Parere richiesto per il trasferimento dei dati all’estero (Google e Microsoft).
Diverse ISA mi hanno chiesto, in seguito ad una comunicazione del MIM del 20/03/2023, un parere sull’adeguatezza dei sistemi.
Come sempre sarò critico, in quanto il MIM non ha competenze per questo tipo di consultazioni, essendo deputati all’attività l’AGID (art. 14 bis D.lgs 82/05), il GPDP (D.Lgs 196/03, D.Lgs 101/18, Reg. 2016/679) e l’ACN (DL 81/22).
Detto quanto sopra, approfondiamo la vicenda innescata da MONITORAPA.
Alcuni servizi vengono portati fuori dal territorio EUROPEO, l’essenza è questa.
Al momento non esistono accordi USA-UE vigenti dopo che il PRIVACY SHIELD è stato sciolto, tuttavia il 13 Dicembre 2022 è stato raggiunto un accordo denominato The EU-US Data Privacy Framework, finalizzato a creare il cd “essential equivalence” test .
Questo accordo ancora non è ratificato,….certo ma …. la mancanza di un accordo tra i Paesi, articolo 45 par 3 del GDPR, può essere sostituito da adeguate clausole contrattuali (articolo 46 del Reg. 2016/679), ebbene le clausole di adeguatezza le troviamo qui:
Ancor di più esaustivo dovrebbe essere il controllo preventivo fatto dai COMPETENTI (AGID sentito il GPDP), infatti le due piattaforme sono censite nel marketplace CLOUD di ACN (già AGID).
Microsoft è qualificata come IAAS con questi estremi
- Tipologia: IaaS
- Livello di qualificazione: QC1
- ID Scheda: IA-974
- Categoria: Virtual Datacenter
- Stato corrente: QUALIFICATA
- Azienda fornitrice: Microsoft Corporation
- Data di qualificazione: 19-01-2023
- Data di scadenza: 18-01-2024
Google è qualificata come SaaS con questi estremi
- Tipologia: SaaS
- Livello di qualificazione: QC1
- ID Scheda: SA-2321
- Categoria: Servizi per l’information technology, IT Security
- Stato corrente: QUALIFICATA
- Azienda fornitrice: Google Cloud Italy S.r.l.
- Data di qualificazione: 19-01-2023
- Data di scadenza: 18-01-2024
ed anche IaaS con questi estremi
- Tipologia: IaaS
- Livello di qualificazione: QC1
- ID Scheda: IA-2521
- Categoria: Compute
- Stato corrente: QUALIFICATA
- Azienda fornitrice: Google Cloud Italy S.r.l.
- Data di qualificazione: 19-01-2023
- Data di scadenza: 18-01-2024
ed in ogni caso Google e MICROSOFT sono etichettati come PUBLIC CLOUD.
Il motivo della “fresca” iscrizione non deve essere fuorviante, anzi deve rassicurare, infatti a partire dal 2023 le circolari Agid n2 ed n3 del 2019 non sono più vigenti (vecchia qualificazione di sicurezza per essere sul marketplace CLOUD di AGID) e sono state sostituite al Decreto Direttoriale 29/2023 di ACN (che in parte sostituisce l’AGID).
Detto questo assicuro e dichiaro che forte dall’accreditamento ACN dei due competitor e dalle clausole contrattuali ex articolo 46 Reg. 2016/679 (più stringenti del vecchio PRIVACY SHIELD) considero valido il sistema ad oggi utilizzato, poi se non vi servono queste piattaforme ….
Il DPO Vincenzo de Prisco.