Zoom non è più a norma GDPR

L’autorita’ della Protezione dei Dati di Amburgo stabilisce che Zoom non è conforme al GDPR a causa del trasferimento di dati negli Stati Uniti.

Perché?

Con la sentenza del 16 luglio 2020 (sentenza Schrems II), la Corte di Giustizia dell’Unione Europea ha dichiarato invalida la Decisione 2016/1250 con cui la Commissione UE aveva certificato l’adeguatezza della protezione dei dati personali offerta dal Privacy Shield per quanto concerne i trasferimenti tra UE e USA.

Secondo quanto stabilito dall’Autorità della Protezione dei Dati tedesca i trasferimenti di dati che Zoom effettua verso gli Stati Uniti sono in netta violazione dei termini del Regolamento Generale sulla Protezione dei Dati (GDPR) in linea con ciò che riguarda la sentenza Schrems II.

Per questi motivi è stato emesso un avvertimento formale rivolto ai membri del governo amburghese intimando così di interrompere l’uso di questa piattaforma di videoconferenza.

Cosa Cambia?

Il provvedimento in questione rimane circoscritto alla regione di Amburgo; la Cancelleria del Senato era stata precedentemente invitata, nel giugno scorso, a riflettere su alcune procedure di Zoom che destavano non poche preoccupazioni, senza però fornire risposte adeguate.

Al momento l’Unione Europea e gli Stati Uniti hanno iniziato a lavorare per cercare un nuovo accordo che garantisca la protezione dei dati trasferiti.

Bisogna prestare attenzione

Purtroppo non si riuscirà ad arrivare ad una soluzione in breve tempo, anche se l’Unione Europea e l’Amministrazione di Biden si stanno già adoperando per trovare un accordo legale in grado di soddisfare i termini del GDPR, la difficoltà più grande è che gli USA non hanno una legge federale sulla privacy che garantisca la Privacy Personale.

Il nodo centrale della faccenda rimane quindi la sentenza Schrems II che ha stabilito che i trasferimenti di dati europei verso gli USA violano il GDPR a causa di procedure governative americane che richiedono l’accesso ai dati esteri che entrano nel Paese (principalmente il Foreign Intelligence Surveillance Act e il Cloud Act). Inoltre, l’Autorità della Protezione dei Dati tedesca ha scoperto che la famosa piattaforma di videoconferenza non ha pienamente soddisfatto le condizioni che devono essere conformi al Post – Schrems II.

Manca una normativa uniforme

Nel frattempo, in attesa di una regolamentazione conforme al GDPR, alcune aziende hanno deciso, come soluzione di ripiego, di ampliare il campo di applicazione della crittografia per rendere più sicuri i suddetti trasferimenti. Ciò non solleva l’azienda con sede negli Stati Uniti dagli adempimenti del Cloud Act, quindi la crittografia è reversibile dalla società stessa per dare accesso alle autorità statunitensi, rendendo quindi la riservatezza dei dati non così scontata.

Diverse società hanno deciso di fare affidamento a clausole contrattuali rafforzate che garantiscano specificatamente che i dati personali trasferiti non potranno essere accessibili dal Governo Americano; in parole povere ciò significa che ogni cosa verrà criptata. Ma per fare ciò, dovranno dimostrare un livello “essenzialmente equivalente” di protezione dei trasferimenti di dati che corrisponda ai criteri e ai termini richiesti dal GDPR. La difficoltà maggiore di queste organizzazioni private è l’assoluta incertezza in campo normativo.

Altre invece, hanno deciso di rinunciare a trasferire dati negli Usa e di fare in modo che i dati di cittadini europei vengano trattati solo in territorio europeo; ed è questo il suggerimento che viene proposto anche dalla Cancelleria del Senato, di utilizzare, come alternativa a Zoom, una piattaforma locale, DATAPORT, molto conosciuta e apprezzata in tutta la Germania. Suggeriamo anche jitsi, che può essere facilmente installata su server propri e permette di tenere la privacy sotto controllo.

Tentativi di adeguamento rapido

La risposta di Zoom è stata quella di apportare modifiche interne alla propria piattaforma nel tentativo di sopperire ad alcune mancanze e di essere il più possibile conforme al Regolamento Europeo quali l’utilizzo di clausole che stabiliscono speciali regole di trattamento dei dati sia di visitatori che di users che hanno dichiarato di trovarsi nel territorio dell’Unione Europea.

Quello che ci si aspetta in un futuro prossimo, oltre ad una maggior consapevolezza sulle procedure di trattamento e trasferimento dei propri dati, è la nascita di un nuovo accordo tra l’Unione Europea e gli Stati Uniti.

Fino a quel momento si dovrà prestare molta attenzione al trasferimento dei dati fuori dall’UE rendendo sempre più difficile l’accesso a terzi o, ipotesi maggiormente suggerita, investire per creare o usufruire di piattaforme e di servizi locali che evitino lo scambio di Dati Personali in Paesi che non hanno sufficienti garanzie di protezione e sicurezza.

E la Svizzera?

La normativa di protezione dei dati personali Svizzera, LPD, anche nella sua futura declinazione in vigore dal 2022, è totalmente compatibile con GDPR, pertanto il trasferimento di dati verso la Confederazione Elvetica è valido senza particolari problemi.