MagNews: la soluzione scelta dalle aziende per essere GDPR Compliant ed evitare trasferimenti extra UE

La Piattaforma MagNews continua a confermarsi come la soluzione prescelta da tutte quelle aziende che cercano uno strumento GDPR compliant: infatti, oltre ad essere soggetta a costanti verifiche sul fronte privacy e security, la Piattaforma non trasferisce dati personali al di fuori dell’Unione Europea.

Così facendo, i dati personali dei soggetti interessati sono posti al riparo da potenziali rischi elevati connessi al trasferimento.

Share
Condividi su linkedin
Condividi su twitter
Condividi su facebook
Data Protection

Sul fronte trasferimenti dei dati personali, infatti, non ci sono grosse novità rispetto a quanto è stato spiegato nel webinar Privacy Shield invalidato: il futuro incerto dei trasferimenti di dati personali verso gli USA tenutosi il 16 ottobre scorso. Se hai perso il webinar, puoi rivederlo:

 

Pertanto, ad oggi, a seguito dell’invalidazione del Privacy Shield, non sussiste un valido strumento per i trasferimenti dei dati personali negli Stati Uniti (e non solo).

 

Lo stesso European Data Protection Board (EDPB) ha chiarito nelle sue FAQ che in assenza di supplementary measures, le quali garantiscano che la normativa statunitense non interferisca con l'adeguato livello di protezione garantito dal GDPR, il trasferimento dovrà essere interrotto (si vedano anche le Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data).

 

Tuttavia, l’attuazione concreta di queste supplementary measures appare non sempre possibile. Alcuni trattamenti che necessitano del dato personale in chiaro (ad es. semplice invio di un messaggio e-mail), precludono ad esempio l’utilizzo di misure comunemente adottate come la cifratura o la pseudonimizzazione.

 

Così, molti fornitori di servizi online hanno deciso di assumersi il “rischio” del trasferimento, impegnandosi a tenere indenni i clienti dei danni che questi dovessero subire a causa della condivisione dei dati da parte di quest’ultime verso un governo di un paese terzo e rischiando, altresì, sanzioni fino a €20.000.000 o fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

 

L’Autorità Garante svedese, la prima a pronunciarsi a seguito dell’invalidazione del Privacy Shield, afferma che il trasferimento di per sé dà vita ad un rischio elevato per i dati personali in quanto gli interessati sono limitati nella protezione e nell’attuazione dei loro diritti privacy.

 

In termini pratici, ciò significa che le organizzazioni non possono più semplicemente “inserire” le sanzioni nel proprio budget, ma, considerate le gravi sanzioni previste, devono tenere conto che potrebbero essere costrette ad interrompere bruscamente il trasferimento dei dati personali.

 

Concludendo, la decisione di Diennea di non trasferire dati personali al di fuori dell’Unione Europea attraverso la Piattaforma MagNews si dimostra ancora una volta vincente ed è stata attuata contenendo il numero dei sub-responsabili coinvolti e prestando sempre massima attenzione alla loro selezione.

 

Il pregio di Diennea e della sua Piattaforma è stato proprio quello di avere un effettivo controllo sulla fornitura, di modo che, di fronte all’invalidazione del Privacy Shield, è stato possibile mantenere immutato il livello di servizio erogato.

Data Protection

Di seguito le risposte ad alcune FAQ:

Che cosa si intende per dato personale?

Per «dato personale» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (cfr. art. 4, par. 1) GDPR).

Che cosa si intende per trattamento?

Per «trattamento» si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione (cfr. art. 4, par. 2) GDPR).

Che cosa significa trasferire i dati personali?

Il GPDR non contiene una definizione di “trasferimento”. Deve, comunque, ritenersi che esso sussista ogniqualvolta un dato personale sia materialmente trasferito al di fuori dell’Unione Europea.

E’ sufficiente che l’azienda che eroga il servizio sia stabilita in Unione Europea?

No, sia l’azienda stessa che tutti i suoi sub-responsabili devono trattare i dati personali in Europea.

E’ sufficiente che i server che conservano i dati siano sul territorio europeo?

No, se l’azienda ha sede negli USA o al di fuori dell’Unione Europea. Questa, infatti, potrebbe essere sottoposta ai controlli e richieste di accesso ai dati personali da parte delle Autorità Governative dei rispettivi paesi di appartenenza.

Se l’azienda è americana può comunque trattare dati di cittadini europei?

Lo può fare, ma, considerato che non sussiste più un valido strumento per i trasferimenti dei dati personali negli Stati Uniti, potrebbe incorrere in sanzioni.

Chiedi sempre consiglio al tuo Consulente Legale prima di iniziare un nuovo trattamento!