IoT ed esternalizzazione dei dati extra UE

28/05/2021
di Valentina Frediani

In ambito IoT un tema legale di grande interesse è quello legato alla allocazione fisica dei dati. Spesso, difatti, questi vengono gestiti in cloud sulla base della tipologia di servizio al quale si è aderito e sempre più frequentemente tale scelta riguarda anche la possibilità di recuperarli e la programmazione di piani di disaster recovery.

Ebbene, oggi, chi si occupa di dover selezionare una soluzione che comporti la gestione dei dati “fuori azienda” deve tener ben presente come recentemente siano mutate le condizioni normative rispetto al trasferimento dei dati fuori dai confini europei, in primis verso gli Stati Uniti ma, alla luce di ciò che andremo ad evidenziare, anche con riferimento a Paesi extraeuropei non in grado di garantire il rispetto dei principi del vigente Regolamento Europeo in materia di protezione dati personali. Entriamo nel merito.

Cosa accade con il trasferimento dati extra UE

A seguito della sentenza emanata dalla Corte Europea in data 16 luglio 2020, l’accordo internazionale vigente tra Europa ed USA in materia di trasferimento dati personali – cosiddetto Privacy Shield – è stato dichiarato illegittimo. Le aziende quindi, con dati allocati negli Stati Uniti si sono così trovate di punto in bianco a non poter trasferire i dati lecitamente verso gli USA, salvo ottenere il consenso espresso dell’interessato (quindi ad esempio, con riferimento ai dati di ogni lavoratore ed ogni cliente/fornitore i cui dati fossero presenti sul sistema IoT) o laddove fossero in grado di dimostrare l’impossibilità delle Autorità Governative statunitensi di accedere ai dati di cittadini europei in chiaro.

Ciò ha creato, ovviamente, molta destabilizzazione nelle aziende e nei rapporti B2B tra Europa e USA, ma non solo. La sentenza si ripercuote infatti, nel suo principio di base, su tutti i trasferimenti verso Paesi che non garantiscano diritti agli interessati come previsti, appunto, nel testo normativo europeo. Recentemente la Raccomandazione 1/2020 adottata dal Comitato europeo per la protezione dei dati (EDPB) ha fornito chiarimenti in merito alla procedura di valutazione del trasferimento richiesta a seguito della sentenza Schrems II, indicando step specifici da seguire per poter trasferire i dati fuori dai confini europei individuando anche possibili misure supplementari (tecniche, contrattuali ed organizzative) da adottare al fine di poter garantire una protezione sostanziale ai dati oggetto di trasferimento.

Ad oggi, dunque, coloro che sono in procinto di sviluppare una soluzione IoT o acquisirla, devono necessariamente verificare il flusso di trasferimento dei dati rispetto ai servizi forniti. Se si possiede già una soluzione che prevede i dati allocati fuori dai confini europei, si dovrà obbligatoriamente mappare gli stessi e verificare se le condizioni normative privacy presenti in questi Paesi sono suscettibili di contestazione. È pertanto necessario prendere in considerazione tutta la filiera di trattamento dei dati, valutando – ai fini della mappatura – anche eventuali trasferimenti successivi posti in essere da responsabili e/o da sub-responsabili del trattamento (ad esempio coloro che possono elaborare i dati per nostro conto o ai quali li trasferiamo per poi restituirli elaborati a committenti). Sul fronte invece delle misure tecniche supplementari, alcune meritano di particolare attenzione in quanto gravanti su chi esporta il dato stesso.  La Raccomandazione richiama la cifratura dei dati come misura fondamentale in quanto una crittografia avanzata (strong encryption) applicata prima della trasmissione può evitare accessi ai dati in chiaro non conformi ai principi regolamentari. 

Altra misura prevista è la pseudonimizzazione con la quale è possibile preservare la privacy degli interessati laddove le informazioni aggiuntive necessarie per risalire a persone fisiche identificabili siano in esclusivo possesso del Titolare, impedendo così che soggetti terzi ed eventuali autorità pubbliche del Paese terzo non abbiano informazioni tali da consentire detta identificazione.

È importante tener presente nell’affrontare un progetto IoT questi aspetti perché una erronea applicazione della normativa può comportare un sequestro dei dati ed un loro blocco, oltre alle conseguenze sanzionatorie su una tutt’altro che trascurabile percentuale del fatturato dell’azienda stessa.

Articolo pubblicato su IoTtoday

Riproduzione riservata ©

ALTRE NEWS

e-Health sulle ambulanze: a Pistoia è realtà

Nella provincia di Pistoia, alle ambulanze del pronto soccorso, sono stati assegnati 40 tablet dotati di tecnologia avanzata e software Life mobile. Lo scopo è… Leggi Tutto

Cloud alla maturità. La preparazione fa vincere le imprese

Il Cloud conoscerà una nuova ondata di crescita nella sua adozione. E’ ciò che emerge da uno studio voluto da Cisco, e realizzato da IDC,… Leggi Tutto

Legal as a Service: Ufficio Affari Legali Informatici per le imprese

Colin & Partners affianca i suoi Clienti supportando il Management nel settore del diritto delle nuove tecnologie, un ambito che, sottovalutato in passato, a seguito… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.