IoT ed esternalizzazione dei dati extra UE

In ambito IoT un tema legale di grande interesse è quello legato alla allocazione fisica dei dati. Spesso, difatti, questi vengono gestiti in cloud sulla base della tipologia di servizio al quale si è aderito e sempre più frequentemente tale scelta riguarda anche la possibilità di recuperarli e la programmazione di piani di disaster recovery.

Ebbene, oggi, chi si occupa di dover selezionare una soluzione che comporti la gestione dei dati “fuori azienda” deve tener ben presente come recentemente siano mutate le condizioni normative rispetto al trasferimento dei dati fuori dai confini europei, in primis verso gli Stati Uniti ma, alla luce di ciò che andremo ad evidenziare, anche con riferimento a Paesi extraeuropei non in grado di garantire il rispetto dei principi del vigente Regolamento Europeo in materia di protezione dati personali. Entriamo nel merito.

Cosa accade con il trasferimento dati extra UE

A seguito della sentenza emanata dalla Corte Europea in data 16 luglio 2020, l’accordo internazionale vigente tra Europa ed USA in materia di trasferimento dati personali – cosiddetto Privacy Shield – è stato dichiarato illegittimo. Le aziende quindi, con dati allocati negli Stati Uniti si sono così trovate di punto in bianco a non poter trasferire i dati lecitamente verso gli USA, salvo ottenere il consenso espresso dell’interessato (quindi ad esempio, con riferimento ai dati di ogni lavoratore ed ogni cliente/fornitore i cui dati fossero presenti sul sistema IoT) o laddove fossero in grado di dimostrare l’impossibilità delle Autorità Governative statunitensi di accedere ai dati di cittadini europei in chiaro.

Ciò ha creato, ovviamente, molta destabilizzazione nelle aziende e nei rapporti B2B tra Europa e USA, ma non solo. La sentenza si ripercuote infatti, nel suo principio di base, su tutti i trasferimenti verso Paesi che non garantiscano diritti agli interessati come previsti, appunto, nel testo normativo europeo. Recentemente la Raccomandazione 1/2020 adottata dal Comitato europeo per la protezione dei dati (EDPB) ha fornito chiarimenti in merito alla procedura di valutazione del trasferimento richiesta a seguito della sentenza Schrems II, indicando step specifici da seguire per poter trasferire i dati fuori dai confini europei individuando anche possibili misure supplementari (tecniche, contrattuali ed organizzative) da adottare al fine di poter garantire una protezione sostanziale ai dati oggetto di trasferimento.

Ad oggi, dunque, coloro che sono in procinto di sviluppare una soluzione IoT o acquisirla, devono necessariamente verificare il flusso di trasferimento dei dati rispetto ai servizi forniti. Se si possiede già una soluzione che prevede i dati allocati fuori dai confini europei, si dovrà obbligatoriamente mappare gli stessi e verificare se le condizioni normative privacy presenti in questi Paesi sono suscettibili di contestazione. È pertanto necessario prendere in considerazione tutta la filiera di trattamento dei dati, valutando – ai fini della mappatura – anche eventuali trasferimenti successivi posti in essere da responsabili e/o da sub-responsabili del trattamento (ad esempio coloro che possono elaborare i dati per nostro conto o ai quali li trasferiamo per poi restituirli elaborati a committenti). Sul fronte invece delle misure tecniche supplementari, alcune meritano di particolare attenzione in quanto gravanti su chi esporta il dato stesso.  La Raccomandazione richiama la cifratura dei dati come misura fondamentale in quanto una crittografia avanzata (strong encryption) applicata prima della trasmissione può evitare accessi ai dati in chiaro non conformi ai principi regolamentari. 

Altra misura prevista è la pseudonimizzazione con la quale è possibile preservare la privacy degli interessati laddove le informazioni aggiuntive necessarie per risalire a persone fisiche identificabili siano in esclusivo possesso del Titolare, impedendo così che soggetti terzi ed eventuali autorità pubbliche del Paese terzo non abbiano informazioni tali da consentire detta identificazione.

È importante tener presente nell’affrontare un progetto IoT questi aspetti perché una erronea applicazione della normativa può comportare un sequestro dei dati ed un loro blocco, oltre alle conseguenze sanzionatorie su una tutt’altro che trascurabile percentuale del fatturato dell’azienda stessa.

Articolo pubblicato su IoTtoday