A seguito della sentenza Schrems II, la CNIL è stata interpellata dalla Conferenza dei Presidenti dell’Università e dalla Conferenza delle Grandes Ecoles sull’utilizzo delle “suite collaborative per l’educazione” proposte dalle aziende americane, più in particolare per quanto riguarda la questione dei trasferimenti internazionali di dati personali. Dato il rischio di accesso illegale ai dati, la CNIL chiede modifiche nell’uso di questi strumenti e sosterrà le organizzazioni interessate per identificare possibili alternative.
La Conférence des grandes écoles (CGE) e la Conference of University Presents (CPU) hanno interrogato la CNIL sulla conformità con il GDPR dell’uso, nell’istruzione superiore e nella ricerca, di strumenti di collaborazione offerti da alcune società con sede negli Stati Uniti. Questa richiesta di consulenza è particolarmente in linea con l’annullamento dello scudo per la privacy da parte della Corte di giustizia dell’Unione europea (CGUE).
Questo approccio fa parte dell’accelerazione della trasformazione digitale nell’istruzione e nella ricerca, ma anche più in generale in tutte le organizzazioni pubbliche e private, coinvolgendo servizi che si basano, per molti, su tecnologie di cloud computing ( cloud computing ). La CNIL ha osservato che l’utilizzo di queste soluzioni mette in luce le problematiche sempre più significative relative al controllo dei flussi di dati a livello internazionale, all’accesso ai dati da parte delle autorità di paesi terzi, ma anche all’autonomia, e alla sovranità digitale degli europei Unione. Inoltre, il 17 maggio 2021 il governo ha annunciato una strategia cloud nazionale, al fine di comprendere le principali sfide di questa tecnologia per la Francia, con l’obiettivo di proteggere meglio i dati elaborati in questi servizi, affermando la nostra sovranità.
LE CONSEGUENZE DELL’INVALIDAZIONE DEL PRIVACY SHIELD
Il 16 luglio 2020, la CGUE ha stabilito che la sorveglianza esercitata dai servizi di intelligence americani sui dati personali dei cittadini europei era eccessiva, non sufficientemente controllata e senza alcuna reale possibilità di appello. Ne ha dedotto che i trasferimenti di dati personali dall’Unione Europea agli Stati Uniti sono contrari al GDPR e alla Carta dei diritti fondamentali dell’Unione Europea, a meno che non siano messe in atto misure aggiuntive o se i trasferimenti siano giustificati ai sensi dell’articolo 49 del il GDPR (che prevede esenzioni in situazioni specifiche).
Se la CNIL e le sue controparti continuano ad analizzare tutte le conseguenze di questa decisione, le organizzazioni pubbliche e private, francesi ed europee, devono già conformarsi a queste nuove regole privilegiando soluzioni che rispettino il GDPR, soprattutto quando ricorrono.ha soluzioni di cloud computing .
In particolare, tale sentenza ha avuto conseguenze, in particolare in Francia, nell’attuazione dei dati sanitari della Piattaforma ( Health Data Hub ), attualmente ospitato all’interno di un’infrastruttura statunitense (Microsoft Azure). In effetti, il Consiglio di Stato ha riconosciuto il rischio di trasferimento di dati sanitari negli Stati Uniti, a causa della sottomissione di Microsoft alla legge statunitense, e ha richiesto ulteriori garanzie di conseguenza. Condividendo questa preoccupazione, la CNIL ha chiesto e ottenuto nuove garanzie dal ministero responsabile della salute per quanto riguarda un cambiamento nella soluzione tecnica entro un determinato periodo di tempo. Questa piattaforma sarà quindi ospitata nelle infrastrutture europee entro 12-18 mesi e, in ogni caso, non oltre due anni dopo novembre 2020.
La posizione della CNIL sugli strumenti statunitensi per l’istruzione superiore e la ricerca
I documenti trasmessi dalla CPU e dal CGE mostrano, in alcuni casi, trasferimenti di dati personali negli Stati Uniti nell’ambito dell’uso di “suite collaborative per l’istruzione”. Nelle istituzioni che utilizzano questi strumenti, i dati elaborati riguardano potenzialmente un gran numero di utenti (studenti, ricercatori, docenti, personale amministrativo), e questi strumenti possono portare al trattamento di una notevole mole di dati, alcuni dei quali sensibili (per esempio). esempio di dati sanitari in determinati casi) o hanno caratteristiche specifiche (dati di ricerca o dati relativi a minori).
Particolarmente preoccupato di poter supportare lo sviluppo di soluzioni che rispettino la protezione dei dati personali nella sfera dell’istruzione superiore e della ricerca, la CNIL ritiene che:
- è necessario porre in essere misure aggiuntive o giustificare il trasferimento dei dati rispetto alle esenzioni autorizzate dall’articolo 49 del GDPR, a seguito dell’annullamento della decisione di adeguatezza che ha consentito di disciplinare tali trasferimenti. Attenzione però:
- il comitato europeo per la protezione dei dati (GEPD) non ha finora individuato alcuna misura aggiuntiva in grado di garantire un livello di protezione adeguato quando viene effettuato un trasferimento a un fornitore di servizi di cloud computing o ad un ” altri subappaltatori che, come parte servizi, devono accedere a dati non crittografati o disporre di chiavi di crittografia e che sono soggetti alla legislazione degli Stati Uniti,
- i trasferimenti eccezionali non possono diventare la regola e devono rimanere l’eccezione. Tali deroghe sono soggette a condizioni particolari, di interpretazione restrittiva, dettagliate nell’articolo 49 del GDPR;
- indipendentemente dall’esistenza di trasferimenti, le leggi statunitensi si applicano ai dati archiviati da società statunitensi al di fuori di tale territorio. Esiste quindi il rischio di accesso da parte delle autorità americane ai dati memorizzati. Tale accesso, qualora non si basi su un accordo internazionale, costituirebbe una divulgazione non autorizzata dal diritto dell’Unione, in violazione dell’articolo 48 del GDPR.
In questo contesto, indipendentemente da altre caratteristiche di questo trattamento che potrebbero anche richiedere la conformità, la CNIL ritiene che sia necessario eliminare il rischio di accesso illegale da parte delle autorità americane a questi dati .
Supporto per identificare soluzioni alternative
Date le sfide derivanti da tale analisi, in particolare nell’attuale contesto sanitario, la necessità per gli istituti interessati di garantire la continuità delle missioni svolte mediante strumenti digitali è tale da giustificare un periodo di transizione.
Nel frattempo, la CNIL fornirà tutta l’assistenza necessaria a queste organizzazioni per consentire loro di identificare possibili alternative . Li sosterrà nel renderli conformi, come previsto dalla Carta del supporto professionale della CNIL e con il supporto dei “responsabili delle reti” del settore.
Con l’intensificarsi della transizione digitale, le sfide della protezione dei dati e della sovranità europea sono diventate più essenziali che mai per lo sviluppo sostenibile di un’economia digitale basata sulla fiducia. La CNIL continuerà a impegnarsi per garantire il rispetto del diritto alla privacy, assicurando nel contempo che la protezione dei dati promuove l’innovazione ed è uno dei segni di azione sia del settore pubblico che di quello privato.
FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL