GDPR e trasferimento dati fuori dall’UE dopo il caso Google Analytics

Sergio Aracu, Gianluca Di Ascenzo e Marco Trombadore intervengono sul trasferimento dati extra UE

 

 

Forensics Caffè è il talk realizzato da Forensics Group, associazione culturale indipendente che si pone l’ambizioso obiettivo di incrementare la diffusione, il progresso e l’applicazione delle conoscenze legali e tecnico-forensi in tutti i principali contesti istituzionali, pubblici e privati, nazionali e internazionali. Nel canale YouTube dell’associazione è possibile fruire di interviste e approfondimenti sui diversi temi affrontati dagli operatori che animano la community di Forensics Group.

Abbiamo seguito la diretta streaming sul trasferimento di dati al di fuori dell’Unione Europea, tema caldo alla luce delle recenti attività ispettive del Garante per la protezione dei dati personali italiano sull’uso di un applicativo: Google Analytics.

È possibile, e a quali condizioni, trasferire dati personali al di fuori dello spazio dell’Unione Europea assicurando una completa conformità al GDPR (Regolamento generale sulla protezione dei dati)? L’esito dell’attività ispettiva del Garante italiano sull’utilizzo di Google Analytics ha messo in crisi l’intero mondo del digital marketing (e non solo) proiettato alla ricerca di soluzioni rispettose del dettato normativo.

Sull’argomento sono intervenuti Sergio Aracu, consulente in ambito privacy, Data Protection Officer per primari gruppi societari dei mondi BPO, Contact Center e associazioni di categoria, nonché partner fondatore del network di giuristi Area Legale; Gianluca Di Ascenzo, tra gli altri incarichi Presidente di Codacons e Presidente operativo di OIC; e Marco Trombadore, delegato per il Lazio di ASSO DPO, consulente in materia di GDPR per realtà complesse per l’implementazione di sistemi di gestione della privacy, Risk Analysis ed esecuzione di audit.

 

 

Ascolta anche Assemblea annuale di Assocontact 2022: le voci dei protagonisti

 

 

Sollecitato dalla domanda del moderatore (l’avvocato Giuseppe Cammaroto) – perché se lavoriamo in UE dovremmo porci il problema di trasferire dati al di fuori dell’Unione? -, Trombadore ha rotto il ghiaccio così.

“Non è importante dove lavoriamo o dove si trova la nostra clientela. Potremmo lavorare solo su Roma, ma il nostro sito Internet e i nostri sistemi, anche cloud, potrebbero risiedere altrove. Innanzitutto, c’è una necessità tecnica: alcuni strumenti sono forniti da player eccezionali, di matrice USA, ma non solo. E c’è da considerare il disallineamento dal punto di vista del potere tecnico-contrattuale tra chi fornisce servizi senza i quali un’azienda farebbe decisamente più fatica a svolgere le sue attività e la scelta di questi servizi. Il problema del trasferimento di dati al di fuori dell’UE non è solo verso gli USA, ma verso qualunque Paese al di fuori dello spazio economico dell’Unione. Il tema del rapporto tra USA e UE è salito alla ribalta giornalistica con la sentenza Schrems II. È vero che gli USA sono terra di player tecnologici importantissimi per le nostre imprese. Non solo Google Analytics, sono di matrice statunitense diversi strumenti per fare survey online, altri che servono a inoltrare mail commerciali con statistiche sofisticate, e così via. Le organizzazioni nel nostro Paese hanno la necessità di avere a che fare con questi player, basti pensare ai sistemi operativi. In certi casi, però, si può scegliere. Introduco una nota dolente: il tema dell’accountability. Le nostre medie organizzazioni di solito non si pongono il quesito di dove vengano salvati i dati. Il problema del loro trasferimento extra UE, nel rapporto con gli Stati Uniti, è istituzionale e sovranazionale; diventa difficilissimo per un’impresa, ancorché grossa, riuscire a gestirlo con strumenti che, di fatto, sono civilistici. Nei provvedimenti del Garante viene ribadito il concetto, giuridicamente corretto, secondo cui, prima di trasferire dati, un’organizzazione dovrebbe verificare che la legislazione del Paese extra UE in questione offra le medesime garanzie offerte ai soggetti interessati sul territorio UE. In alcuni casi viene in aiuto la Commissione con dichiarazioni di adeguatezza, in altri la verifica è demandata all’azione di accountability delle singole organizzazioni, ma è impensabile che un’impresa abbia tempo, attenzione e risorse economiche da dedicare all’analisi – affatto banale – della legislazione di un Paese al di fuori dello spazio economico europeo.”

 

 

Ascolta anche: La tutela della privacy in un mondo che cambia

 

 

Non si tratta solo del luogo in cui sono ubicati i server: copie di backup o gli amministratori di sistema, che possono accedere alle basi dati, potrebbero trovarsi al di fuori dell’UE. Ricollegandosi al tema, Aracu ha sottolineato che “trasferire dati non significa solo avere un partner extra UE cui affidare il compito di fare le paghe per i propri dipendenti”. Per esempio

“la riunione che stiamo facendo è su Zoom. Con ogni probabilità, i nostri dati vengono trasferiti in questo momento con un ping e poi tornano indietro in UE. L’articolo 44 già tratteggiato da Trombadore parla di ‘Paese terzo o organizzazione internazionale’, aspetto che ha creato non pochi grattacapi a chi ha dovuto rispondere alla domanda ‘dove si trovano i dati?’ Se l’organizzazione è internazionale, infatti, il trasferimento va valutato in chiave di equipollenza delle garanzie che questa organizzazione assicura rispetto a quelle garantite in Europa. Quindi, se ho basi di legittimità specifiche o, meglio, di esclusione del divieto, posso trattare i dati anche se sono extra UE? Sì, se ho almeno una delle caratteristiche del capo V, che è deputato ad assicurarsi che chi vede i suoi dati trasferiti extra Unione o presso un’organizzazione internazionale abbia le stesse garanzie che avrebbe in Europa.”

Interpellato dal moderatore, Di Ascenzo si è ricollegato alle considerazioni di Aracu:

“I detrattori del regolamento europeo non hanno compreso appieno la normativa di tutela dei dati personali. Una delle funzioni del GDPR è la circolazione dei dati. La volontà del legislatore è stata, quindi, quella di creare tutele per consentire questo trasferimento. Chi vede in ciò un ostacolo non ha capito nulla della normativa. La Commissione europea ha poi elaborato delle clausole contrattuali standard tra titolare e responsabile del trattamento dei dati per consentire adeguate misure di tutela dei dati trasferiti in Paesi terzi.”

In risposta alla domanda ‘che cosa ci riserva il futuro?’, Di Ascenzo ha poi chiuso il dibattito con ottimismo.

“La vicenda di Google Analytics ha aperto gli occhi a chi li aveva ancora chiusi: i problemi non sono semplici da gestire perché non riguardano solo l’applicazione della normativa nel nostro Paese. Quello che possiamo fare è essere sempre più consapevoli della necessità del rispetto sostanziale della normativa. Confrontarci con principi di adeguatezza vaghi può metterci in crisi in quanto italiani. Non è certamente agevole, ma abbiamo sempre dimostrato di riuscire a trovare soluzioni e lo faremo anche in questa occasione.”

 

Per approfondire il tema rimandiamo al canale YouTube dell’associazione Forensics Group

A cura di

In questo articolo:

Potrebbero interessarti

PODCAST

Cultura e Società

Il cyborg, ovvero il sogno della fusione tra uomo e macchina

CIFcast
con Lorenzo Davia, Damiano Lotto, Emiliano Maramonte

PODCAST

AITEM: l'AI italiana che sta rivoluzionando la sanità e la produzione industriale
Health

AITEM: l’AI italiana che sta rivoluzionando Sanità e produzione industriale

Ospite: Massimiliano Melis

SMASH
con Francesca Ponchielli

PODCAST

People

Differenze tra Customer Success e Customer Service

C.S.I. Customer Success Italia
con Francesco Acabbi, Mark Bartucca

PODCAST

cooperative digitali
Blockchain

Cooperative digitali: il futuro del mutualismo nell’era dell’AI e della blockchain

Ospite: Katia De Luca

WOW - WOMEN ON WEB
con Federica Meta, Francesca Pucci

PODCAST

Cultura e Società

“Nove volte sette”. Di matematiche e altre storie

NOVE VOLTE SETTE
con Salvatore Iermano

PODCAST

Decisioni automatizzate sullo scoring: una questione di diritti
Governance tecnologica

Decisioni automatizzate sullo scoring: una questione di diritti

Ospite: Daniele Vagnarelli

LEGALTECH SHOW
con Silvano Lorusso, Nicolino Gentile