sabato 27 marzo 2021

Illegale usare un fornitore di servizi IT USA senza ulteriori analisi

Da una segnalazione di Pierfrancesco Maistrello (con supporto di Biagio
Lammoglia) degli Idraulici della privacy, segnalo questa notizia.

L'Autorità per la Protezione dei Dati bavarese (BayLDA) ha ritenuto che
l'uso dello strumento di newsletter Mailchimp da parte di una società
tedesca illegale in quanto Mailchimp potrebbe qualificarsi come "fornitore
di servizi di comunicazione elettronica" soggetto alla legge di sorveglianza
degli Stati Uniti.

Attenzione che il trasferimento era basato sulle clausole contrattuali tipo
(standard contractual clauses, SCC), ma l'azienda non aveva valutato se
erano necessarie ulteriori misure per assicurare la protezione dei dati
dalla sorveglianza USA.

Una sintesi in inglese:
- https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV.

Questo varrebbe un approfondimento. Infatti dice che le SCC sono
insufficienti (e già si evinceva dalle linee guida EDPB). Ma un DPO o
consulente medio (e magari mediocre come me), come fa a fare analisi
approfondite sulla possibilità che i dati siano visti dalle agenzie di
sorveglianza statunitensi? e quali misure potrebbe mai mettere in campo?

Perché allora tanto vale dire che, per le PMI, è vietato trasferire i dati
negli USA in tutti i casi, visto che non possono permettersi valutazioni
significative.

Poi ancora, mi pare che si limiti a una società usa con dati negli USA.
Chissà se si estende a società USA con dati in EU?

Contributi e segnalazioni sono ben accetti.

Nessun commento:

Posta un commento