Il Garante privacy danese ha vietato l’utilizzo di Google Workspace perché comporta un trasferimento illecito di dati personali fuori dello Spazio economico europeo.
In un recente provvedimento, il Garante privacy danese (“Datatilsynet”) ha vietato il trattamento dei dati degli studenti che utilizzano la suite di software di Workspace di Google Chromebook “non risponde alle richieste” del Regolamento (UE) 2016/679 (“GDPR”).
La decisione dell’autorità sulla protezione dei dati personali danese fa seguito ad una valutazione del rischio del trattamento dei dati personali da parte delle scuole primarie del comune di Hensingør che fanno largamente uso dei laptop Chromebook di Google, e del pacchetto Google Workspace.
In particolare, l’indagine del Garante privacy danese è stata avviata a seguito della segnalazione nei confronti del comune da parte di un genitore: questo ha segnalato che, suo figlio, era riuscito a creare un account YouTube con il rischio che i suoi dati potessero essere pubblicati su tale piattaforma attraverso i laptop forniti dalla scuola. A seguito di ciò, Datailsynet ha invitato il comune ad effettuare una valutazione del rischio del trattamento dei dati personali degli studenti delle scuole primarie che utilizzano Google Chromebook e Workspace.
L’autorità privacy danese avrebbe dunque riscontrato che il comune, in qualità di titolare del trattamento, non avrebbe valutato alcuni rischi collegati alla struttura del servizio Google: inoltre, come evidenzia l’autorità, all’interno dei Termini e Condizioni di Google Workspace si legge che i dati personali degli utenti potrebbero essere trasferiti in paesi extra-EEA al fine di migliorare il servizio, anche se i data center sono localizzati all’interno dell’Unione Europea. A seguito, dunque, della valutazione effettuata dal comune, l’autorità avrebbe determinato che tali trasferimenti di dati in paesi extra-EEA non sarebbe sufficientemente sicuri, e pertanto, non conforme al GDPR.
Datatilynet ha pertanto ordinato la sospensione del trattamento attraverso Google Chromebook e Workspace, fino a quando le operazioni di trattamento non siano state adeguate al capo V del GDPR, concedendo un termine fino al 3 agosto anche per cancellare i dati degli utenti. Sebbene questa decisione si applichi tecnicamente solo al comune, l’autorità danese osserva che le conclusioni raggiunte potrebbe applicarsi anche ad altri comuni danesi che utilizzano Google Chromebook e Workspace.
Il problema dunque è sempre il seguente: anche in questo caso, la base giuridica utilizzata per il trasferimento dei dati sarebbe rappresentata dalle Clausole Contrattuali Standard, che però, non sono sufficienti, di per sé, a garantire un’adeguata protezione dei dati dei soggetti interessati, e che, come disposto dall’European Data Protection Board nelle Raccomandazioni 01/2020, è necessaria una valutazione caso per caso per determinare se il paese di destinazione dei dati dei soggetti interessati sono sufficientemente protetti. Per questo lo studio legale DLA Piper ha sviluppato “Transfer”, uno strumento tecnologico legale e una metodologia che automatizza l’esecuzione delle valutazioni di impatto del trasferimento.
Oltre 150 clienti di DLA Piper usano già Transfer, e potete visionare una presentazione di Transfer al link disponibile qui.
Su di un simile argomento, può essere interessante l’articolo “Google Analytics comporta un trasferimento illecito di dati personali secondo il Garante”.