Prima sanzione GDPR per dati conservati in cloud dopo la sentenza Schrems II

Il garante privacy svedese ha emesso la prima sanzione ai sensi GDPR successiva alla sentenza Schrems II per la mancanza di un’adeguata protezione dei dati memorizzati in una piattaforma cloud americana. L’autorità svedese per la protezione dei dati personali ha ritenuto che l’Università di Umeå abbia trattato categorie speciali di dati personali riguardanti la vita sessuale e la salute attraverso, tra l’altro, l’archiviazione in un servizio cloud di un fornitore americano, senza proteggere sufficientemente i dati in questione.

Questa circostanza è stata confermata dal fatto che report contenenti dati sensibili sono stati memorizzati nella piattaforma cloud, sebbene l’Università fosse stata informata tramite la sua Intranet che categorie speciali di dati non avrebbero dovuto essere memorizzati nel loro servizio cloud.

Inoltre, quando il gruppo di ricerca ha inviato un’e-mail alla polizia chiedendo ulteriori informazioni, è stata allegata come riferimento uno dei report scansionati, pratica che il gruppo di ricerca ha poi ripetuto anche se la polizia ha sottolineato l’inopportunità di inviare materiale sensibile in e-mail non criptate. Questa circostanza supplementare ha portato a un’ulteriore contestazione relativa alla mancata notifica della violazione dei dati personali / data breah.

A causa degli eventi sopra indicati, il garante privacy svedese ha inflitto all’università una sanzione ai sensi del GDPR di SEK 550.000.

A parte quanto sopra decisione, la decisione è rilevante però anche perchè l’autorità svedese per la protezione dei dati personali fa riferimento alla sentenza Schrems II della Corte di giustizia europea, prendendo la posizione che un trasferimento di dati personali verso gli Stati Uniti di per sé dà vita ad un rischio elevato per i dati personali in quanto gli interessati sono limitati nella protezione e nell’attuazione dei loro diritti privacy.

Questo aspetto della controversia non ha portato a una sanzione pecuniaria ai sensi del GDPR poiché gli eventi si sono verificati fino al 2019 e, quindi, prima della sentenza Schrems II. Tuttavia, la dinamica delle indagini dimostra che in ogni controversia con le autorità per la protezione dei dati personali, indipendentemente dalla contestazione da cui è originata, il trasferimento illecito di dati al di fuori del SEE potrebbe diventare un ulteriore elemento della contestazione (e di eventuale sanzione) se i dati in questione sono conservati o accessibili al di fuori dello SEE.

E nella situazione attuale, il garante privacy competente potrebbe sostenere che il potenziale ritardo nel dimostrare l’attuazione di qualsiasi azione necessaria per rendere sicuri i trasferimenti di dati al di fuori dello SEE è ingiustificato. Un tale scenario rende una metodologia di valutazione dell’impatto del trasferimento come quella sviluppata da DLA Piper ancora più utile per qualsiasi azienda.

Potete leggere di più sulla nostra metodologia in questo articolo, “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?“.