Apertura del vaso di Pandora: Le aziende non possono dire come si conformano alla sentenza della CGUE

Set 25, 2020

Apertura del vaso di Pandora Le aziende non possono dire come si conformano alla sentenza della CGUE

A seguito della sentenza della Corte nel Caso C-311/18 ("Schrems II") sul Privacy Shield e le clausole contrattuali standard, il team noyb e alcuni dei nostri membri hanno contattato 33 aziende e servizi che utilizzano su base personale per chiedere loro come si stavano avvicinando ai trasferimenti internazionali di dati. Le risposte che abbiamo ricevuto sono state molteplici: da quelle positive, a quelle negative, a quelle scioccanti. Abbiamo ora compilato un rapporto per il pubblico che descrive in dettaglio queste risposte.

  • Scorrete le risposte raccolte dalle aziende in questo rapporto di 45 pagine (PDF) che va da Airbnb a Zoom
  • Consulta il comunicato stampa (PDF)

Dopo che la CGUE si è pronunciata per la seconda volta sui trasferimenti di dati UE-USA (dopo la fine di "Safe Harbor" nel 2015), ci chiedevamo se le aziende sono ora meglio attrezzate per affrontare le regole della GDPR sui trasferimenti internazionali di dati. Gli utenti hanno il diritto di ottenere informazioni dettagliate su dove sono stati inviati i loro dati. Di conseguenza, il seguente testo è stato presentato ad ogni azienda tra luglio e settembre 2020:

"Gentile signore/madre,

Sono uno dei vostri clienti. In conformità agli articoli 12, 13, 14 e 15 del GDPR, faccio le seguenti richieste:

  • Trasferite dati al di fuori dell'UE? Se sì, in quali paesi?
  • Qual è la base giuridica su cui si basa ogni trasferimento (ad es. decisione di adeguatezza, SCC, BCR, deroghe...)? Se avete utilizzato SCC o BCR, siete pregati di fornire una copia dei SCC o BCR utilizzati per ogni trasferimento.
  • In caso di invio di dati personali negli Stati Uniti, uno dei vostri partner rientra nella 50 USC §1881a ("FISA 702") o fornisce dati al governo degli Stati Uniti ai sensi della norma EO 12.333?
  • Se inviate dati personali negli Stati Uniti, quali misure tecniche state adottando affinché i miei dati personali non siano esposti a intercettazioni da parte del governo americano in transito?

Si prega di rispondere entro una settimana, poiché il GDPR richiede di rispondere "senza indebito ritardo". Si tratta di una semplice richiesta che non richiede un'analisi approfondita. Un'ulteriore identificazione al di là della mia e-mail non sembra necessaria, dato che non richiedo una copia dei miei dati personali. Se avete bisogno di ulteriori informazioni, non esitate a contattarmi.

Cordiali saluti, Nome"

Risposte sorprendenti - o nessuna risposta. Le risposte sono state nel complesso sorprendenti. Alcune aziende come Airbnb, Netflix e WhatsApp non hanno risposto affatto alle nostre richieste di informazioni, mentre altre aziende ci hanno semplicemente reindirizzato alle loro politiche sulla privacy, che mancavano di una spiegazione più dettagliata

Altri hanno fornito informazioni che in realtà non portano ad una maggiore certezza: Ad esempio, Slack (un software molto popolare per la comunicazione interna nelle imprese) ha dichiarato di non fornire "volontariamente" ai governi l'accesso ai dati, il che non risponde alla domanda se siano obbligati a farlo in base a leggi di sorveglianza come la FISA702.

Altre aziende se la sono cavata meglio con le loro risposte, come Microsoft, che ha fornito una risposta ad ogni domanda posta, o Virgin Media, che ci ha inviato una copia delle loro clausole contrattuali standard. Allo stesso tempo, Microsoft continua a sostenere di poter trasferire dati personali negli Stati Uniti (link al blog di Microsoft), nonostante sia una delle società esplicitamente nominate dai documenti divulgati da Edward Snowden e che numera pubblicamente le richieste FISA702 del governo americano ricevuto e rispondete.

Nel complesso, siamo rimasti stupiti da quante aziende non sono state in grado di fornire poco più di una risposta. Sembra che la maggior parte del settore non abbia ancora un piano su come procedere.

Desiderate presentare una richiesta simile alle aziende e ai servizi con cui interagite? Sentitevi liberi di utilizzare uno dei nostri modelli in questa pagina qui!