Google Drive e GDPR
Google Drive è uno dei più noti servizi di file hosting. Google Drive consente ai suoi utenti di salvare documenti nel cloud, condividere file e modificare documenti insieme. Google Drive include Google Docs, Sheets, Slides e Forms, un pacchetto di software per ufficio che consente la modifica condivisa di documenti, fogli di calcolo, presentazioni ecc. I file condivisi pubblicamente su Google Drive possono essere trovati tramite i motori di ricerca su Internet. Fin qui tutto bene. Ma come si comporta Google Drive con la protezione dei dati? Cosa devono tenere presente le aziende che vogliono utilizzare il servizio?
Requisiti di protezione dei dati per i fornitori di servizi cloud di paesi terzi
Una delle innovazioni più importanti del Regolamento generale sulla protezione dei dati è l'istituzione del cosiddetto principio del mercato. Se un'azienda offre prodotti o servizi ai cittadini dell'Unione Europea, indipendentemente dalla sua sede nel mondo, deve rispettare i requisiti del GDPR. Viceversa, le aziende europee sono tenute a garantire che le esportazioni di dati verso un fornitore di cloud siano conformi alla legge sulla protezione dei dati.
All'interno dell'UE, a tal fine vengono stipulati accordi di trattamento dei dati ai sensi dell'art. 28 del GDPR. Se i dati personali vengono esternalizzati a un fornitore di servizi con sede in un Paese terzo, per il quale è sufficiente l'accesso per una "risoluzione dei problemi" occasionale, è necessario adottare clausole contrattuali standard e misure aggiuntive e supplementari per garantire un livello adeguato di protezione dei dati nel Paese terzo.
Ulteriori misure possono consistere nel criptare o rendere anonimi i dati da esportare. Questo per proteggere la riservatezza dei dati dall'accesso delle autorità o dei servizi segreti, che può essere perfettamente legale negli Stati Uniti. Nel caso della crittografia, va notato che la chiave rimane nelle mani del cliente, quindi non di Google in questo caso.
Cosa offre Google ai suoi clienti dopo "Schrems II"?
La risposta a questa domanda non può che essere piuttosto banale: Google offre molto, ma purtroppo quasi nulla di utile. Ad esempio, non c'è alcuna informativa ai sensi dell'art. 13 GDPR per il prodotto Google Drive, ma c'è per tutti i servizi di Google: "La presente informativa sulla privacy si applica a tutti i servizi offerti da Google LLC e dalle sue affiliate, tra cui YouTube, Android e i servizi forniti su siti web di terze parti, come i servizi pubblicitari". Difficilmente potrebbe essere più confuso e, secondo l'autore di queste righe, viola gli obblighi di trasparenza del GDPR. Anche i numerosi video sulla protezione dei dati non cambiano la situazione. Un linguaggio chiaro e semplice sarebbe molto più utile.
Per quanto riguarda il trasferimento dei dati negli Stati Uniti, Google lavora con le nuove clausole contrattuali standard e offre un modello precompilato del Modulo 2 EU Controller-to-Processor. Tuttavia, la trasparenza in materia di protezione dei dati e di Google Drive viene meno anche in questo caso quando, ad esempio, le categorie di dati sono descritte nell'allegato I delle clausole contrattuali standard come segue: "Famiglia, stile di vita e condizioni sociali, comprese le informazioni relative alla famiglia dell'interessato e allo stile di vita e alle condizioni sociali dell'interessato, compresi i dati relativi alla famiglia e agli altri membri del nucleo familiare, alle abitudini, all'abitazione, ai dati relativi ai viaggi, alle attività del tempo libero e all'appartenenza a organizzazioni di beneficenza o di volontariato". Esistono descrizioni simili e onnicomprensive per "Dati personali", "Dati relativi all'occupazione", "Dati finanziari", "Dati relativi all'istruzione e alla formazione", ecc. Anche in questo caso, non si tratta di una vera e propria trasparenza.
Valutazione dell'impatto del trasferimento
Con le nuove clausole contrattuali standard, vi è ora l'obbligo di effettuare una "valutazione dell'impatto del trasferimento", una valutazione completa, caso per caso, dell'impatto sulla protezione dei dati prima di un trasferimento in un paese terzo. È necessario rispondere alla seguente domanda di controllo: Google può e intende effettivamente adempiere agli obblighi contrattuali previsti dal GDPR? Per rispondere a questa domanda, dovrete cliccare sui numerosi documenti, allegati, video e altri link che Google ha fornito qui. Resta da vedere se alla fine troveremo tutte le informazioni necessarie per fare una dichiarazione affidabile.
E ora?
In quanto "gigante di Internet" completamente standardizzato, Google difficilmente risponderà alle esigenze di chiarimento delle piccole e medie imprese, nemmeno per quanto riguarda Google Drive e il Regolamento generale sulla protezione dei dati. La conclusione delle clausole contrattuali standard offerte si baserà sul principio "time or die". Le aziende dovrebbero quindi adottare in modo proattivo ulteriori misure di sicurezza e, se decidono di utilizzare Google Drive, caricare solo dati altamente crittografati e non consegnare la chiave.
Questo sarebbe un modo per garantire almeno un certo livello di protezione dei dati per Google Drive in Germania. Dopotutto, ci vorrà del tempo prima che la crittografia omomorfa venga utilizzata in modo generalizzato. 2B Advice sarà lieta di assistere la vostra azienda con una valutazione della protezione dei dati sull'uso di Google Drive, in particolare con l'implementazione della valutazione dell'impatto del trasferimento.