In tanti si aspettava il nuovo accordo sulla trasferibilità dei dati tra Europa e Stati Uniti. La Decisione di Adeguatezza della Commissione Europea prende il nome di “EU-US Data Privacy Framework” ed è stato emanato il 10 luglio 2023.
Grazie a questa decisione sarà nuovamente possibile trasferire i dati, anche delle PA, negli Stati Uniti, ma dovrà attendersi che il Dipartimento del Commercio USA certifichi le aziende che vogliono operare con i dati dei cittadini europei. Presumiamo che ci vorrà un mese circa, ma sicuramente per il prossimo anno scolastico ritorneranno lecite le soluzioni già adottate da molte scuole ed ora sospese su nostro consiglio.

acgL’accesso civico generalizzato è un istituto poco conosciuto nelle PA e spesso è confuso con accesso civico o anche accesso agli atti. Facciamo chiarezza.

Accesso agli atti: quando si ha un interesse legittimo concreto ed attuale si può accedere agli atti che in qualche modo riguardano il richiedente.

Accesso civico: quando semplicemente si richiedono dati oggetto di pubblicazione obbligatoria in Amministrazione Trasparente e la PA ha disatteso la pubblicazione, o la pubblicazione non è completa, disciplinato dal DLgs. 33/2013.

Accesso civico generalizzato: Chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione.

Criticità trasferimento dati verso USA, ed altri paesi

La questione verte sull’invio sistematico di dati personali in paese extra-UE, in particolare USA, attraverso servizi e piattaforme delle GAFAM (Google, Amazon, Facebook, Apple, Microsoft), in particolare servizi di posta, repository documentale, piattaforme per videoconferenze e didattica a distanza offerti da Google e Microsoft.video min

Quali sono le problematiche nel contesto normativo?

Per valutare la trasferibilità dei dati personali verso paesi diversi dall’Unione Europea UE (in realtà Spazio Economico Europeo SEE) vi sono diverse possibilità negli articoli 45, 46, 47 e 49 del GDPR 679/2016:

  • un accordo internazionale tra la UE ed il paese extra UE (art. 45);
  • l’adesione da parte del ricevente dati a clausole contrattuali standard approvate dalla Commissione Europea (art. 46);
  • patti vincolanti di impresa (art. 47);
  • consenso al trasferimento (art. 49).

La sentenza Schrems II della Corte di Giustizia Europea di fatto abolisce l’accordo internazionale tra USA e UE per uniformare la sicurezza del trattamento dati cosi come previsto dal Regolamento Europeo sulla Protezione dei dati (art. 45 del GDPR 679/2016).

Il “Cloud Act” (norma statunitense) mette a rischio anche i dati presenti su server europei di proprietà di società statunitensi, anche se è prevista la possibilità di opporsi alla richiesta di dati motivando opportunamente le ragioni ed utilizzando i contratti sottoscritti.

 

31.05.2023 ore 15.00 - webinar su come compilare il questionario proposto per la rilevazione dello stato di sicurezza delle piattaforme.

Ecco i link

L'occasione ci sembra propizia per sperimentare il tutto con la piattaforma NextCloud attraverso l'applicazione TALK per la quale ecco il link
https://scuolaincloud.it/documenti/index.php/call/wconzyan

Essendo attività sperimentale nel contempo il webinar sarà anche su GoToMeeting al seguente link
https://meet.goto.com/966558037

Staff GDPRistruzione.it

Eravamo in attesa della comunicazione MIM arrivata ieri per organizzare un incontro in videoconferenza in cui parlarvi nuovamente di Piattaforme DDI, di trasferimento dati extra UE (SEE), e di come comportarci, anche a seguito delle ulteriori richieste di MonitoraPA.

Notiamo con piacere che la nostra strategia di PSEUDONIMIZZAZIONE ora è suggerita anche dal MIM e da MonitoraPA. Vi ricordo che su www.gdpristruzione.it è già da tempo disponibile il video di come poterla attuare abbastanza agevolmente.

Qui trovate, in area riservata, la registrazione del webinar.

E’ riservato alle scuole in regola con il contratto privacy!