Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Trasferimento dati extra UE – Utilizzo programmi Microsoft

A seguito della sentenza Schrems II che ha invalidato il Privacy Shield, sono stati sollevati alcuni dubbi sulla possibilità di utilizzo degli strumenti didattici offerti da Microsoft.

Il GDPR disciplina il trasferimento dei dati verso paesi terzi nel capo V. In forza di quanto stabilito negli art. 44 e seguenti i suddetti trasferimenti possono essere fatti mediante tre strumenti:

  • In base ad una decisione di adeguatezza della Commissione Europea. La Commissione Europea, ritenendo che un paese terzo assicuri adeguate garanzia per la tutela dei dati può emettere take decisione e assicurare, così, che il trasferimento possa avvenire senza ulteriori autorizzazioni.
  • Le Bindig Corporate Rules sono uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune.
  • Le Standard Contractual Clauses sono clausole contrattuali stabilite dalla Commissione europea o dall’autorità di controllo competente, previa approvazione della Commissione; incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti dal GDPR anche nel Paese terzo o all’interno dell’organizzazione di destinazione

Il Privacy Shield, normativa che disciplina la tutela dei dati in America, era stato oggetto nel febbraio 2016 di una decisione di adeguatezza della Commissione Europea con la quale veniva certificata l’adeguatezza della protezione dei dati personali offerta dal Privacy Shield per i trasferimenti tra UE e USA. Con la sentenza del 16 luglio 2020 (sentenza “Schrems Il”), la Corte di Giustizia ha dichiarato invalida la Decisione di adeguatezza del Privacy Shield (Decisione 2016/1250).

Bisogna tenere presente che non essendo la certificazione di adeguatezza della Commissione Europea l’unico strumento mediante il quale è possibile trasferire in modo sicuro dati fuori dall’Unione Europea, è ad oggi ben possibile proseguire tali trasferimenti mediante il ricorso alle Binding Corporate Rules e alle Standard Contractual Clause.

Da segnalare inoltre quanto segue:

  • Nella privacy policy di Microsoft è dichiarato “Microsoft aderisce ai principi dei framework EU-U.S. e Swiss-U.S. Privacy Shield, sebbene Microsoft non si basi sul quadro normativo EU-U.S. Privacy Shield come base giuridica per il trasferimento di dati personali alla luce della sentenza della Corte di giustizia dell’UE caso C-311/18. Per ulteriori informazioni, vedere Visitare il sito Web di Privacy Shield del Dipartimento del Commercio degli Stati Uniti.”
  • Il giorno della sentenza della Corte di Giustizia dichiara: “Oggi la Corte di Giustizia dell’Unione Europea ha emesso una sentenza relativa ad un Caso che esamina i trasferimenti di dati dall’UE. Vogliamo chiarire l’impatto di questa decisione per i nostri Clienti. Confermiamo che tutti i nostri Clienti possono continuare a utilizzare i servizi Microsoft, in pieno rispetto del diritto europeo. La sentenza della Corte non modifica la capacità di trasferire dati tra l’UE e gli Stati Uniti utilizzando il cloud Microsoft.
  • Per anni, Microsoft ha fornito ai Clienti livelli di protezione elevati sia per gli Standard Contractual Clauses (SCC) che per il Privacy Shield in merito a tutti i trasferimenti di dati. Anche se la sentenza odierna ha invalidato l’utilizzo di Privacy Shield, gli SCC rimangono validi. I nostri Clienti sono già protetti dalle SCC per l’utilizzo del cloud Microsoft e i relativi trasferimenti di dati”, e ribadisce che:
    “Microsoft ha sottoposto le sue clausole contrattuali standard al Gruppo di lavoro articolo 29 dell’Unione europea affinché vengano riviste e approvate. Il Gruppo di lavoro articolo 29 include rappresentanti del Garante europeo della protezione dei dati, della Commissione europea e di ognuna delle 28 autorità per la protezione dei dati dell’Unione europea (DPA).Il gruppo ha stabilito che l’implementazione delle disposizioni negli accordi Microsoft era conforme ai loro rigidi requisiti (Microsoft è stato il primo provider di servizi cloud a ricevere una lettera di approvazione da parte del gruppo)”.