Privacy e EDPB: raccomandazioni per i trasferimenti extra SEE (versione 2)

L'EDPB ha pubblicato a giugno 2021 la versione 2 delle "Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data":
- https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en.

Ringrazio Chiara Ponti degli Idraulici della privacy per la segnalazione.

Leggendo, mi sono segnato alcune note che condivido (alcune ripetono cose che scrissi dopo la lettura della versione 1 delle raccomandazioni).
- Al punto 13 specifica che permettere gli accessi da altri Paesi (per esempio per il supporto dei sistemi IT) rappresenta un trasferimento al di fuori della SEE. Questo amplia notevolmente l'ambito dei trasferimenti, in sostanza a tutti i cloud provider. Questo dovrà essere opportunamente affrontato anche quando, per i fornitori cloud, si specificano i data center in Europa.
- Al punto 18 ci ricordo, e ringrazio, che la lista delle decisioni di adeguatezza è all'URL https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
- I punti 30 e 31 dicono cosa bisogna valutare prima di iniziare un trasferimento extra SEE. Io continuo a pensare che pochissimi possono affrontare questo tipo di analisi e quindi le PMI dovrebbero evitare ogni trasferimento (tra Idraulici abbiamo convenuto per si potrebbe "sbagliare in compagnia", usando i servizi degli OTT).
- Alcune misure sono difficilmente applicabili anche dai più grandi. A questo punto, o si decide di "sbagliare in compagnia", o si dovrebbero solo usare fornitori nello Spazio economico europeo.
- In Appendice C ci sono link per raccogliere elementi di analisi sui Paesi dove trasferire i dati, ma nella realtà non sono proprio d'aiuto.
- Lo Use Case 7 (punto 96 e seguenti) tratta dei trasferimenti all'interno di Gruppi. Si tratta di un aspetto problematico perché le filiali europee hanno spesso difficoltà a farsi sentire presso le Case madri in UK o USA. Purtroppo le raccomandazioni non accennano a questi problemi.
- I punti 105 e 106, in sostanza, suggeriscono di imporre all'importatore di fare lui l'analisi di adeguatezza. Mi sembra abbastanza divertente perché, con parole meno dirette, suggeriscono di scaricare il barile.

Ringrazio tutti gli Idraulici della privacy per aver dibattuto con me i punti.

Il CNIL ha pubblicato una mappa "Data protection around the world":
- https://www.cnil.fr/en/data-protection-around-the-world.

Immaginavo potesse aiutare per le valutazioni richieste da EDPB, ma in realtà fornisce indicazioni non utili (solo accenni sulla normativa privacy in vigore nei diversi Paesi e la presenza di un'autorità garante). Mi permetto di sperare nel futuro.