TIA e Schrems II: Adempimenti nei trasferimenti di dati negli USA



 Transfer Impact Assessment


La TIA e' l'analisi obbligatoria (e quindi scritta e datata) di valutazione dell'impatto del trattamento all'estero sugli interessati prima di avviare il trattamento.

La Schrems II ha svelato una debolezza del GDPR. Applicato fiscalmente dovrebbe imporre lo spegnimento di ogni sistema operativo non aperto e senza connessioni ad aziende USA. Praticamente qualche shell tipo freedos o qualche distro linux, nemmeno tutte.

 Quando si applica la Schrems II



Bisogna controllare se il fornitore:
  • Ha sede negli USA, come azienda, capo gruppo o semplice sede con capacità gestionali
  • Se e' azienda europea ma utilizza le infrastrutture di aziende americane
  • Se e' azienda non europea ne' USA (es. Canada), ma utilizza le infrastrutture di aziende americane
  • Se i server sono comunque negli USA (quinndi la prima o seconda ipotesi)
  • Se nel frattampo l'aziende viene acquisita / controllata da soggetto USA o trasferisce negli USA le macchine
Si ricorda che la CNIL esclude dalla Schrems (analizzando i GA3 di Google) i rapporti basati su base giuridica contrattuale.

 Nel concreto


Le imprese devono:
  • censire
  • valutare adeguatezza preliminarmente e per iscritto
  • predisporre adeguamenti o cambiare fornitore
  • aggiornare le informative
  • verificare adeguatezza periodicamente
Tali step sono fortemente regolati da guidelines, raccomandazioni, interpretazioni, decisioni, faq, elenchi; multilingue.

 Sanzioni ma non alternative.


Le scelte di protezionismo non stanno aiutando gli europei: siamo in una fase di divieto senza alternative tecniche o commerciali ugualmente efficaci, regalando agli USA un mercato piu' economico e limitando l'uso alle aziende che vogliono rispettare il GDPR con costi proibitivi sul mercato. In assenza di investimenti e agevolazioni per le imprese europee che esistono ma non hanno uguale solidità commerciale e tecnica verificabile se non dalle dichiarazioni. E' una fase di passaggio.

 La mappa concettuale


clicca la mappa per navigarla

 Fonti


I documenti in materia hanno gia' superato di gran lunga le centinaia di pagine. Abbiamo selezionato le fonti, comunque complesse.

Alcune fonti:


dal 2004 diritto e informatica