L’Autorità danese per la protezione dei dati esprime serie critiche e i trasferimenti verso gli Stati Uniti e vieta l’uso di Google Workspace e Chromebook.
L’indagine dell’Autorità danese, Datatilsynet, è stata avviata a seguito della segnalazione nei confronti del Comune di Helsingør il 19 dicembre 2019: un genitore aveva denunciato che suo figlio era riuscito a creare un account su YouTube con il rischio, quindi, che i dati del minore potessero essere pubblicati sulla nota piattaforma di condivisione di video.
L’Autorità, nel settembre 2021, ha invitato il comune di Helsingør ad effettuare una valutazione del rischio del trattamento dei dati personali degli studenti delle scuole primarie che utilizzano Google Chromebook e Google Workspace (che include Gmail, Docs, Calendar e Drive).
Nel documento fornito dal Comune di Helsingør viene evidenziato il rischio di “utilizzare i dati per scopi non intenzionali” durante l’utilizzo dei Google Chromebook. La DPA danese ha ritenuto che il Comune, in qualità di titolare del trattamento, non avesse valutato alcuni rischi specifici relativi alla struttura di Google. Nei Termini e Condizioni di Google Workspace si legge che i dati personali degli utenti potrebbero essere trasferiti in un altro paese, a fini di “miglioramento del sistema”. Inoltre, l’accordo per il trattamento dei dati (Data Protection Agreement) stabilisce che le informazioni possono essere trasferite a paesi terzi per il supporto tecnico senza il livello di sicurezza e protezione richiesto dalla normativa europea, nonostante si sia scelto un data center localizzato in Europa.
La base giuridica per tale trasferimento, secondo il Comune, sarebbe rappresentata dalle clausole contrattuali standard (SCC) che, però, non sono sufficienti, secondo la Corte di Giustizia (sentenza Schrems II), se il paese terzo non garantisce lo stesso livello di protezione assicurato all’interno dell’UE. È quindi necessario esaminare, caso per caso, se la legislazione del paese terzo assicuri il livello necessario di protezione dei dati personali trasferiti e, se necessario, adottare misure aggiuntive oltre alle SCC (Raccomandazioni 01/2020 dell’EDPB).
Con sentenza dello scorso 14 luglio l’Autorità danese ha quindi disposto:
- il divieto di trattamento dei dati personali con Google Chromebook e Workspace fino a quando non sia stata fornita un’adeguata documentazione ed eseguita una valutazione di impatto e fino a quando le operazioni di trattamento non siano state allineate alle disposizioni del GDPR;
- la sospensione del trattamento dei dati da parte del Comune di Helsingør fino a quando non si adeguerà alle norme del capo V del GDPR;
- il divieto e la sospensione entreranno in vigore immediatamente, ma al Comune è stato concesso il termine del 3 agosto 2022 per cancellare tutti dati degli utenti.
Datatilsynet ha infine osservato che molte delle conclusioni della decisione in esame si applicheranno probabilmente ad altri comuni danesi che utilizzano gli strumenti di Google.
Avv. Sabrina Salmeri