Oscurare od anonimizzare i dati personali nei provvedimenti

La nota sentenza della Corte UE C 311/18, del 16 luglio 2020, c.d Schrems II, ha sancito la invalidità della decisione di adeguatezza del Privacy Shield, cioè dello “scudo giuridico” atto a disciplinare gli aspetti afferenti alla protezione dei dati personali dei trasferimenti internazionali negli Stati Uniti a causa della possibilità per le autorità USA di accedere ai dati personali in applicazione dell’art. 702 del Foreign Intelligence Surveillance Act – FISA.

Per far fronte a tali conseguenze, Google, ad es., ha introdotto clausole contrattuali tipo (MCC) come metodo aggiuntivo per soddisfare i requisiti di adeguatezza e sicurezza sanciti dal Regolamento generale sulla protezione dei dati (GDPR), che però non appaiono sufficienti secondo le Linee Guida EDPB del novembre 2020 edpb_recommendations_202001_supplementarymeasurestransferstools_it. Infatti, le citate Linee guida hanno spiegato che non è sufficiente utilizzare “clausole contrattuali standard” come protezione alternativa, ma che devono essere implementate ulteriori salvaguardie, per negare effettivamente la possibilità di accesso ai dati personali alle autorità USA: “si può fare affidamento per tale trasferimento sulle clausole contrattuali tipo o su altri strumenti di trasferimento di cui all’art. 46 GDPR solo se ulteriori misure tecniche supplementari rendono impossibile o inefficace l’accesso ai dati trasferiti.”

Lo stesso EDPB nella riunione plenaria del 2 settembre 2020 ha attivato anche un gruppo di lavoro con l’obiettivo di predisporre un nuovo accordo USA-UE atto a garantire la correttezza dei trasferimenti, ma non si può ragionevolmente ritenere che la questione verrà definita in tempi brevi.

La questione è di recentissimo e per ora piuttosto indefinito sviluppo e risulta evidentemente particolarmente complessa e di rilievo assai significativo visto che riguarda piattaforme di videoconferen za di larghissimo utilizzo (tipo G Suite ora Google Workspace, Teams di Microsoft) – anche con la DAD – ma in generale tutti i prodotti (fra gli altri) di Google, Microsoft, Facebook, Apple e Amazon (tanto per citarne alcuni: gmail; office365; onedrive; mailchimp; …).

Quale prima misura di sicurezza supplementare rispetto a quelle già adottate, per mitigare il rischio in oggetto, il Titolare può intanto verificare se tale possibilità è consentita configurando al proposito la console di amministrazione della piattaforma. Per poter esercitare un maggiore controllo occorre verificare se la funzionalità relativa alle “aree geografiche dati” offra o meno la possibilità di scegliere dove archiviare i dati – scegliendo ubicazioni UE – quando sono inattivi, sia che si tratti di dati distribuiti globalmente oppure negli Stati Uniti o in tutta l’Europa. Si dovrebbe quindi verificare se lo strumento (piattaforma, sistema od altro) consente di utilizzare altre misure come, ad es., scegliere il formato dei dati da trasferire utilizzando tecniche di cifratura-criptazione o di pseudonimizzazione.

Per dimostrare l’adeguata applicazione del “principio di responsabilizzazione” dello stesso Titolare, si reputa peraltro opportuno procedere alla rilevazione delle attività di trattamento dati che possono essere interessate dalla sentenza Schrems II. Si tratta, in buona sostanza, di una ricognizione su quali potrebbero essere gli strumenti utilizzati dall’Azienda, ovvero dai suoi responsabili esterni del trattamento, che potrebbero subire effetti dalla sentenza: piattaforme cloud; posta elettronica; applicativi in cloud; sistemi di videoconferenze; sistemi di troubleticketing; piattaforme di mail marketing; messaggistica istituzionale; sistemi di screening.