La Danimarca stoppa i servizi di Google (come Gmail, Calendar e Google Drive) nelle scuole a causa dei rischi del trasferimento dei dati.
In una decisione pubblicata la scorsa settimana, l’agenzia danese per la protezione dei dati, Datatilsynet, ha stabilito che l’elaborazione dei dati che coinvolge gli studenti che utilizzano la suite software Workspace basata su cloud di Google — che include Gmail, Google Docs, Calendar e Google Drive — “non soddisfa i requisiti” del Gdpr, il Regolamento sulla privacy dei dati dell’Unione europea. Lo riporta Techcrunch.
Le scuole di tutta la Danimarca utilizzano infatti i laptop Chromebook di Google e, per estensione, Google Workspace.
La decisione dell’Agenzia danese per la protezione dei dati, Datalisynet, fa seguito a una valutazione del rischio del trattamento dei dati personali da parte delle scuole primarie del comune di Helsingør, nella Danimarca nord-orientale.
In particolare, l’autorità danese ha riscontrato che il contratto per il trattamento dei dati – o i termini e le condizioni di Google – apparentemente consentono il trasferimento dei dati ad altri paesi allo scopo di fornire supporto, anche se i dati sono normalmente archiviati in uno dei data center dell’Ue di Google.
Come sottolinea la testata americana, la Danimarca è l’ultimo di una serie di paesi europei a tentare di regolamentare ciò che considerano una violazione del Gdpr da parte di Google. La sentenza del Datalisynet segue le mosse di altri regolatori europei come quello francese e austriaco riguardo Google Analytics.
L’ultimo è stato il Garante della privacy Italiano che ha stabilito che il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti.
Tutti i dettagli.
COSA HA STABILITO L’AUTHORITY DANESE SU GOOGLE WORKSPACE (GMAIL, CALENDAR E DRIVE)
Dal 3 agosto, alle organizzazioni del settore pubblico di Helsingør sarà vietato utilizzare Google Workspace, che include Gmail e la suite di app Google Docs, nonché i suoi laptop Chromebook.
Sebbene questa ultima sentenza si applichi tecnicamente solo alle scuole di Helsingør, per ora, Datatilsynet osserva che molte delle conclusioni a cui è giunta “probabilmente si applicherà ad altri comuni” che utilizzano Google Chromebook e Workspace.
Ha aggiunto che si aspetta che questi altri comuni “prendano misure pertinenti” sulla base della decisione raggiunta a Helsingør.
Il divieto ha effetto immediato, ma Helsingør ha tempo fino al 3 agosto per cancellare i dati degli utenti.
AL CENTRO DEL PROBLEMA IL TRASFERIMENTO DEI DATI USA-UE
L’indagine del regolatore delle comunicazioni danese ha concluso che i dati personali dei cittadini danesi che utilizzano Workspace e Chromebook sono trasferiti a server con sede negli Stati Uniti senza il livello appropriato di anonimizzazione. Quindi in violazione del Gdpr.
I trasferimenti di dati Usa-Ue sono tecnicamente illegali dalla sentenza storica della Corte di Giustizia Ue del luglio 2020, che ha invalidato l’accordo sul trasferimento di dati tra l’UE e gli Stati Uniti noto come Privacy Shield.
Da allora le aziende hanno fatto affidamento su uno strumento giuridico diverso, le clausole contrattuali standard (SCC), per i trasferimenti di dati transatlantici. Ma la legittimità rimane in gran parte non testata in tribunale.
IN ARRIVO IL SOSTITUTO DEL PRIVACY SHIELD
Da quel momento entrambe le sponde dell’Atlantico hanno negoziato infatti un sostituto del Privacy Shield.
Il 25 marzo i Presidenti Joe Biden e Ursula Von Der Leyen hanno siglato un accordo preliminare tra Usa e Ue in materia di trasferimento e trattamento dei dati personali.
Tuttavia, i dettagli legali del previsto quadro per il trasferimento dei dati devono ancora essere finalizzati prima che entri in vigore. Ciò significa che l’uso dei servizi cloud con sede negli Stati Uniti rimane avvolto dal rischio legale per i clienti dell’UE.
LA POSIZIONE DI GOOGLE
Un portavoce di Google ha dichiarato a TechCrunch: “Sappiamo che gli studenti e le scuole si aspettano che la tecnologia che utilizzano sia legalmente conforme, responsabile e sicura. Ecco perché per anni Google ha investito in best practice sulla privacy e valutazioni diligenti dei rischi e ha reso la nostra documentazione ampiamente disponibile in modo che chiunque possa vedere come aiutiamo le organizzazioni a conformarsi al Gdpr”.
“Le scuole possiedono i propri dati. Trattiamo i loro dati solo in conformità con i nostri contratti con loro. In Workspace for Education, i dati degli studenti non vengono mai utilizzati per scopi pubblicitari o altri scopi commerciali. Organizzazioni indipendenti hanno verificato i nostri servizi e manteniamo le nostre pratiche sotto costante revisione per mantenere i più alti standard possibili di sicurezza e conformità” hanno aggiunto Google.
Articoli correlati
Siete pronti per Miss AI?
Aurelia bis, ecco chi ha danneggiato lo Stato
Come e perché l’Ue va rivoluzionata. Il discorso integrale di Mario Draghi
La Lega di Salvini cavalcherà le bollette alle europee?
