Aprire il vaso di Pandora Le aziende non possono dire come si conformano alla sentenza della CGUE
Dopo la sentenza della Corte nella causa C-311/18 ("Schrems II") sullo scudo per la privacy e le clausole contrattuali standard, il team di noyb e alcuni dei nostri membri di hanno contattato 33 aziende e servizi che usano su base personale per chiedere loro come si stanno avvicinando ai trasferimenti internazionali di dati. Le risposte che abbiamo ricevuto hanno spaziato in tutto lo spettro: da buono, a cattivo, a scioccante. Ora abbiamo compilato un rapporto per il pubblico che dettaglia queste risposte.
- Scorri le risposte raccolte dalle aziende in questo rapporto di 45 pagine(PDF) che va da Airbnb a Zoom
- Guarda il comunicato stampa(PDF)
Dopo che la CGUE si è pronunciata sui trasferimenti di dati UE-USA per la seconda volta (dopo la fine di "Safe Harbor" nel 2015), ci chiedevamo se le aziende sono ora meglio attrezzate per affrontare le regole del GDPR sui trasferimenti internazionali di dati. Gli utenti hanno il diritto di ottenere informazioni dettagliate, dove i loro dati sono stati inviati. Di conseguenza, il seguente testo è stato presentato ad ogni azienda tra luglio e settembre 2020:
"Gentile signore/signora,
Sono uno dei vostri clienti. In conformità con gli articoli 12, 13, 14 e 15 del GDPR, faccio le seguenti richieste:
- Trasferite i dati al di fuori dell'UE? Se sì, verso quali paesi?
- Qual è la base giuridica invocata per ogni trasferimento (ad esempio decisione di adeguatezza, SCC, BCR, deroghe...)? Se avete usato SCC o BCR, vi preghiamo di fornire una copia degli SCC o BCR usati per ogni trasferimento.
- Se inviate dati personali agli Stati Uniti, qualcuno dei vostri partner ricade sotto il 50 USC §1881a ("FISA 702") o fornisce dati al governo statunitense ai sensi dell'EO 12.333?
- Se inviate dati personali negli Stati Uniti, quali misure tecniche state adottando affinché i miei dati personali non siano esposti a intercettazioni da parte del governo statunitense durante il transito?
Si prega di rispondere entro una settimana, poiché il GDPR richiede di rispondere "senza indebito ritardo". Questa è una semplice richiesta che non richiede un'analisi approfondita. Un'ulteriore identificazione oltre alla mia email non sembra necessaria, dato che non chiedo una copia dei miei dati personali. Se avete bisogno di ulteriori informazioni, non esitate a contattarmi.
Cordiali saluti, Nome"
Risposte sorprendenti - o nessuna risposta. Le risposte sono state nel complesso sorprendenti. Alcune aziende come Airbnb, Netflix e WhatsApp non hanno risposto affatto alle nostre richieste di informazioni, mentre altre aziende ci hanno semplicemente reindirizzato alle loro politiche sulla privacy, prive di spiegazioni più dettagliate
Altri hanno fornito informazioni che in realtà non portano a maggiori certezze: Per esempio, Slack (un software molto popolare per la comunicazione interna nelle aziende) ha dichiarato di non fornire "volontariamente " ai governi l'accesso ai dati, il che non risponde alla domanda se sono costretti a farlo secondo le leggi di sorveglianza come la FISA702.
Altre aziende sono andate meglio con le loro risposte, come Microsoft, che ha fornito una risposta ad ogni domanda posta, o Virgin Media, che ci ha inviato una copia delle loro clausole contrattuali standard. Allo stesso tempo, Microsoft continua a sostenere che possono trasferire dati personali negli Stati Uniti(link al blog di Microsoft), nonostante sia una delle aziende esplicitamente nominate dai documenti divulgati da Edward Snowden e numerando pubblicamente le richieste FISA702 del governo statunitense ricevuto e ha risposto.
Nel complesso, siamo rimasti stupiti da quante aziende non sono state in grado di fornire poco più di una risposta boilerplate. Sembra che la maggior parte dell'industria non abbia ancora un piano su come andare avanti.
Volete presentare una richiesta simile alle aziende e ai servizi con cui interagite? Sentitevi liberi di usare uno dei nostri modelli su questa pagina qui!
