Google Workspace: l’azienda che lo usa sarà davvero in regola con il Gdpr?

Gira la voce tra alcuni reparti IT che le aziende che usano i servizi in cloud di Google, come la posta elettronica, gli applicativi office o il drive virtuale, siano completamente a norma: vero oppure falso? In effetti il CEO di Google ha rilasciato dichiarazioni che, da una superficiale lettura, danno adito a tutta una serie di implementazioni da parte di Google, con lo scopo di voler alzare l’asticella sulla protezione dei dati personali legandola ad alcuni strumenti messi a disposizione delle aziende clienti, il tutto proprio in funzione del decaduto Privacy Shield.

Non mancano le incertezze di compliance privacy per chi usa Google Workspace

Leggendo proprio alcune dichiarazioni il CEO di Google evidenzia l’improrogabile necessità di rivedere le clausole contrattuali standard (o tipo) che, come la Corte di Giustizia dalla UE ha affermato, possono risolvere a livello burocratico l’annoso problema del trasferimento di dati personali all’estero.

Riconoscendo, rispetto all’Europa, un mercato certamente interessante, non vengono sprecati gli annunci di sofisticati strumenti al fine, ad esempio, di informare tempestivamente l’azienda allor quando qualcuno, come il Governo americano, faccia richiesta di accesso a dati che abbiano ad oggetto proprio i dati personali di cui siamo titolari del trattamento.

Tralasciando per un attimo le implicazioni legali che siffatte comunicazioni lato USA possano insorgere, o altri argomenti collegati alla caduta dello scudo, rimangono però alla data della scrittura della presente alcune perplessità sulle affermazioni di alcuni “esperti” IT.

Decaduto il Privacy Shield, in cui abbiamo visto Facebook passare da compliance GDPR a “non sappiamo più” nel giro di poco tempo, è scattato un automatismo che ha fatto girare la rotella dalla posizione “A” alla posizione “B” senza alcuna reale comprensione.

Come sia possibile considerare le clausole contrattuali standard come un’alternativa priva di problemi al Privacy Shield non credo sia di facile comprensione, specie nei casi in cui qualcuno ha ritenuto completamente inutile fare valutazioni sui rischi connessi.

Se andiamo a vedere le clausole contrattuali standard pubblicate alla data di stesura del presente scritto, ci ritroviamo con alcune forti perplessità rispetto alle responsabilità che l’azienda si deve assumere.

Riporto qui una parte a mio avviso molto sibillina, se non palesemente pericolosa, che ha attratto la mia attenzione:

(Google è l’importatore dei dati personali, noi gli esportatori)

“The Data Importer agrees and warrants:…
…that it will promptly notify the Data Exporter about:
(i) any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation;”
(rif. Clausola 5, lettera (d)

 

Per comodità riporto anche una traduzione letterale:

“L’importatore di dati accetta e garantisce: …
…che informerà tempestivamente l’Esportatore di dati in merito a:
(i) qualsiasi richiesta legalmente vincolante di divulgazione dei dati personali da parte di un’autorità incaricata dell’applicazione della legge, salvo altrimenti vietato, come un divieto sancito dal diritto penale di preservare la riservatezza di un’indagine delle forze dell’ordine;”

Ora, con tutta la buona volontà che posso metterci nel pensare ad alternative logiche, mi risulta difficile se non impossibile ritrovare in quelle poche ma importanti righe una compliance rispetto a quanto viene richiesto ad un “normale” responsabile del trattamento.

Ci informerà, ma non certo impedirà.

Dire che i dati personali sono sotto la mia completa responsabilità, già ovvio per le norme, e che eventuali rischi connessi alla violazione dei diritti rimane “solo” un mio problema dovrebbe accendere un campanello di allarme (questa affermazione è relativa ad altre zone del documento citato).

Se l’interpretazione del loro scritto è corretta, semplificando il concetto, possiamo ravvisare una completa irresponsabilità quando, ad esempio, un qualche ente americano faccia accesso ai dati personali e li faccia suoi, il data breach che ne consegue non è in capo a Google come responsabile del trattamento, ma nostro.

Parliamo di “data breach”, perché non sembrano esserci altre definizioni possibili, considerando anche il caso di un’autorità giudiziaria che però agisce al di fuori della direttiva 680/2016.

Paolo Romani, Delegato Federprivacy nella provincia di Lodi

(Nella foto: Paolo Romani, Delegato Federprivacy nella provincia di Lodi)

Quindi il come dovremmo comportarci quando questi dati hanno preso una strada da noi non desiderata dovrebbe essere oggetto di una valutazione d’impatto, comprendente le relative gravità e probabilità.

In una implementazione di questo caso, ci è stato assolutamente utile poter delineare e restringere le tipologie di dati trattati, modificando laddove possibile le aree di archiviazione (da cloud a locale) e pensando alla possibilità di criptazione di tutte le informazioni.

La criptazione delle informazioni è in effetti una delle opzioni che Google suggerisce, anche se non è ancora completamente chiaro come questa possa essere gestita senza scontrarsi con la normativa USA in merito all’accessibilità dei sistemi da parte degli organi preposti alla sicurezza nazionale.

Taluni hanno poi sollevato l’obiezione riguardo alla Data Processing Amendement (DPA) la quale dovrebbe coprire le eventuali “lacune”. (rinvenibile a questo link)

Durante una nostra analisi del documento, non abbiamo potuto mancare di notare quanto l’impostazione di tale scritto sia a maggiore tutela dell’importatore Google, ravvisando dei poco evidenziati pericoli per la nostra azienda, come penso sia logico aspettarsi da chi fa proposte unilaterali.

Ad esempio all’articolo 4 della DPA si menziona che le norme applicabili sono sicuramente quella europea, ma anche quella non europea e che sia l’una sia l’altra hanno la medesima valenza.

Cito: “4.3 Applicazione dell’Emendamento sul trattamento dei dati. Fatta eccezione per la misura in cui questo Emendamento sull’elaborazione dei dati non stabilisca diversamente, i termini di questo Emendamento sull’elaborazione dei dati si applicheranno indipendentemente dal fatto che al trattamento dei dati personali del cliente si applichi la legge europea sulla protezione dei dati o la legge sulla protezione dei dati non europea.”

Nella lettura integrale dei documenti sembra ravvisarsi un avviso implicito, in realtà menzionato qui e la, ovvero che siamo stati avvisati dei potenziali problemi dei quali non potremmo lamentarci in seguito.

È forse questo uno dei casi in cui eseguire, se i dati personali trattati lo richiedono, una consultazione preventiva (ex art. 36)?

Dobbiamo chiedere un parere al Garante quando non riusciamo a trovare un modo di minimizzare i rischi, solo perché il fornitore non rientra nel Regolamento? Varrebbe forse il caso di pensare ad alternative?

È certamente un terreno abbondantemente costellato di trappole, qualunque percorso si voglia intraprendere ne presenta una o più. Diventa quindi imprescindibile prevedere nella valutazione dei rischi almeno un minimo di danni collaterali valutabili in termini almeno economici.

Spero di aver fornito nuovi spunti di riflessione su quella che io ritengo una perversa sopravalutazione delle clausole contrattuali standard proposte da Big Tech.

 

Fonte: Paolo Romani – Consulente Privacy