Valutazione dell'impatto del trasferimento di dati
Ultimo aggiornamento: 27 ottobre 2022

Questo documento è redatto alla luce della sentenza "Schrems II" della Corte di giustizia per l'Unione europea e delle raccomandazioni del Comitato europeo per la protezione dei dati. In particolare, il presente documento descrive i regimi legali applicabili al trasferimento dei dati nell'ambito della suite Google For Education, le garanzie che Google mette in atto in relazione ai trasferimenti di dati personali dei clienti dallo Spazio economico europeo, dal Regno Unito o dalla Svizzera ("Europa") e la capacità di Google di adempiere ai propri obblighi in qualità di "importatore di dati" ai sensi delle Standard Contractual Clauses ("SCC"). Il presente documento è redatto in base alle informazioni pubblicamente rese disponibili da Google che in quanto importatore deve tenere informati gli importatori degli sviluppi che incidono sul livello di protezione dei dati personali ricevuti nel paese dell'importatore. Tali informazioni sono contenute nei whitepaper:
 Google Cloud's Approach to European Standard Contractual Clauses
 Safeguards for International Data Transfers with Google Cloud
 Government Requests for Cloud Customer Data
 Safeguards for international data transfers with Google Workspace and Workspace for Education
Inoltre è stata verificata la pagina relativa alla conformità del fornitore al GDPR. 
Passaggio 1: conosci il tuo trasferimento
Google elabora dati personali disciplinati dalle leggi europee sulla protezione dei dati in qualità di responsabile del trattamento dei dati, nel rispetto degli obblighi ai sensi dell'Addendum sull'elaborazione dei dati ("DPA"). Il DPA di Google incorpora gli SCC e fornisce le seguenti informazioni:

 descrizione del trattamento dei dati personali dei clienti da parte di Google 
 descrizione delle misure di sicurezza di Google
Si prega di fare riferimento al DPA per informazioni sulla natura delle attività di trattamento di Google in relazione alla fornitura dei Servizi.
Un elenco di tutti i sub-responsabili del trattamento dei dati è stato reso disponibile da Google. Laddove i dati personali dei clienti provenienti dall'Europa vengano trasferiti tra società del gruppo Google o trasferiti da Google a sub-incaricati del trattamento di terze parti, Google stipula SCC con tali parti. Queste sono pubblicate per trasparenza.
In base al DPA Google può trasferire i dati personali dei clienti ovunque nei propri data center. Un elenco dei data center è stato reso disponibile da Google: essi afferiscono principalmente ai seguenti sistemi giuridici: Europa, Stati Uniti, Cile, Singapore, Taiwan.
Passaggio 2: identificare lo strumento di trasferimento su cui si fa affidamento
Laddove i dati personali provenienti dall'Europa vengono trasferiti a Google, Google fa affidamento sugli SCC della Commissione europea per fornire una protezione adeguata al trasferimento, come specificato nel dettaglio dal documento Google Cloud's Approach to
 [omissis] cui link è elencato in precedenza.

Laddove i dati personali dei clienti provenienti dall'Europa vengano trasferiti tra società del gruppo Google o trasferiti da Google a sub-incaricati del trattamento di terze parti, Google stipula SCC con tali parti.
Passaggio 3: valutare se lo strumento di trasferimento invocato è efficace alla luce delle circostanze del trasferimento
Leggi sulla sorveglianza degli Stati Uniti
FISA 702 e decreto esecutivo 12333
Le seguenti leggi statunitensi sono state individuate dalla Corte di giustizia dell'Unione europea nella causa Schrems II come potenziali ostacoli a garantire una protezione sostanzialmente equivalente per i dati personali negli Stati Uniti:
 FISA Sezione 702 ("FISA 702") - consente alle autorità governative statunitensi di obbligare la divulgazione di informazioni su persone non statunitensi situate al di fuori degli Stati Uniti ai fini della raccolta di informazioni di intelligence straniera. Questa raccolta di informazioni deve essere approvata dalla Foreign Intelligence Surveillance Court di Washington, DC. I fornitori inclusi nell'ambito della FISA 702 sono fornitori di servizi di comunicazione elettronica ("ECSP") ai sensi di 50 USC § 1881 (b) (4), che possono includere fornitori di servizi di elaborazione remota ("RCSP"), come definiti in 18 USC § 2510 e 18 USC § 2711.
 L'ordine esecutivo 12333 ("EO 12333") - autorizza le agenzie di intelligence (come l'Agenzia per la sicurezza nazionale degli Stati Uniti) a condurre la sorveglianza al di fuori degli Stati Uniti. In particolare, fornisce l'autorità alle agenzie di intelligence statunitensi di raccogliere informazioni di "intelligence sui segnali" estere, ovvero informazioni raccolte da comunicazioni e altri dati trasmessi o accessibili tramite radio, filo e altri mezzi elettromagnetici. Ciò può includere l'accesso a cavi sottomarini che trasportano dati Internet in transito negli Stati Uniti. EO 12333 non si basa sull'assistenza obbligata dei fornitori di servizi, ma sembra invece fare affidamento sullo sfruttamento delle vulnerabilità nell'infrastruttura delle telecomunicazioni.
Ulteriori informazioni su queste leggi di sorveglianza degli Stati Uniti sono disponibili nel white paper di Schrems II di settembre 2020 sulle misure di salvaguardia della privacy degli Stati Uniti relative agli SCC e altre basi legali dell'UE per i trasferimenti UE-USData emesso in risposta alla sentenza Schrems II.
Per quanto riguarda la FISA 702, il whitepaper osserva:
 Per la maggior parte delle aziende, le preoccupazioni sull'accesso alla sicurezza nazionale ai dati aziendali evidenziate da Schrems II "è improbabile che sorgano perché i dati che gestiscono non interessano la comunità dell'intelligence statunitense".
 Esiste un ricorso individuale, anche per i cittadini dell'UE, per le violazioni della sezione 702 della FISA attraverso misure non affrontate dal tribunale nella sentenza Schrems II, comprese le disposizioni FISA che consentono azioni private per danni.
Per quanto riguarda l'ordine esecutivo 12333, il whitepaper osserva:
 EO 12333 da solo non "autorizza il governo degli Stati Uniti a richiedere a qualsiasi azienda o persona di divulgare i dati". Invece, EO 12333 deve fare affidamento su uno statuto, come FISA 702 per raccogliere dati.
 La raccolta di dati in blocco, il tipo di raccolta di dati in questione in Schrems II, è espressamente vietata ai sensi della EO 12333.
Cloud Act
Per ulteriori informazioni sul CLOUD Act, si fa riferimento alle informazioni contenute alla pagina Cos'è il CLOUD Act? da BSA Software Alliance che delinea l'ambito di applicazione del CLOUD Act.
Il white paper osserva:
 Il CLOUD Act consente al governo degli Stati Uniti l'accesso ai dati nelle indagini penali solo dopo aver ottenuto un mandato approvato da un tribunale indipendente basato sulla probabile causa di uno specifico atto criminale.
 Il CLOUD Act non consente al governo degli Stati Uniti l'accesso alle indagini sulla sicurezza nazionale e non consente la sorveglianza di massa
Passaggio 4: identificare le misure tecniche, contrattuali e organizzative applicate per proteggere i dati trasferiti
Google fornisce le seguenti misure tecniche per proteggere i dati dei clienti:
    Crittografia: Google utilizza la crittografia per proteggere i dati in transito e inattivi. I dati di Google Workspace in transito tra le regioni sono protetti tramite HTTPS, attivato per impostazione predefinita per tutti gli utenti. I servizi Google Workspace e Google Cloud crittografano i contenuti dei clienti archiviati inattivi, senza che sia richiesta alcuna azione da parte dei clienti, utilizzando uno o più meccanismi di crittografia. Maggiori dettagli sono presenti nel whitepaper relativo alla crittografia.
 Misure di sicurezza: Google dichiara ulteriori misure di sicurezza alla pagina relativa alla conformità con il GDPR. Molte di queste misure sono contrattualizzate nel DPA. Tra queste, Google dichiara di disporre di un team dedicato alla sicurezza responsabile della sicurezza e della privacy dei dati dei clienti e della gestione della sicurezza 24 ore al giorno e 7 giorni alla settimana in tutto il mondo, di eseguire la scansione delle vulnerabilità del software, test di penetrazione automatizzati e manuali intensivi, processi di garanzia della qualità, revisioni della sicurezza del software e audit esterni. Ulteriori misure relative alle strutture sono dettagliate nel whitepaper relativo alla sicurezza delle strutture.
      
Le misure contrattuali di Google sono stabilite nel DPA:

 Misure tecniche: Google è contrattualmente obbligata ad adottare misure tecniche e organizzative adeguate per salvaguardare i dati personali (ai sensi del DPA che incorpora le SCC, cfr. art. a7 e Appendix 2. Queste misure includono la crittografia in transito e a riposo dei dati.
 Trasferimenti successivi: Google rimane responsabile nei confronti del cliente e dell'utente in caso di condivisione con i dati con altri soggetti. Il fornitore è obbligato a nominarli responsabili esterni e a eseguire audit che includono aspetti di sicurezza e privacy (cfr. Appendix 2, art. 5). Laddove i dati personali dei clienti provenienti dall'Europa vengano trasferiti tra società del gruppo Google o trasferiti da Google a sub-incaricati del trattamento di terze parti, Google stipula SCC con tali parti.
 Obbligo di notifica di Data Breach e di assistenza al Cliente: Viene specificato l'obbligo di Google di notificare eventi di Data Breach. Viene inoltre contrattualizzato un obbligo di assistenza al Cliente in caso di richieste pervenute a Google di esercizio dei diritti degli interessati.

Le misure organizzative di Google per proteggere i dati dei clienti includono:
 Politica per l'accesso del governo: Google pubblica e segue una procedura documentata nel rispondere a qualsiasi richiesta di dati da parte del governo. Per ottenere dati da Google, le forze dell'ordine devono fornire un procedimento legale appropriato per il tipo di informazioni richieste, come una citazione, un'ingiunzione del tribunale o un mandato. Viene garantito l'esame da parte di un gruppo di esperti in materia legale e nei limiti di quanto consentito dalla legge Google si impegna a notificare all'utente la richiesta di dati da parte del governo. Un report di trasparenza viene periodicamente aggiornato da parte del fornitore.
 Formazione e istruzione ai dipendenti: Nell'Appendice 2 vengono contrattualizzati gli standard in merito alla formazione e alle istruzioni ai dipendenti. Il personale è tenuto a sottoscrivere un accordo di riservatezza e riceve una formazione sulla sicurezza. Il personale che tratta i Dati del Cliente è tenuto a completare le proprie competenze con aggiuntivi adeguati al proprio ruolo (es. certificazioni). 
      
Fase 5: fasi procedurali necessarie per attuare misure supplementari efficaci
Alla luce delle informazioni fornite in questo documento, inclusa l'esperienza di Google nell'affrontare le richieste del governo e le misure tecniche, contrattuali e organizzative che Google ha implementato per proteggere i dati personali dei clienti, l'Istituto A. Martini ritiene che i rischi connessi al trasferimento e al trattamento dei dati personali europei non pregiudicano la capacità di ottemperare ai propri obblighi ai sensi delle SCC (come "esportatori di dati") o di garantire che i diritti delle persone rimangano protetti. La presente conclusione è espressa sulla base di una valutazione di probabilità bassa di una richiesta di accesso ai dati trattati dall'Istituto da parte di un governo extra-europeo per i dati oggetto di trattamento. Pertanto, per l'anno scolastico  2022-2023 non sono disposte ulteriori misure supplementari.
Passaggio 6: rivalutare a intervalli appropriati
L'Istituto A. Martini esaminerà e, se necessario, riconsidererà i rischi coinvolti e le misure che ha implementato per affrontare le mutevoli normative sulla privacy dei dati e gli ambienti di rischio associati ai trasferimenti di dati personali al di fuori dell'Europa entro la fine dell'anno scolastico  2022-2023.