Il Privacy Shield
è il passato

A ciò si aggiungono i rischi derivanti dal CLOUD Act (Clarifying Lawful Overseas Use of Data), una legge che consente alle autorità USA di accedere ai dati delle aziende statunitensi e delle loro filiali, anche se vengono memorizzati o elaborati al di fuori degli Stati Uniti.

In qualità di responsabile IT, sei direttamente responsabile dei dati dei vostri clienti, collaboratori e partner commerciali, anche se l’elaborazione dei dati viene affidata esternamente a terzi. Le sanzioni applicate in caso di violazione ammontano fino a 20 milioni di euro o al 4% del fatturato mondiale, un livello di pena completamente nuovo. Le autorità hanno inoltre la facoltà di bloccare i trasferimenti illegali di dati. I manager possono essere ritenuti personalmente responsabili e non sempre le assicurazioni D&O (Directors & Officers) garantiscono una copertura adeguata.

Quali sono le misure da adottare? Non sono ancora state fornite raccomandazioni definitive in materia da parte dell’EDPB (Comitato europeo per la protezione dei dati) o della Commissione UE. Per questo motivo abbiamo deciso di riassumere in questa guida le informazioni più importanti. Le 7 domande da porre ora:

Con dati personali si intende qualsiasi informazione relativa ad una persona fisica identificata o identificabile: nome, posizione geografica, identificatori online (ad es. indirizzi IP) e fatti relativi all’identità fisica, psichica, economica o sociale, compresi numeri di fax e indirizzi e-mail. La trasmissione dei dati personali avviene, ad esempio, in caso di corrispondenza via e-mail, fax o SMS.

Quindi dovete capire con chiarezza: Quali dati sono in vostro possesso o raccogliete? Dove vengono memorizzati? Chi li elabora e dove vengono trasferiti? E, cosa importante, avete il diritto di fare tutto questo?

Alcuni dei possibili candidati sono Google, Facebook, Twilio, Zoom, Slack, Proofpoint, Dropbox, Microsoft e LinkedIn. In caso affermativo, verificate attentamente se l’esportazione dei dati è conforme ai requisiti del GDPR, ad esempio in relazione a sicurezza e archiviazione delle e-mail.

Sul sito web del Privacy Shield Framework troverete un elenco di tutte queste aziende.

Il Privacy Shield non è più valido e non è stata prevista alcuna proroga. Se attualmente lavorate con una di queste aziende, è indispensabile chiarire immediatamente se tali aziende soddisfano i requisiti del GDPR. In caso di dubbi, richiedere una dichiarazione nella quale si conferma che in nessuna fase del trattamento i dati saranno trasferiti negli USA o a fornitori di servizi negli USA.

Secondo la dichiarazione dell’EDPB del 24 luglio 2020, la legislazione statunitense non garantisce una protezione equivalente nel caso di SCC (clausole contrattuali standard) e BCR (norme vincolanti d’impresa). Questa valutazione vale anche per i corrispondenti accordi con paesi come Cina o Russia.

Concordare individualmente le SCC e BCR con ogni fornitore statunitense richiede un elevato impegno amministrativo e legale. Inoltre, sono necessarie misure supplementari, anche a novembre 2020 l’EDPB ha emanato solo raccomandazioni preliminari per l’attuazione (attualmente disponibili solo in inglese). I rischi derivanti dal CLOUD Act non vengono invece azzerati dal ricorso alle SCC e BCR.

In linea di principio, sì, purché siano soddisfatte le condizioni richieste. Gli ostacoli non sono comunque facilmente sormontabili, infatti è necessario che vi sia un consenso individuale fornito in modo esplicito, specifico e informato.

Testo completo dell’art. 49 del GDPR

Cambiate subito e riducete a zero i rischi per la protezione dei dati grazie agli innovativi servizi della piattaforma di Retarus. Perché elaboriamo tutti i dati dei nostri clienti europei esclusivamente nei data center europei, dislocati a Francoforte, Monaco e Zurigo. Garantiamo l’elaborazione intraeuropea anche in caso di failover o durante la manutenzione. Retarus non utilizza gli hyperscaler statunitensi come Google, AWS o Azure. La sede centrale di Retarus si trova in Germania ed è a conduzione familiare fin dalla sua fondazione, senza la partecipazione di società straniere.

Se necessario, potete trasferire il vostro traffico di e-mail, SMS e fax in Retarus Enterprise Cloud nell’arco di 24 ore. Ottenete una rapida panoramica dei nostri servizi e scoprite come vi supportiamo nell’implementazione dei requisiti di conformità.

Il panorama della protezione dei dati è oggi nebuloso e complesso. Non dobbiamo però dimenticare che questa confusione ha anche aspetti positivi: i vostri dati aziendali sensibili verranno protetti in modo migliore. Infatti è il GDPR ad avere la priorità sul resto!