Edps vuole vederci chiaro sul trasferimento dei dati personali attraverso le tecnologie dei fornitori arruolati da Bruxelles

Il palazzo del Berlaymont a Bruxelles, sede della Commissione europea (foto: Luca Zorloni per Wired)

Il Garante europeo della protezione dei dati (Edps) ha aperto due indagini sull’uso dei servizi di cloud computing forniti da Amazon e Microsoft alle istituzioni dell’Unione europea, di cui una relativa all’uso di Microsoft office 365 da parte della Commissione. Il Garante vuole verificare che i servizi forniti alle istituzioni siano conformi alla sentenza Schrems II sul trasferimento dei dati personali fuori dal territorio europeo. Secondo il verdetto i dati possono essere trasferiti solo nel caso in cui il paese terzo che li riceve possa garantire realmente un livello di protezione dei dati pari a quello offerto dal Gdpr (Regolamento generale europeo per la protezione dei dati).

Lo scorso ottobre il Garante ha ordinato alle istituzioni di fornire tutte le informazioni relative al trasferimento dei loro dati personali fuori dal territorio europeo. L’analisi effettuata dall’Edps su queste informazioni ha evidenziato come i dati personali vengano trasferiti all’estero, in particolare negli Stati Uniti, specialmente quando le istituzioni fanno uso di servizi forniti da grandi provider come Microsoft o Amazon. Questi giganti del digitale, con sede negli Stati Uniti, sono quindi soggetti a leggi che, secondo la sentenza Schrems II, consentono un‘attività di sorveglianza sproporzionata da parte delle autorità statunitensi e solo i contratti diretti tra provider e istituzioni possono garantire la completa tutela dei dati personali.

Secondo Wojciech Wiewiórowski, che ricopre la carica di Garante della privacy europeo, “alcuni tipo di contratti” tra i provider e le istituzioni “richiedono particolare attenzione e per questo abbiamo deciso di avviare le indagini”. Anche se i contratti sono stati firmati prima della sentenza e Amazon e Microsoft hanno annunciato nuove misure per allinearsi, secondo il Garante le misure potrebbero non essere sufficienti a garantire il pieno rispetto del Gdpr.

L’obiettivo della prima indagine è di verificare la conformità alla sentenza Schrems II dei contratti Cloud II tra Amazon, Microsoft web services e le istituzioni europee, per la fornitura di servizi di cloud computing. La seconda indagine, invece, mira a verificare il rispetto, da parte della Commissione europea, delle raccomandazioni emesse dal Garante relativamente all’uso dei prodotti e dei servizi di Microsoft, come Microsoft office 365.