Il 13 luglio, la Camera degli appalti pubblici dello Stato tedesco del Baden-Württemberg ha deciso un caso relativo a una procedura di appalto pubblico per un software di gestione digitale. In questo modo, ha stabilito che il trasferimento di dati personali verso gli Stati Uniti sulla base di clausole contrattuali standard viola il GDPR.
Va notato che la Camera non è un'autorità per la protezione dei dati e che il caso non è, in senso stretto, un caso di protezione dei dati. Tuttavia, la decisione è piuttosto significativa. Diverse autorità di protezione dei dati europee hanno adottato un approccio rigoroso ai trasferimenti di dati nella gestione dei 101 reclami presentati dalla noyb. La decisione in questione indica che l'approccio rigido ai trasferimenti di dati potrebbe ora guadagnare terreno al di fuori dei confini ristretti della legge sulla protezione dei dati.
Inoltre, la decisione si concentra soprattutto sull'aspetto del diritto amministrativo. Le questioni relative alla protezione dei dati non sono spiegate molto chiaramente e il ragionamento della Camera su alcuni punti cruciali deve essere dedotto dal lettore. Non è una decisione facile da decifrare, ma abbiamo fatto del nostro meglio per presentarne il succo in modo accurato e leggibile.
- Il caso in questione
- I punti principali della sentenza
- Le conseguenze della sentenza
- Riflessioni finali
Immergiamoci!
Il caso in questione
Un'autorità pubblica ha indetto una gara d'appalto per l'acquisto di software per la gestione digitale. I criteri di aggiudicazione includevano requisiti di protezione e sicurezza dei dati: nello specifico, tutti i dati dovevano essere trattati in conformità al GDPR e alla legge federale sulla protezione dei dati. La gara è stata vinta dalla filiale europea di una società statunitense (i nomi delle società sono omessi).
Un'altra società che ha partecipato alla gara d'appalto ha chiesto alla Camera di esaminare la decisione, sostenendo che il servizio offerto dalla società vincitrice comportava trasferimenti di dati statunitensi in violazione del GDPR. In realtà, la società vincitrice si è affidata alla società spin-off di AWS nell'UE (Amazon Web Services EMEA SARL) come incaricato del trattamento. AWS EMEA offriva la possibilità di archiviare i dati nell'UE, ma avrebbe comunque divulgato i dati personali alla società madre in scenari specifici:
- Per mantenere il servizio o fornire assistenza.
- Per rispettare la legge o un ordine legalmente vincolante.
Le clausole contrattuali standard (SCC) erano il meccanismo di trasferimento dei dati previsto dal GDPR. Come ulteriore misura di salvaguardia, l'azienda ha crittografato i dati e si è assunta l'obbligo di contestare eventuali richieste di accesso ai dati "eccessive o fuori misura" da parte delle autorità.
La Camera ha ritenuto che il trasferimento dei dati fosse effettivamente in violazione del capitolo V del GDPR. All'autorità pubblica è stato ordinato di valutare nuovamente le offerte, poiché il rispetto del GDPR era uno dei requisiti stabiliti nel bando di gara.
I punti principali della sentenza
- LeSCC non garantiscono una protezione adeguata per i trasferimenti di dati personali verso gli Stati Uniti.
- Le garanzie aggiuntive sono state ritenute insufficienti (ma le argomentazioni sulla crittografia non sono state prese in considerazione dalla Camera per motivi procedurali).
- Lasemplice accessibilità dei dati personali da parte di un fornitore statunitense significa che è in atto un trasferimento di dati e che si applicano le norme del GDPR sui trasferimenti di dati. In realtà, nel caso in questione i dati erano localizzati nell'UE. Tuttavia, essi potevano essere accessibili dalla società madre statunitense (il caso è in qualche modo simile alla recente decisione di Datatilsynet su Google Workspace ).
Il ragionamento alla base di questa sentenza è in linea con la logica di diverse DPA europee e trova il suo fondamento nel fatto che le società statunitensi che si qualificano come "fornitore di servizi di comunicazione elettronica" sono obbligate a rivelare i dati ai servizi di intelligence statunitensi se richiesti.
Le conseguenze della sentenza
È necessario sottolineare alcuni punti. In primo luogo, la Camera degli appalti pubblici non è né un'autorità per la protezione dei dati né un tribunale, ma piuttosto un'autorità indipendente che si occupa di diritto amministrativo. Pertanto, la decisione non avrà probabilmente lo stesso peso di una decisione di una DPA. In secondo luogo, la Camera è competente solo per lo Stato tedesco del Baden-Württemberg; altre autorità tedesche potrebbero adottare un approccio diverso.
Detto questo, la decisione è piuttosto significativa. La Camera degli appalti pubblici non è uno degli attori centrali nell'applicazione del quadro normativo dell'UE in materia di protezione dei dati e di solito non è coinvolta nell'interpretazione del GDPR. Tuttavia, la decisione è coerente con l'approccio adottato da diverse autorità di protezione dei dati europee nel trattare i 101 reclami della noyb (risultato degli sforzi di coordinamento del Comitato europeo per la protezione dei dati). Questo potrebbe essere un segno del fatto che un approccio rigido ai trasferimenti di dati sta guadagnando slancio e influenzando le autorità meno coinvolte nell'applicazione del GDPR.
Riflessioni finali
La privacy è un diritto umano e dovrebbe essere trattata come tale. Gli enti normativi dell'UE stanno finalmente mostrando i denti. Per le organizzazioni che vogliono rimanere nel rispetto della legge, esistono numerose alternative europee che potrebbero sostituire le controparti statunitensi che state utilizzando ora.
Abbiamo costruito Simple Analytics come alternativa a Google Analytics che tiene conto della privacy. Crediamo che non si tratti solo di rispettare la legge. Va oltre. Crediamo nella creazione di un web indipendente che sia amichevole per i visitatori dei siti web. Ecco perché abbiamo costruito Simple Analytics senza meccanismi di tracciamento e senza la possibilità di raccogliere dati personali, pur fornendovi le informazioni di cui avete bisogno. Se tutto questo vi convince, provateci.