IoT ed esternalizzazione dei dati extra UE

28/05/2021
di Valentina Frediani

In ambito IoT un tema legale di grande interesse è quello legato alla allocazione fisica dei dati. Spesso, difatti, questi vengono gestiti in cloud sulla base della tipologia di servizio al quale si è aderito e sempre più frequentemente tale scelta riguarda anche la possibilità di recuperarli e la programmazione di piani di disaster recovery.

Ebbene, oggi, chi si occupa di dover selezionare una soluzione che comporti la gestione dei dati “fuori azienda” deve tener ben presente come recentemente siano mutate le condizioni normative rispetto al trasferimento dei dati fuori dai confini europei, in primis verso gli Stati Uniti ma, alla luce di ciò che andremo ad evidenziare, anche con riferimento a Paesi extraeuropei non in grado di garantire il rispetto dei principi del vigente Regolamento Europeo in materia di protezione dati personali. Entriamo nel merito.

Cosa accade con il trasferimento dati extra UE

A seguito della sentenza emanata dalla Corte Europea in data 16 luglio 2020, l’accordo internazionale vigente tra Europa ed USA in materia di trasferimento dati personali – cosiddetto Privacy Shield – è stato dichiarato illegittimo. Le aziende quindi, con dati allocati negli Stati Uniti si sono così trovate di punto in bianco a non poter trasferire i dati lecitamente verso gli USA, salvo ottenere il consenso espresso dell’interessato (quindi ad esempio, con riferimento ai dati di ogni lavoratore ed ogni cliente/fornitore i cui dati fossero presenti sul sistema IoT) o laddove fossero in grado di dimostrare l’impossibilità delle Autorità Governative statunitensi di accedere ai dati di cittadini europei in chiaro.

Ciò ha creato, ovviamente, molta destabilizzazione nelle aziende e nei rapporti B2B tra Europa e USA, ma non solo. La sentenza si ripercuote infatti, nel suo principio di base, su tutti i trasferimenti verso Paesi che non garantiscano diritti agli interessati come previsti, appunto, nel testo normativo europeo. Recentemente la Raccomandazione 1/2020 adottata dal Comitato europeo per la protezione dei dati (EDPB) ha fornito chiarimenti in merito alla procedura di valutazione del trasferimento richiesta a seguito della sentenza Schrems II, indicando step specifici da seguire per poter trasferire i dati fuori dai confini europei individuando anche possibili misure supplementari (tecniche, contrattuali ed organizzative) da adottare al fine di poter garantire una protezione sostanziale ai dati oggetto di trasferimento.

Ad oggi, dunque, coloro che sono in procinto di sviluppare una soluzione IoT o acquisirla, devono necessariamente verificare il flusso di trasferimento dei dati rispetto ai servizi forniti. Se si possiede già una soluzione che prevede i dati allocati fuori dai confini europei, si dovrà obbligatoriamente mappare gli stessi e verificare se le condizioni normative privacy presenti in questi Paesi sono suscettibili di contestazione. È pertanto necessario prendere in considerazione tutta la filiera di trattamento dei dati, valutando – ai fini della mappatura – anche eventuali trasferimenti successivi posti in essere da responsabili e/o da sub-responsabili del trattamento (ad esempio coloro che possono elaborare i dati per nostro conto o ai quali li trasferiamo per poi restituirli elaborati a committenti). Sul fronte invece delle misure tecniche supplementari, alcune meritano di particolare attenzione in quanto gravanti su chi esporta il dato stesso.  La Raccomandazione richiama la cifratura dei dati come misura fondamentale in quanto una crittografia avanzata (strong encryption) applicata prima della trasmissione può evitare accessi ai dati in chiaro non conformi ai principi regolamentari. 

Altra misura prevista è la pseudonimizzazione con la quale è possibile preservare la privacy degli interessati laddove le informazioni aggiuntive necessarie per risalire a persone fisiche identificabili siano in esclusivo possesso del Titolare, impedendo così che soggetti terzi ed eventuali autorità pubbliche del Paese terzo non abbiano informazioni tali da consentire detta identificazione.

È importante tener presente nell’affrontare un progetto IoT questi aspetti perché una erronea applicazione della normativa può comportare un sequestro dei dati ed un loro blocco, oltre alle conseguenze sanzionatorie su una tutt’altro che trascurabile percentuale del fatturato dell’azienda stessa.

Articolo pubblicato su IoTtoday

Riproduzione riservata ©

ALTRE NEWS

Sentenza The Pirate Bay: cosa accadrà alle piattaforme UGC?

The Pirate Bay fuori legge per la Corte di Giustizia Europea. E’ storica la sentenza che condanna la piattaforma di condivisione online indice di BitTorrent,… Leggi Tutto

Il Vademecum aggiornato delle firme “elettroniche”

Prevedere una guida del genere a beneficio degli utenti non pare ad oggi anacronistico poiché le informazioni in materia non smettono mai di “riprodursi”, con… Leggi Tutto

Sistemi intelligenti e verifica preliminare: il Garante dice SI’ alla Banca d’Italia

n risposta alla verifica preliminare presentata dalla Banca di Italia, il Garante si è espresso positivamente in relazione all’installazione di sistemi intelligenti presso la sede… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form