{"id":5759,"date":"2021-06-15T17:31:07","date_gmt":"2021-06-15T15:31:07","guid":{"rendered":"https:\/\/www.retarus.com\/blog\/it\/max-schrems-e-importante-verificare-i-propri-fornitori-di-servizi"},"modified":"2024-05-07T20:06:26","modified_gmt":"2024-05-07T18:06:26","slug":"max-schrems-check-your-service-providers","status":"publish","type":"post","link":"https:\/\/www.retarus.com\/blog\/it\/max-schrems-check-your-service-providers\/","title":{"rendered":"Max Schrems: \u00c8 importante verificare i propri fornitori di servizi"},"content":{"rendered":"
Durante un “Fireside Talk” organizzato da Privacy Provided, questa mattina l\u2019avvocato e attivista della privacy austriaco Max Schrems ha parlato di IT aziendali e di reti. In sintesi, si \u00e8 giunti alla conclusione che la collaborazione con fornitori europei \u00e8 spesso la soluzione pi\u00f9 semplice e conveniente per gli utenti in termini di conformit\u00e0 al GDPR.<\/p>
In passato, il trasferimento di dati personali dall\u2019Europa agli Stati Uniti era possibile secondo la legge sulla protezione dei dati grazie agli accordi bilaterali Safe Harbor e successivamente Privacy Shield. Tuttavia, su iniziativa di Max Schrems<\/a>, la Corte di giustizia dell\u2019UE ha dichiarato entrambi gli accordi non validi perch\u00e9 il livello di protezione dei dati negli Stati Uniti non \u00e8 paragonabile a quello europeo. Da quel momento, molte aziende europee sono state per necessit\u00e0 costrette a fare ricorso alle cosiddette clausole contrattuali standard per giustificare i trasferimenti di dati.<\/p> Secondo Max Schrems, le clausole contrattuali standard o SCC, comprese quelle aggiornate a giugno 2021, sono per\u00f2 molto pi\u00f9 complicate da applicare perch\u00e9, in linea di principio, occorre fare ogni volta una valutazione caso per caso. Quanto meno, se l\u2019azienda che riceve i dati negli Stati Uniti non \u00e8 un fornitore di servizi di comunicazione elettronica, le difficolt\u00e0 legate alla protezione dei dati sono minori. Prendiamo come esempio un caso citato da Schrems: Se l\u2019acciaieria austriaca Voest trasferisce i dati a una filiale americana che produce acciaio in quel paese, allora il GDPR non \u00e8 di ostacolo. Tuttavia, occorre sempre verificare se negli USA sono coinvolti dei subappaltatori che possono ricadere nel settore delle comunicazioni elettroniche.<\/p> Non \u00e8 sempre facile valutare la situazione dei fornitori USA con funzioni di elaborazione dei dati dislocate in numerose aree geografiche, condizione questa tipica per le applicazioni dei settori di e-mail, sicurezza o distribuzione dei contenuti. In questo caso, \u00e8 anche lecito chiedersi se l\u2019elaborazione di dati sia necessaria (cio\u00e8 inevitabile) o meno ai sensi dell\u2019articolo 49 del GDPR<\/a>. Tuttavia, ci\u00f2 che secondo Max Schrems sembra essere chiaro \u00e8 che, anche se i fornitori cloud USA gestiscono data center in Europa, ci\u00f2 non implica che i dati memorizzati in questi data center siano protetti contro gli accessi in virt\u00f9 della legge FISA, la quale non include limitazioni geografiche. Sono sicuri solo i dati che non sono accessibili al fornitore stesso, come ad esempio un backup criptato memorizzato nel cloud per il quale non c\u2019\u00e8 accesso locale alle chiavi.<\/p> Secondo Max Schrems, per ci\u00f2 che concerne la protezione dei dati, il diritto americano e quello europeo hanno posizioni diametralmente opposte. A questo si potrebbe rimediare essenzialmente solo modificando le leggi. Nell\u2019UE, ci\u00f2 riguarderebbe la Carta dei diritti fondamentali, per la quale per\u00f2 una trasformazione sembra essere estremamente improbabile. A medio termine, si potrebbe piuttosto sperare in un ridimensionamento delle leggi di sorveglianza statunitensi FISA e CLOUD Act (che, tra l\u2019altro, potrebbero anche servire a legittimare lo spionaggio industriale).<\/p> Ci\u00f2 troverebbe conferma in un rapporto di Bloomberg<\/a> di ieri: l\u2019alto dirigente e avvocato di Microsoft, Brad Smith, si \u00e8 infatti lamentato del fatto che le citazioni segrete delle aziende tecnologiche statunitensi stavano distruggendo la fiducia tra i clienti europei, rendendo pi\u00f9 difficile fare affari. La scorsa settimana, i media hanno riferito che sia Apple che Microsoft sono state costrette dalle agenzie governative a consegnare i dati sugli oppositori politici di Donald Trump durante la sua Presidenza. In entrambi questi casi sono state poste condizioni di obbligo alla segretezza, tra cui il divieto di informare le persone interessate.<\/p> Alla domanda se un\u2019azienda europea potrebbe trasferire i suoi obblighi di protezione dei dati al suo fornitore di servizi americano e mantenersi cos\u00ec indenne, Schrems ha risposto che le promesse di conformit\u00e0 al GDPR potrebbero essere verificate solo a fronte di una grande sforzo e che, finora, nessuno ha verificato questo aspetto n\u00e9 intrapreso azioni legali. Esistono gi\u00e0 alcune assicurazioni di responsabilit\u00e0 civile corrispondenti, ma queste sono molto costose e finora non hanno assolutamente dimostrato di essere valide. Nel caso delle cosiddette polizze assicurative D&O per i top manager, bisogna controllare le clausole di protezione dei dati, come nel caso di molte polizze assicurative di protezione giuridica, poich\u00e9 queste possono essere escluse (gi\u00e0 implementate in alcune polizze assicurative).<\/p> Max Schrems considera che una modifica del GDPR sia auspicabile, anche perch\u00e9 l\u2019attuale regolamento non prevede alcuna differenziazione in base alle dimensioni dell\u2019azienda. In definitiva, \u00e8 il settore stesso a essere corresponsabile di questa situazione, perch\u00e9 all\u2019elaborazione di tale regolamento sono state coinvolte solo le grandi aziende dotate di reparti di attivit\u00e0 di lobby corrispondentemente grandi. E nessuno a Bruxelles si auspica di vedere prossimamente una nuova spinta lobbistica di tali epiche proporzioni.<\/p> Max Schrems consiglia alle aziende che dopo il Privacy Shield si sentono insicure, di non investire nel settore della consulenza legale, ma piuttosto di interpellare i loro stessi fornitori di servizi e metterli alla prova. Sul nostro sito<\/a> \u00e8 possibile consultarne gli aspetti essenziali, come pure un questionario<\/a> (PDF) con cui potete verificare i vostri fornitori di servizi. Nella sua conclusione, Max Schrems sostiene che la soluzione pi\u00f9 semplice e conveniente in molti casi sia quella di lavorare con un fornitore di servizi europeo.<\/p> ","protected":false},"excerpt":{"rendered":" Durante un “Fireside Talk” organizzato da Privacy Provided, questa mattina l\u2019avvocato e attivista della privacy austriaco Max Schrems ha parlato di IT aziendali e di reti. In sintesi, si \u00e8 giunti alla conclusione che la collaborazione con fornitori europei \u00e8 spesso la soluzione pi\u00f9 semplice e conveniente per gli utenti in termini di conformit\u00e0 al GDPR.<\/p>\n","protected":false},"author":14,"featured_media":8000,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[66,8],"tags":[3866,3833,3650,3867],"class_list":["post-5759","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud","category-news","tag-datenschutz","tag-dsgvo","tag-max-schrems","tag-privacy-provided"],"acf":[],"yoast_head":"\nClausole contrattuali standard – una soluzione molto complessa<\/h2>
Interpretazioni giuridiche diverse<\/h2>
Incertezza generale<\/h2>
Interpellare i fornitori di servizi<\/h2>