Hosting della soluzione whistleblowing: perché scegliere l'Europa 

Credibilità e affidabilità sono essenziali quando si tratta di whistleblowing. I sistemi di segnalazione spesso gestiscono informazioni sensibili riguardanti un individuo o le operazioni di un’azienda. In seguito all’attuazione del Regolamento Generale sulla Protezione dei Dati (GDPR) e all’abrogazione del Privacy Shield (ne parleremo più avanti), la protezione dei segnalanti è ora al centro dell’attenzione. In nessun caso entità esterne dovrebbero essere in grado di richiedere o accedere alle informazioni nei casi di whistleblowing. Per questo motivo, è diventato sempre più importante scegliere un hosting europeo per la vostra soluzione whistleblowing. 

In questa guida illustreremo le conseguenze dell’invalidazione del Privacy Shield e della sentenza Schrems II per le aziende europee. Citeremo inoltre alcuni elementi importanti da considerare quando si sceglie una soluzione whistleblowing che ospita e gestisce dati personali. 

1. Cosa sono i dati personali? 

2. Trasferimento di dati al di fuori dell’UE/SEE 

3. Privacy Shield 

4. Sentenza Schrems II: Conseguenze 

5. Quali sono le clausole contrattuali standard dell’UE?  

6. Le aziende statunitensi possono trattare dati personali europei? 

7. Soluzioni a lungo termine per il trasferimento dei dati 

1. Cosa sono i dati personali? 

I dati personali includono tutte le informazioni su una persona identificata o identificabile, tra cui, a titolo esemplificativo e non esaustivo: 

• Nome e indirizzo 
• Numero di carta d’identità e numero di passaporto 
• Reddito e stipendio annuo 
• Profilo culturale 
• indirizzo IP 

I dati sensibili richiedono una protezione aggiuntiva perché la loro divulgazione potrebbe comportare rischi significativi per i diritti fondamentali e la libertà dell’individuo. Ciò include informazioni su etnia, sessualità, convinzioni politiche e religiose, informazioni sanitarie, informazioni genetiche e biometriche, nonché condizioni sociali e informazioni riguardanti la vita privata della persona. 

Dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR), tutti i cittadini degli stati membri dell’UE possono godere dello stesso livello di protezione dei dati personali. Ciò significa che è anche possibile trasferire in sicurezza i dati personali all’interno dell’area UE/SEE. Poiché non esistono leggi comparabili al di fuori dell’UE, le norme sul trasferimento di dati personali verso paesi terzi sono molto severe e il trasferimento di dati personali è consentito solo in alcuni casi specifici. 

2. Trasferimento di dati al di fuori dell’UE: che cos’è un “paese terzo”? 

In questo contesto, tutti i paesi al di fuori dell’area UE/SEE sono da considerarsi “paesi terzi”. Come regola generale, i dati personali non possono essere trasferiti a paesi terzi. Ciò vale anche per l’utilizzo di un fornitore esterno per elaborare o archiviare dati, incluso l’hosting della soluzione whistleblowing. 

Ai sensi del GDPR, la protezione dei cittadini europei deve essere applicata anche quando si trasferiscono dati personali in paesi al di fuori dell’UE. La vostra organizzazione può esportare dati verso paesi terzi solo se sono soddisfatti i seguenti criteri: 

• Il trattamento dei dati personali è consentito nella specifica situazione (ad esempio, nell’esecuzione di un contratto) 
  
• È stato assicurato che il paese ricevente disponga di un livello adeguato di protezione dei dati, secondo una decisione di adeguatezza della Commissione Europea. L’elenco dei paesi terzi sicuri non include gli USA. 
  
• Se non c’è una decisione accettabile, dovrai garantire sufficienti garanzie per la protezione dei dati. Ad esempio, mediante disposizioni specifiche nell’accordo con una parte extraeuropea (si veda sotto per quanto riguarda le clausole contrattuali standard dell’UE). 

• Esistono, tuttavia, diverse eccezioni. La più importante è il consenso della persona interessata. 

3. Cos’è il Privacy Shield? 

Il Privacy Shield è un’autocertificazione negli Stati Uniti in cui le aziende statunitensi possono attestare di soddisfare determinati requisiti. In precedenza, l’UE aveva convenuto che il quadro del Privacy Shield garantisse un livello di protezione adeguato e fornisse una base valida per il trasferimento di dati personali dall’UE agli Stati Uniti. 

Dopo una revisione dell’accordo da parte della Corte di Giustizia Europea (si veda Schrems II di seguito), è stato stabilito che il Privacy Shield non offre un’adeguata protezione legale contro i programmi di sorveglianza e di intelligence. Le leggi statunitensi potrebbero consentire ad alcune autorità americane di richiedere l’accesso ai dati personali dei cittadini dell’UE. 

4. Qual è la sentenza Schrems II e in che modo influisce sulle organizzazioni europee? 

Il Privacy Shield ha consentito alle aziende europee di utilizzare i servizi cloud americani senza considerare i dati personali raccolti e archiviati. Circa 5.000 aziende americane (tra cui Facebook) hanno utilizzato il Privacy Shield anche per ricevere dati personali da utenti europei. 

Maximilian Schrems, un attivista austriaco per la protezione dei dati, non ha approvato il trasferimento da parte di Facebook dei suoi dati personali negli Stati Uniti. Ciò è dovuto al fatto che le leggi americane non offrono una protezione sufficiente contro le attività di intelligence. Schrems ha portato il suo caso all’autorità irlandese per la protezione dei dati e nel luglio 2020 la Corte di Giustizia Europea ha stabilito che l’accordo UE-USA sul Privacy Shield non fornisce una protezione sufficiente. La sentenza afferma chiaramente che il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE deve essere applicato anche quando gli attori commerciali trasferiscono dati personali al di fuori dell’area UE/SEE. 

5. Nuove clausole contrattuali standard dell’UE 

La sentenza Schrems II sottolinea che la protezione del GDPR per le persone fisiche deve essere applicata al trasferimento di dati personali. Pertanto, è vietato trasferire i dati a Paesi con una protezione dei dati personali inferiore a quella garantita dall’UE. Il trasferimento dei dati è possibile solo se sono state adottate misure di protezione sufficienti. 

Nel giugno 2021 la Commissione Europea ha adottato una nuova serie di cosiddette “clausole contrattuali standard”. Questo per mantenere lo stesso livello di protezione della libertà personale e dei diritti fondamentali che si applica all’interno dell’UE e per rendere più facile la conformità alla sentenza Schrems II. Per soddisfare tutti i requisiti di sicurezza del trasferimento dei dati personali, queste clausole potrebbero comunque essere integrate con ulteriori misure di protezione. Spetta al responsabile del trattamento dei dati personali dell’organizzazione decidere caso per caso. 

6. È possibile per le aziende americane trattare dati personali europei?

Le grandi società americane di servizi cloud, ad esempio Microsoft (Azure e Microsoft 365), hanno assicurato ai propri clienti che elaboreranno e archivieranno tutti i dati all’interno dell’UE, rispettando così il GDPR. 

Oltre al processo di creazione di strutture parallele, non vi è alcuna garanzia che queste società saranno in grado di aggirare la legislazione statunitense. La FISA – Foreign Intelligence Surveillance Act – è una legge federale che consente alle autorità statunitensi di accedere ai dati personali europei anche se i server dell’azienda si trovano fisicamente nel territorio dell’UE. 

Maximilian Schrems è il fondatore dell’organizzazione no-profit “None of Your Business (Noyb)”. L’obiettivo dell’organizzazione è monitorare la conformità con il GDPR e con altri trattamenti di dati potenzialmente in violazione della privacy. Secondo Schrems, le grandi società statunitensi sono ancora soggette alla FISA e, se richiesto, devono conformarsi alle autorità statunitensi. Anche l’agenzia svedese per la protezione della privacy IMY ha aperto diverse indagini dopo che Noyb ha presentato denunce contro società svedesi. 

7. Quali sono le soluzioni a lungo temine per ospitare una soluzione whistleblowing?

Attualmente non esiste una soluzione unica, semplice e completa per il trattamento legale dei dati personali negli Stati Uniti o in qualsiasi altro paese al di fuori dell’UE. Quando si sceglie di utilizzare le clausole contrattuali standard, il Titolare del trattamento deve comunque determinare caso per caso se sono necessarie misure di sicurezza aggiuntive. 

Sono in corso lavori per la creazione di un ecosistema digitale europeo e di un cloud per l’archiviazione dei dati, tuttavia ciò richiederà tempo. Attualmente, la soluzione migliore per le aziende europee che trattano dati personali è scegliere un fornitore europeo. In questo modo è possibile garantire che tutti i dati siano archiviati su server all’interno dell’UE/SEE e che siano soddisfatti tutti i requisiti previsti dal GDPR. Questo vale anche se il trasferimento è gestito da un subappaltatore. 

Hosting della soluzione whistleblowing: La privacy degli utenti deve essere garantita dai processi di elaborazione e sicurezza dei dati 

È estremamente importante che sia le aziende private che le organizzazioni pubbliche siano consapevoli del tipo di dati che raccolgono e di come li gestiscono e archiviano. È necessario sapere in quale ambiente il fornitore di servizi gestisce i dati organizzativi, poiché potrebbe non avere una base legale per il trattamento dei dati personali al di fuori dell’UE/SEE. Scegliendo un provider europeo per il proprio hosting della soluzione whistleblowing, è possibile evitare trattamenti di dati che non garantiscono la privacy degli utenti. È anche molto più facile soddisfare tutti i requisiti del Regolamento Generale sulla Protezione dei Dati (GDPR). 

Per quanto riguarda il nostro hosting della soluzione whistleblowing, Whistlelink ha una relazione di lunga data con GleSYS. GleSYS è un’azienda scandinava con data center sicuri e all’avanguardia, conformi a tutti i requisiti legali. Con una certificazione ISO 27001 per i sistemi di gestione della sicurezza delle informazioni, GleSYS soddisfa tutti i requisiti di sicurezza in particolare per quanto riguarda la riservatezza, l’accuratezza e la disponibilità, nonché per le leggi applicabili.    

La nostra visione è quella di fornire a tutte le organizzazioni la migliore soluzione whistleblowing, la più sicura e intuitiva sul mercato, e prendiamo molto sul serio la sicurezza dei dati. Grazie alla nostra lunga collaborazione con GleSYS, possiamo offrire una soluzione whistleblowing completa in cui tutti i dati sensibili sono archiviati su server europei (svedesi). 

Sei interessato a saperne di più sulla nostra piattaforma whistleblowing e sui canali di segnalazione interni sicuri? Scopri di più sulla Direttiva UE sul whistleblowing e sulla legge n.179/2017 .

Vorresti esplorare un sistema whistleblowing per la tua organizzazione?

Contattaci o prenota una demo gratuita!