografiche.
L’obbligo alla segretezza impedisce di avvisare i diretti interessati
Particolarmente problematici a questo proposito sono i requisiti di riservatezza imposti dalle National Security Letters (NSL) e dal Foreign Intelligence Surveillance Act (FISA), che vietano espressamente ai fornitori di informare gli interessati in merito alle richieste di dati (con relativo disappunto dei grandi fornitori statunitensi come Microsoft).
Schrems consiglia di interpellare direttamente i fornitori e di metterli alla prova
Ma torniamo alla domanda iniziale di questo articolo: qual è il consiglio di Max Schrems alle aziende insicure, ora che il Privacy Shield è stato abolito? Durante la chiacchierata in occasione di “Fireside Talk”, Schrems è stato molto chiaro anche su questo aspetto: anziché spendere soldi nella consulenza legale, le aziende dovrebbero interpellare direttamente i loro fornitori di servizi e metterli alla prova in tal senso. Sul nostro sito Web abbiamo riportato gli aspetti essenziali da considerare a tal riguardo. Lì troverete anche un questionario che potete inoltrare ai vostri fornitori di servizi IT.
