Trasferimento dati negli USA, stretta del garante tedesco

Chiesti sistemi crittografici non violabili, ma mancano i riferimenti tecnici di Andrea Monti – IlSole24Ore – Norme e Tributi del 29 agosto 2020

Il 24 agosto 2020 l’autorità di protezione dei dati del Baden-Württemberg (uno dei sedici stati federati della Germania) ha emanato le linee guida per il trasferimento internazionale dei dati personali che impongono regole stringenti nell’interazione con Paesi terzi e in particolare con gli USA. Le linee guida, valide solo all’interno dello Stato tedesco, si sono rese necessarie a seguito della sentenza “Schrems II” emessa il 16 luglio 2020 con la quale la Corte europea di giustizia ha annullato il “privacy shield” della Commissione Europea che, appunto, consentiva lo scambio di dati con gli USA.

Secondo le linee guida, visto che il “privacy shield” non è più valido, le “standard clauses” predisposte dalla Commissione raramente potranno soddisdare i requisiti imposti dal GDPR a tutela dei dati personali dei cittadini europei. Di conseguenza, i titolari del trattamento basati nel Baden-Württemberg o che trattano dati di cittadini che vi appartengono, devono adottare misure ulteriori per garantire effettivamente la sicurezza dei dati.  Fra le tante possibili, le linee guida prescrivono esplicitamente di utilizzare sistemi crittografici che l’intelligence USA non può violare.

Benché questa prescrizione non esaurisca l’elenco dei nuovi doveri (e responsabilità) del titolare del trattamento, fornisce tuttavia un criterio per valutare tipologia ed efficacia delle misure che titolari, DPO e responsabili esterni devono adottare, applicando un criteriso di efficacia sostanziale e non meramente formale.

Ci sono, tuttavia, degli aspetti problematici.

Al di là del fatto che l’imposizione a un’azienda americana di una clausola del genere la renderebbe non applicabile (di certo in Italia sarebbe nulla, per contrarietà all’ordine pubblico), ci sono questioni tecniche e organizzative che complicano la possibilità concreta di soddisfare questa prescrizione.

In primo luogo, a differenza degli USA che si sono dotati dell’Advanced Encryption Standard, l’Unione Europea non ha un algoritmo crittografico ufficiale. Quindi i titolari del trattamento non hanno punti di riferimento normativi e tecnici per compiere le valutazioni richieste dagli articoli 25, 32 e 35 del GDPR.

In secondo luogo e di conseguenza, non c’è alcun modo di sapere quale sia la reale capacità degli USA di “rompere” gli algoritmi crittografici disponibili sul mercato.

In terzo luogo, la presa di conoscenza dei dati può avvenire anche senza necessariamente violare un sistema crittografico, ma attaccando altri anelli della sicurezza fino ad arrivare al fattore umano.

Infine, anche se tutto questo fosse possibile, bisognere anche considerare l’impatto in termini di costi e ristrutturazione dei processi aziendali per sostenere questo notevole incremento di prescrizioni.

Complessivamente, dunque, anche se la prescrizione del Garante tedesco è perfettamente coerente con il GDPR (e, in realtà, anche con la precedente direttiva 95/46), nei fatti è estremamente difficile da applicare.

Inoltre, le linee guida creano un disallineamento con le altre autorità nazionali di protezione che non si sono ancora pronunciate e rendono ancora più complesso, per le aziende europee che operano in contesti trans- e internazionali, adattare i propri processi organizzativi alla moltitudine di “soft-law” generata dal GDPR.

 

Possibly Related Posts: