Parere richiesto per il trasferimento dei dati all’estero (Google e Microsoft).

Diverse ISA mi hanno chiesto, in seguito ad una comunicazione del MIM del 20/03/2023, un parere sull’adeguatezza dei sistemi.

Come sempre sarò critico, in quanto il MIM non ha competenze per questo tipo di consultazioni, essendo deputati all’attività l’AGID (art. 14 bis D.lgs 82/05), il GPDP (D.Lgs 196/03, D.Lgs 101/18, Reg. 2016/679) e l’ACN (DL 81/22).

Detto quanto sopra, approfondiamo la vicenda innescata da MONITORAPA.

Alcuni servizi vengono portati fuori dal territorio EUROPEO, l’essenza è questa.

Al momento non esistono accordi USA-UE vigenti dopo che il PRIVACY SHIELD è stato sciolto, tuttavia il 13 Dicembre 2022 è stato raggiunto un accordo denominato  The EU-US Data Privacy Framework, finalizzato a creare il cd “essential equivalence” test .

Questo accordo ancora non è ratificato,….certo ma …. la mancanza di un accordo tra i Paesi, articolo 45 par 3 del GDPR, può essere sostituito da adeguate clausole contrattuali (articolo 46 del Reg. 2016/679), ebbene le clausole di adeguatezza le troviamo qui:

Ancor di più esaustivo dovrebbe essere il controllo preventivo fatto dai COMPETENTI (AGID sentito il GPDP), infatti le due piattaforme sono censite nel marketplace CLOUD di ACN (già AGID).

Microsoft è qualificata come IAAS con questi estremi

  • Tipologia: IaaS
  • Livello di qualificazione: QC1
  • ID Scheda: IA-974
  • Categoria: Virtual Datacenter
  • Stato corrente: QUALIFICATA
  • Azienda fornitrice: Microsoft Corporation
  • Data di qualificazione: 19-01-2023
  • Data di scadenza: 18-01-2024

Google è qualificata come SaaS con questi estremi

  • Tipologia: SaaS
  • Livello di qualificazione: QC1
  • ID Scheda: SA-2321
  • Categoria: Servizi per l’information technology, IT Security
  • Stato corrente: QUALIFICATA
  • Azienda fornitrice: Google Cloud Italy S.r.l.
  • Data di qualificazione: 19-01-2023
  • Data di scadenza: 18-01-2024

ed anche IaaS con questi estremi

  • Tipologia: IaaS
  • Livello di qualificazione: QC1
  • ID Scheda: IA-2521
  • Categoria: Compute
  • Stato corrente: QUALIFICATA
  • Azienda fornitrice: Google Cloud Italy S.r.l.
  • Data di qualificazione: 19-01-2023
  • Data di scadenza: 18-01-2024

ed in ogni caso Google e MICROSOFT sono etichettati come PUBLIC CLOUD.

Il motivo della “fresca” iscrizione non deve essere fuorviante, anzi deve rassicurare, infatti a partire dal 2023 le circolari Agid n2 ed n3 del 2019 non sono più vigenti (vecchia qualificazione di sicurezza per essere sul marketplace CLOUD di AGID) e sono state sostituite al Decreto Direttoriale 29/2023 di ACN (che in parte sostituisce l’AGID).

Detto questo assicuro e dichiaro che forte dall’accreditamento ACN dei due competitor e dalle clausole contrattuali ex articolo 46 Reg. 2016/679 (più stringenti del vecchio PRIVACY SHIELD) considero valido il sistema ad oggi utilizzato, poi se non vi servono queste piattaforme ….

Il DPO Vincenzo de Prisco.

Print Friendly, PDF & Email

Clicca QUI per l’iscrizione

PER WORKSHOP, ASSISTENZA,

FORMAZIONE e SUPPORTO

dott.ssa Carotenuto Elisa
elisa@ca-campania.com

cell. 3382797858

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento