Effetti privacy shield

Marco_Marinello · September 22, 2020, 10:55am

Ciao a tutti,

ho appena pubblicato sul sito LugBZ alcune informazioni
sull'invalidazione del privacy shield:
https://www.lugbz.org/effetti-privacy-shield/ .

Come sapete, nella nostra realtà territoriale molti sono gli enti
[pubblici] che utilizzano soluzioni non (più) GDPR-compliant.

Ora si tratta solo di prendere la palla al balzo.

Saluti,

Marco

Roberto_De_Colle · September 27, 2020, 7:16pm

ciao,
grazie delle info.
Ho fatto richiesta al RDP della Provincia che risulta essere (dal sito
della provincia):

*Responsabile della protezione dei dati (RPD): I dati di contatto del RPD
della Provincia autonoma di Bolzano sono i seguenti: Provincia autonoma di
Bolzano, Palazzo 1, Ufficio Organizzazione, Piazza Silvius Magnago 1, 39100
Bolzano; e-mail: rpd(a)provincia.bz.it <rpd(a)provincia.bz.it>, PEC:
rpd_dsb(a)pec.prov.bz.it <rpd_dsb(a)pec.prov.bz.it>*

per sapere se i dati relativi al sistema Lasis vadano all'estero.

Qui sotto la risposta immediata, attendo ulteriori risposte.

Andrea Avanzo <a.avanzo(a)inquiria.it>
gio 24/09/2020 08:43
A: De Colle, Roberto
Cc: Data Protection Officer, Dpo

Buongiorno dott. De Colle,

>sono Andrea Avanzo e rappresento il Gruppo Inquiria Srl, in qualità di
neo DPO della Provincia Autonoma di Bolzano.

>Prendiamo in carico la sua richiesta e sarà nostra cura darle riscontro
entro i termini previsti dalla normativa (30 giorni).

attachment.htm (3.86 KB)

Roberto_De_Colle · October 1, 2020, 10:01am

ciao,
inoltro in lista la risposta, forse qualcuno/a è interessato/a.

Egregio Sig. De Colle,

La presente per dare riscontro alla Sua richiesta del 23 settembre 2020
concernente il trasferimento dei Suoi dati all’estero nell’utilizzo dei
servizi Microsoft nell’ambito della Sua attività lavorativa.

Innanzitutto, è doverosa una premessa riguardo ad una recente pronuncia
della Corte di Giustizia dell'Unione Europea. Giovedì 16 luglio 2020 la
Corte di giustizia ha pronunciato una sentenza nella causa nota come *Schrems
II* (C-3111/18), in cui i meccanismi per il trasferimento di dati personali
tra l'UE e gli USA sono stati contestati e il cd Privacy Shield, sul quale
si reggeva la quasi totalità dei trasferimenti di dati personali di
cittadini europei negli Stati Uniti, in cui moltissime aziende operanti nel
settore informatico hanno sede e in cui sono collocati (almeno,
parzialmente) i loro server.

Tale decisione impone ai Titolari del trattamento di valutare il livello di
protezione dei dati nel paese del destinatario dei dati e di sospendere il
trasferimento se ritenuto non adeguato. La Provincia Autonoma di Bolzano,
la quale per mezzo di sue ripartizioni nonché per il tramite della società *in
house* Informatica Alto Adige SpA, fornisce i sistemi informatici su cui
avvengono i trattamenti di dati personali da parte delle scuole, sta
analizzando la questione in ogni suo aspetto e per quanto in proprio
potere. L’utilizzo di Microsoft e dei suoi vari servizi potrebbe comportare
un possibile trasferimento di dati verso gli USA. In alcuni casi, i dati
personali di cittadini UE potrebbero essere salvati su server in cloud
ubicati in Europa, ma questo, in virtú del Cloud Act non impedirebbe alle
istituzioni governative americane di accedere ai dati dei cittadini
europei. Ecco che, al momento, non risulta possibile introdurre da parte
della Provincia Autonoma di Bolzano, azioni per ovviare ad una problematica
ad ampia portata. A livello europeo sia la Commissione europea sia
l’European Data Protection Board, stanno riconsiderando le clausole
contrattuali tipo (che ad oggi rappresentano l'unico strumento che
consentirebbe di trasferire i dati negli USA), a patto che vengano
predisposte misure supplementari a tutela dei dati in modo che gli
interessati dispongono di rimedi efficaci per esercitare i loro diritti in
conformità al GDPR 2016/679. Alla base della problematica non vi è quindi
solamente il tema del trasferimento dei dati negli USA, che potrebbe essere
presente per alcuni servizi che Microsoft offre, ma vi è un più ampio
problema di ordinamento giuridico.

Non sono state fornite, alla data odierna, né dal Garante Europeo né dal
Garante Privacy nazionale indicazioni più specifiche o istruzioni pratiche
su come ovviare un problema attualmente molto comune. L'utilizzo di
Microsoft, come di altri servizi offerti da aziende statunitensi, sono
imprescindibili per l’effettuazione dell’attività lavorativa come
attualmente configurata non potendo interrompere il servizio ed essendo in
essere i contratti di fornitura del servizio stesso con tale struttura, né
è possibile individuare un fornitore che per certo non operi un tale
trasferimento e fornisca del resto gli stessi livelli qualitativi di
stabilità dei servizi e di sussistenza di misure ad elevato coefficiente
tecnologico nel contrasto al cybercrime, oggi garantiti dai maggiori
provider internazionali. La tutela dei dati trattati da ingerenze terze
deve, infatti, essere misurata anche sul piano, certamente diverso da
quello della minaccia “extraterritoriale”, ma comunque rilevante,
rappresentato dagli illeciti e dagli incidenti di sicurezza.

Si precisa inoltre che Microsoft, nei termini del suo servizio, ha
recentemente rilasciato la dichiarazione (di cui si riporta il link per
consentirle di prendere visione direttamente di quanto indicato) per cui
anche a seguito della decisione della Corte di Giustizia, gli utenti
possono continuare a utilizzare i servizi forniti secondo quanto previsto
dalla normativa europea sulla privacy. Sulla base di tale dichiarazione
rilasciata dal fornitore nonché in virtù delle considerazioni sopra esposte
e rispetto all’esigenza di dare continuazione al servizio - comunque in
un'ottica di salvaguardia della sicurezza dei dati personali - si basa la
momentanea decisione del Titolare del trattamento di continuare l’utilizzo
di tali servizi, nella auspicabile attesa di un necessario intervento da
parte delle autorità competenti.

Restando a disposizione, salutiamo cordialmente.

Per il Gruppo Inquiria Srl

Dott. Andrea Avanzo

attachment.htm (9.22 KB)

Marco_Marinello · October 15, 2020, 1:44pm

Ciao a tutti,

grazie al contributo di alcuni soci (e non) è stato possibile pubblicare
una versione aggiornata del modulo di richiesta di informazioni:
https://www.lugbz.org/effetti-privacy-shield/

-Marco

diego.maniacco · October 16, 2020, 2:46pm

Ottimo, grazie! Sfrutto subito il nuovo documento
diego

attachment.htm (2.53 KB)

diego.maniacco · October 16, 2020, 2:49pm

piccolo refuso:

cambiare "nell’ambio" con "nell’ambito"

attachment.htm (2.59 KB)

Marco_Marinello · October 20, 2020, 8:38am

A seguito degli ultimi sviluppi, ho aggiornato nuovamente la pagina
Effetti privacy shield - LUGBZ con:

* richiesta più specifica;
* richiesta in formato PDF editabile.

-Marco

attachment.htm (1.79 KB)