IoT ed esternalizzazione dei dati extra UE

28/05/2021
di Valentina Frediani

In ambito IoT un tema legale di grande interesse è quello legato alla allocazione fisica dei dati. Spesso, difatti, questi vengono gestiti in cloud sulla base della tipologia di servizio al quale si è aderito e sempre più frequentemente tale scelta riguarda anche la possibilità di recuperarli e la programmazione di piani di disaster recovery.

Ebbene, oggi, chi si occupa di dover selezionare una soluzione che comporti la gestione dei dati “fuori azienda” deve tener ben presente come recentemente siano mutate le condizioni normative rispetto al trasferimento dei dati fuori dai confini europei, in primis verso gli Stati Uniti ma, alla luce di ciò che andremo ad evidenziare, anche con riferimento a Paesi extraeuropei non in grado di garantire il rispetto dei principi del vigente Regolamento Europeo in materia di protezione dati personali. Entriamo nel merito.

Cosa accade con il trasferimento dati extra UE

A seguito della sentenza emanata dalla Corte Europea in data 16 luglio 2020, l’accordo internazionale vigente tra Europa ed USA in materia di trasferimento dati personali – cosiddetto Privacy Shield – è stato dichiarato illegittimo. Le aziende quindi, con dati allocati negli Stati Uniti si sono così trovate di punto in bianco a non poter trasferire i dati lecitamente verso gli USA, salvo ottenere il consenso espresso dell’interessato (quindi ad esempio, con riferimento ai dati di ogni lavoratore ed ogni cliente/fornitore i cui dati fossero presenti sul sistema IoT) o laddove fossero in grado di dimostrare l’impossibilità delle Autorità Governative statunitensi di accedere ai dati di cittadini europei in chiaro.

Ciò ha creato, ovviamente, molta destabilizzazione nelle aziende e nei rapporti B2B tra Europa e USA, ma non solo. La sentenza si ripercuote infatti, nel suo principio di base, su tutti i trasferimenti verso Paesi che non garantiscano diritti agli interessati come previsti, appunto, nel testo normativo europeo. Recentemente la Raccomandazione 1/2020 adottata dal Comitato europeo per la protezione dei dati (EDPB) ha fornito chiarimenti in merito alla procedura di valutazione del trasferimento richiesta a seguito della sentenza Schrems II, indicando step specifici da seguire per poter trasferire i dati fuori dai confini europei individuando anche possibili misure supplementari (tecniche, contrattuali ed organizzative) da adottare al fine di poter garantire una protezione sostanziale ai dati oggetto di trasferimento.

Ad oggi, dunque, coloro che sono in procinto di sviluppare una soluzione IoT o acquisirla, devono necessariamente verificare il flusso di trasferimento dei dati rispetto ai servizi forniti. Se si possiede già una soluzione che prevede i dati allocati fuori dai confini europei, si dovrà obbligatoriamente mappare gli stessi e verificare se le condizioni normative privacy presenti in questi Paesi sono suscettibili di contestazione. È pertanto necessario prendere in considerazione tutta la filiera di trattamento dei dati, valutando – ai fini della mappatura – anche eventuali trasferimenti successivi posti in essere da responsabili e/o da sub-responsabili del trattamento (ad esempio coloro che possono elaborare i dati per nostro conto o ai quali li trasferiamo per poi restituirli elaborati a committenti). Sul fronte invece delle misure tecniche supplementari, alcune meritano di particolare attenzione in quanto gravanti su chi esporta il dato stesso.  La Raccomandazione richiama la cifratura dei dati come misura fondamentale in quanto una crittografia avanzata (strong encryption) applicata prima della trasmissione può evitare accessi ai dati in chiaro non conformi ai principi regolamentari. 

Altra misura prevista è la pseudonimizzazione con la quale è possibile preservare la privacy degli interessati laddove le informazioni aggiuntive necessarie per risalire a persone fisiche identificabili siano in esclusivo possesso del Titolare, impedendo così che soggetti terzi ed eventuali autorità pubbliche del Paese terzo non abbiano informazioni tali da consentire detta identificazione.

È importante tener presente nell’affrontare un progetto IoT questi aspetti perché una erronea applicazione della normativa può comportare un sequestro dei dati ed un loro blocco, oltre alle conseguenze sanzionatorie su una tutt’altro che trascurabile percentuale del fatturato dell’azienda stessa.

Articolo pubblicato su IoTtoday

Riproduzione riservata ©

ALTRE NEWS

Strumenti a tutela della Privacy: firmato un protocollo di intenti tra Governo e Garante

Firmato un protocollo di intenti tra Antonello Soro il Presidente dell’Autorità Garante per la protezione dei dati personali e Giampiero Massolo, Direttore generale del Dis… Leggi Tutto

Sentenza Antovic and Mirkovic: il bilanciamento tra privacy e sicurezza

La sentenza della Corte Europea dei Diritti dell’Uomo nel caso Antovic and Mirkovic v. Montenegro (no. 70838/13) racchiude un interessante bilanciamento di interessi tra istanze… Leggi Tutto

Reato navigare su un sito con contenuto pedopornografico?

Recentemente il fenomeno della pedopornografia tramite internet è divenuto un argomento di estrema attualità a causa della sconcertante diffusione di questo illecito attraverso la rete…. Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.