Schrems 2 e il suo impatto sui servizi di segnalazione
Di recente ci sono state poste domande sulla sentenza Schrems 2 e sul suo impatto sui servizi di segnalazione. In questo articolo risponderemo a diverse domande chiave pertinenti alla sentenza Schrems 2, con particolare enfasi sul servizio di segnalazione e sul continuo impegno di WhistleB per la sicurezza dei dati.
Che cos’è la sentenza Schrems 2?
Schrems 2 è una sentenza emessa dalla Corte di Giustizia dell’Unione Europea (CGUE), il che significa che lo Scudo UE-USA per la privacy è diventato un meccanismo insufficiente per assicurare la conformità con i requisiti di protezione dei dati nell’UE. La sentenza è stata promulgata in luglio 2020, quando la CGUE ha annullato lo Scudo UE-USA per la privacy come meccanismo di trasferimento per l’esportazione dei dati personali negli USA, sulla base del fatto che la protezione offerta non soddisfaceva gli standard dell’UE.
In che modo la questione è correlata ai servizi di segnalazione?
A seconda dell’ubicazione, della struttura e della scelta del fornitore della soluzione di segnalazione, determinate organizzazioni possono trasferire i dati di segnalazione tra l’UE e gli USA.
Quali aree della legislazione USA e UE sono pertinenti?
L’UE GDPR limita i trasferimenti dei dati personali al di fuori dell’UE verso Paesi che non sono in grado di garantire una protezione adeguata, a meno che non si applichi un’eccezione o non venga adottato un meccanismo alternativo approvato.
Fino a questo momento, le Clausole contrattuali tipo (SCC) e lo Scudo per la privacy (per i trasferimenti negli USA) sono stati i meccanismi utilizzati più comunemente per la protezione dei dati personali trasferiti.
Ai sensi dell’US Cloud Act del 2018, le agenzie governative statunitensi possono chiedere a un tribunale statunitense di emettere un mandato per richiedere ai fornitori di servizi cloud soggetti alle leggi americane di cedere i dati che memorizzano per i clienti, anche se tali dati sono conservati al di fuori degli Stati Uniti, compresa l’UE.
Qual è la posizione di WhistleB?
In qualità di fornitore di servizi cloud con sede nell’UE, WhistleB è soggetto ed è completamente conforme all’UE GDPR.
La sicurezza è sempre stata al centro di tutto ciò che facciamo presso WhistleB, ovvero proteggere sia i segnalanti anonimi sia i dati dei nostri clienti. Sin dall’inizio abbiamo progettato espressamente una sicurezza leader di mercato all’interno del nostro servizio di segnalazione abbiamo selezionato i fornitori IT più sicuri.
La sicurezza dei dati e la conformità con tutte le leggi vigenti sono e resteranno al centro del servizio di segnalazione di WhistleB. Il nostro Trust Centre contiene maggiori informazioni a riguardo.
Dove e in che modo WhistleB conserva i dati?
WhistleB ha selezionato il leader di mercato Microsoft Azure come fornitore di servizi di hosting sicuro dei dati per i dati dei clienti. Microsoft Azure è un leader del settore in termini di sicurezza delle informazioni, sicurezza IT e protezione dei dati.
Tutti i dati dei clienti sono conservati ed elaborati nell’UE, con un centro dati primario in Irlanda e uno secondario nei Paesi Bassi. Tuttavia, la capogruppo di Microsoft Azure è Microsoft Corporation, una compagnia americana che, in quanto tale, è potenzialmente soggetta al Cloud Act.
In che modo il sistema WhistleB gestisce la divulgazione dei dati?
WhistleB aderisce rigorosamente al GDPR e alla Direttiva UE sulla protezione dei whistleblower. Qualsiasi richiesta di divulgazione di dati creerebbe un rischio materiale di violazione di una o entrambe queste normative. WhistleB non può divulgare a nessuno i dati dei clienti.
I dati dei clienti di WhistleB sono anche protetti da qualsiasi divulgazione tramite la robusta tecnologia di crittografia del servizio di segnalazione. Questa tecnologia di crittografia garantisce l’accesso ai dati solo da parte del cliente, non da WhistleB, dai fornitori o da un’autorità, né da altre terze parti. Un cliente di WhistleB ha il controllo completo ed esclusivo della chiave di crittografia. Solo il cliente può decrittare e conferire a chiunque l’accesso ai propri dati.
In che modo la sentenza Schrems 2 influenza la conformità di WhistleB con il GDPR?
L’annullamento dello Scudo UE-USA per la privacy non ha effetto sulla conformità del sistema WhistleB con il GDPR. WhistleB e Microsoft Azure Irlanda non trasferiscono i dati negli USA o a terze parti al di fuori dell’UE. Tuttavia, il cliente può decidere di aprire l’accesso al proprio strumento di gestione dei casi per qualsiasi Paese al di fuori dell’UE. È il cliente che supervisiona la sicurezza dei dati e garantisce le limitazioni sull’accesso degli utenti ai propri dati.
La posizione di WhistleB è che Microsoft Azure offra sufficienti garanzie del rispetto delle norme del DGPR sul trasferimento dei dati personali a Paesi terzi sulla base delle Clausole contrattuali tipo. WhistleB si impegna quindi al rispetto di queste garanzie.
Cosa succederà ora?
La sicurezza dei dati e la conformità con tutte le leggi vigenti sono e resteranno al centro del servizio di segnalazione di WhistleB. Continueremo quindi a monitorare da vicino la situazione attuale e la mancanza di un accordo tra l’UE e gli USA.
Dove posso trovare maggiori informazioni?
Chi desidera discutere della sentenza Schrems 2 e del suo impatto sui servizi di segnalazione, può mettersi in contatto con noi.
Contatti:
Gunilla Hadders, Direttore del Centro di segnalazione di WhistleB
+46 70 214 88 73, gunilla.hadders@whistleb.com
