sabato 27 marzo 2021

Illegale usare un fornitore di servizi IT USA senza ulteriori analisi

Da una segnalazione di Pierfrancesco Maistrello (con supporto di Biagio Lammoglia) degli Idraulici della privacy, segnalo questa notizia.

L'Autorità per la Protezione dei Dati bavarese (BayLDA) ha ritenuto che l'uso dello strumento di newsletter Mailchimp da parte di una società tedesca illegale in quanto Mailchimp potrebbe qualificarsi come "fornitore di servizi di comunicazione elettronica" soggetto alla legge di sorveglianza degli Stati Uniti.

Attenzione che il trasferimento era basato sulle clausole contrattuali tipo (standard contractual clauses, SCC), ma l'azienda non aveva valutato se erano necessarie ulteriori misure per assicurare la protezione dei dati dalla sorveglianza USA.

Una sintesi in inglese:
- https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV.

Questo varrebbe un approfondimento. Infatti dice che le SCC sono insufficienti (e già si evinceva dalle linee guida EDPB). Ma un DPO o consulente medio (e magari mediocre come me), come fa a fare analisi approfondite sulla possibilità che i dati siano visti dalle agenzie di sorveglianza statunitensi? e quali misure potrebbe mai mettere in campo?

Perché allora tanto vale dire che, per le PMI, è vietato trasferire i dati negli USA in tutti i casi, visto che non possono permettersi valutazioni significative.

Poi ancora, mi pare che si limiti a una società usa con dati negli USA. Chissà se si estende a società USA con dati in EU?

Contributi e segnalazioni sono ben accetti.

1 commento:

  1. Condivido le sue conclusioni, una PMI che può fare? Fra parentesi mi risulta che le società USA, anche se trattano dati su suolo extra USA, siano obbligati ad assoggettarsi alle leggi Statunitensi. Però i rischi di ledere i diritti spesso sono irrisori.

    RispondiElimina