Parere richiesto per il trasferimento dei dati all’estero (Google e Microsoft).

Diverse ISA mi hanno chiesto, in seguito ad una comunicazione del MIM del 20/03/2023, un parere sull’adeguatezza dei sistemi.

Come sempre sarò critico, in quanto il MIM non ha competenze per questo tipo di consultazioni, essendo deputati all’attività l’AGID (art. 14 bis D.lgs 82/05), il GPDP (D.Lgs 196/03, D.Lgs 101/18, Reg. 2016/679) e l’ACN (DL 81/22).

Detto quanto sopra, approfondiamo la vicenda innescata da MONITORAPA.

Alcuni servizi vengono portati fuori dal territorio EUROPEO, l’essenza è questa.

Al momento non esistono accordi USA-UE vigenti dopo che il PRIVACY SHIELD è stato sciolto, tuttavia il 13 Dicembre 2022 è stato raggiunto un accordo denominato  The EU-US Data Privacy Framework, finalizzato a creare il cd “essential equivalence” test .

Questo accordo ancora non è ratificato,….certo ma …. la mancanza di un accordo tra i Paesi, articolo 45 par 3 del GDPR, può essere sostituito da adeguate clausole contrattuali (articolo 46 del Reg. 2016/679), ebbene le clausole di adeguatezza le troviamo qui:

• MICROSOFT
• GOOGLE

Ancor di più esaustivo dovrebbe essere il controllo preventivo fatto dai COMPETENTI (AGID sentito il GPDP), infatti le due piattaforme sono censite nel marketplace CLOUD di ACN (già AGID).

Microsoft è qualificata come IAAS con questi estremi

• Tipologia: IaaS
• Livello di qualificazione: QC1
• ID Scheda: IA-974
• Categoria: Virtual Datacenter
• Stato corrente: QUALIFICATA
• Azienda fornitrice: Microsoft Corporation
• Data di qualificazione: 19-01-2023
• Data di scadenza: 18-01-2024

Google è qualificata come SaaS con questi estremi

• Tipologia: SaaS
• Livello di qualificazione: QC1
• ID Scheda: SA-2321
• Categoria: Servizi per l’information technology, IT Security
• Stato corrente: QUALIFICATA
• Azienda fornitrice: Google Cloud Italy S.r.l.
• Data di qualificazione: 19-01-2023
• Data di scadenza: 18-01-2024

ed anche IaaS con questi estremi

• Tipologia: IaaS
• Livello di qualificazione: QC1
• ID Scheda: IA-2521
• Categoria: Compute
• Stato corrente: QUALIFICATA
• Azienda fornitrice: Google Cloud Italy S.r.l.
• Data di qualificazione: 19-01-2023
• Data di scadenza: 18-01-2024

ed in ogni caso Google e MICROSOFT sono etichettati come PUBLIC CLOUD.

Il motivo della “fresca” iscrizione non deve essere fuorviante, anzi deve rassicurare, infatti a partire dal 2023 le circolari Agid n2 ed n3 del 2019 non sono più vigenti (vecchia qualificazione di sicurezza per essere sul marketplace CLOUD di AGID) e sono state sostituite al Decreto Direttoriale 29/2023 di ACN (che in parte sostituisce l’AGID).

Detto questo assicuro e dichiaro che forte dall’accreditamento ACN dei due competitor e dalle clausole contrattuali ex articolo 46 Reg. 2016/679 (più stringenti del vecchio PRIVACY SHIELD) considero valido il sistema ad oggi utilizzato, poi se non vi servono queste piattaforme ….

Il DPO Vincenzo de Prisco.