TIA e Schrems II: Adempimenti nei trasferimenti di dati negli USA
Transfer Impact Assessment
La TIA e' l'analisi obbligatoria (e quindi scritta e datata) di valutazione dell'impatto del trattamento all'estero sugli interessati prima di avviare il trattamento.
La Schrems II ha svelato una debolezza del GDPR. Applicato fiscalmente dovrebbe imporre lo spegnimento di ogni sistema operativo non aperto e senza connessioni ad aziende USA. Praticamente qualche shell tipo freedos o qualche distro linux, nemmeno tutte.
Quando si applica la Schrems II
Bisogna controllare se il fornitore:
- Ha sede negli USA, come azienda, capo gruppo o semplice sede con capacità gestionali
- Se e' azienda europea ma utilizza le infrastrutture di aziende americane
- Se e' azienda non europea ne' USA (es. Canada), ma utilizza le infrastrutture di aziende americane
- Se i server sono comunque negli USA (quinndi la prima o seconda ipotesi)
- Se nel frattampo l'aziende viene acquisita / controllata da soggetto USA o trasferisce negli USA le macchine
Nel concreto
Le imprese devono:
- censire
- valutare adeguatezza preliminarmente e per iscritto
- predisporre adeguamenti o cambiare fornitore
- aggiornare le informative
- verificare adeguatezza periodicamente
Sanzioni ma non alternative.
Le scelte di protezionismo non stanno aiutando gli europei: siamo in una fase di divieto senza alternative tecniche o commerciali ugualmente efficaci, regalando agli USA un mercato piu' economico e limitando l'uso alle aziende che vogliono rispettare il GDPR con costi proibitivi sul mercato. In assenza di investimenti e agevolazioni per le imprese europee che esistono ma non hanno uguale solidità commerciale e tecnica verificabile se non dalle dichiarazioni. E' una fase di passaggio.
La mappa concettuale
clicca la mappa per navigarla
Fonti
I documenti in materia hanno gia' superato di gran lunga le centinaia di pagine. Abbiamo selezionato le fonti, comunque complesse.
Alcune fonti:
- I sei step indicati da F. Pizzetti sono su AgendaDigitale.eu
- Sanzione all'università
- Comunicato EDPB
- Gli esempi dell'allegato 2 su misure esemplificative da adottare
- Cnil: guida
- Cnil: faq
- EDPB: faq
dal 2004 diritto e informatica