IoT ed esternalizzazione dei dati extra UE

28/05/2021
di Valentina Frediani

In ambito IoT un tema legale di grande interesse è quello legato alla allocazione fisica dei dati. Spesso, difatti, questi vengono gestiti in cloud sulla base della tipologia di servizio al quale si è aderito e sempre più frequentemente tale scelta riguarda anche la possibilità di recuperarli e la programmazione di piani di disaster recovery.

Ebbene, oggi, chi si occupa di dover selezionare una soluzione che comporti la gestione dei dati “fuori azienda” deve tener ben presente come recentemente siano mutate le condizioni normative rispetto al trasferimento dei dati fuori dai confini europei, in primis verso gli Stati Uniti ma, alla luce di ciò che andremo ad evidenziare, anche con riferimento a Paesi extraeuropei non in grado di garantire il rispetto dei principi del vigente Regolamento Europeo in materia di protezione dati personali. Entriamo nel merito.

Cosa accade con il trasferimento dati extra UE

A seguito della sentenza emanata dalla Corte Europea in data 16 luglio 2020, l’accordo internazionale vigente tra Europa ed USA in materia di trasferimento dati personali – cosiddetto Privacy Shield – è stato dichiarato illegittimo. Le aziende quindi, con dati allocati negli Stati Uniti si sono così trovate di punto in bianco a non poter trasferire i dati lecitamente verso gli USA, salvo ottenere il consenso espresso dell’interessato (quindi ad esempio, con riferimento ai dati di ogni lavoratore ed ogni cliente/fornitore i cui dati fossero presenti sul sistema IoT) o laddove fossero in grado di dimostrare l’impossibilità delle Autorità Governative statunitensi di accedere ai dati di cittadini europei in chiaro.

Ciò ha creato, ovviamente, molta destabilizzazione nelle aziende e nei rapporti B2B tra Europa e USA, ma non solo. La sentenza si ripercuote infatti, nel suo principio di base, su tutti i trasferimenti verso Paesi che non garantiscano diritti agli interessati come previsti, appunto, nel testo normativo europeo. Recentemente la Raccomandazione 1/2020 adottata dal Comitato europeo per la protezione dei dati (EDPB) ha fornito chiarimenti in merito alla procedura di valutazione del trasferimento richiesta a seguito della sentenza Schrems II, indicando step specifici da seguire per poter trasferire i dati fuori dai confini europei individuando anche possibili misure supplementari (tecniche, contrattuali ed organizzative) da adottare al fine di poter garantire una protezione sostanziale ai dati oggetto di trasferimento.

Ad oggi, dunque, coloro che sono in procinto di sviluppare una soluzione IoT o acquisirla, devono necessariamente verificare il flusso di trasferimento dei dati rispetto ai servizi forniti. Se si possiede già una soluzione che prevede i dati allocati fuori dai confini europei, si dovrà obbligatoriamente mappare gli stessi e verificare se le condizioni normative privacy presenti in questi Paesi sono suscettibili di contestazione. È pertanto necessario prendere in considerazione tutta la filiera di trattamento dei dati, valutando – ai fini della mappatura – anche eventuali trasferimenti successivi posti in essere da responsabili e/o da sub-responsabili del trattamento (ad esempio coloro che possono elaborare i dati per nostro conto o ai quali li trasferiamo per poi restituirli elaborati a committenti). Sul fronte invece delle misure tecniche supplementari, alcune meritano di particolare attenzione in quanto gravanti su chi esporta il dato stesso.  La Raccomandazione richiama la cifratura dei dati come misura fondamentale in quanto una crittografia avanzata (strong encryption) applicata prima della trasmissione può evitare accessi ai dati in chiaro non conformi ai principi regolamentari. 

Altra misura prevista è la pseudonimizzazione con la quale è possibile preservare la privacy degli interessati laddove le informazioni aggiuntive necessarie per risalire a persone fisiche identificabili siano in esclusivo possesso del Titolare, impedendo così che soggetti terzi ed eventuali autorità pubbliche del Paese terzo non abbiano informazioni tali da consentire detta identificazione.

È importante tener presente nell’affrontare un progetto IoT questi aspetti perché una erronea applicazione della normativa può comportare un sequestro dei dati ed un loro blocco, oltre alle conseguenze sanzionatorie su una tutt’altro che trascurabile percentuale del fatturato dell’azienda stessa.

Articolo pubblicato su IoTtoday

Riproduzione riservata ©

ALTRE NEWS

“Navigare Sicuri”: Colin & Partners a fianco di Confindustria Firenze e della Polizia Postale per promuovere la “cultura della sicurezza” nelle scuole

Quando si parla di “cultura della sicurezza” si pensa soprattutto alle imprese, i danni in sua assenza possono essere significativi. La nostra esperienza sul campo… Leggi Tutto

Dispositivi mobili in azienda: cosa fare per non trasformare un’opportunità in un rischio

Cresciuti esponenzialmente negli ultimi anni i dispositivi mobili possono essere considerati uno dei contributi di maggior rilievo nell’ambito del processo di business transformation, a vantaggio… Leggi Tutto

Tavolo permanente al Viminale per valutare l’idoneità degli impianti di sicurezza

Nuove direttive sul fronte degli impianti di videosorveglianza comunale. Le linee guida arrivano dal Ministero dell’Interno con la nota n. 224632 del 2 Marzo 2012,… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.