Niente cloud extra UE nella PA del Baden Wuerttemberg ?

(Grazie Marco per la segnalazione)

La decisione non è definitiva.

Se sarà confermata potrebbe diventare un bel problema per alcuni… (e una gigantesca opportunita’ per altri)

Source: Studio legale Avv. Bahr

Camera per gli appalti pubblici BaWü: nessun servizio IT e cloud dalle filiali dell’UE di società americane

28/07/2022

In una recente procedura, la Camera degli appalti pubblici del Baden-Württemberg ha riscontrato che l’assegnazione di servizi IT e cloud alle filiali dell’UE di società americane viola le normative sulla protezione dei dati. A causa dell’integrazione nel gruppo di società, esiste un grave pericolo che avvenga una trasmissione di dati non consentita negli Stati Uniti (Awarding Chamber BaWü, decisione del 13 luglio 2022 – Az.: 1 VK 23/22) .

Riguardava l’acquisto di software da parte del settore pubblico.

Nell’offerta di un offerente, il server e i servizi di hosting sono stati forniti da una società con sede nell’UE. Era una filiale di una società madre statunitense.

Ora è sorta la domanda fino a che punto questo sia conforme al GDPR.

A parere della camera, l’offerta viola la normativa applicabile in materia di protezione dei dati:

“L’utilizzo di X. come fornitore di servizi di hosting è una trasmissione ai sensi degli artt. 44 e ss. GDPR. (…). La nozione di trasmissione deve essere interpretata alla luce della formulazione dell’articolo 44 S. 1 DS-GVO e dell’istruzione di cui all’articolo 44 S. 2 DS-GVO in merito all’applicazione della norma ed è pertanto da intendersi in modo completo: trasmissione è qualsiasi divulgazione di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, indipendentemente dal tipo di divulgazione o divulgazione a terzi (…).

Misurato rispetto a questi standard, l’uso di X., una società europea la cui società madre è la X. Inc. con sede negli Stati Uniti. è, a un trasferimento di dati inammissibile verso un paese terzo.”

E inoltre:

“L’incarico di X. da parte del soggetto citato si basa, tra l’altro, sulla “X. ADDENDUM PER IL TRATTAMENTO DEI DATI GDPR”. La sezione 3 del presente accordo contiene una clausola relativa alla riservatezza dei dati dei clienti (“Riservatezza dei dati dei clienti”). In base a tale clausola, i dati del cliente non possono essere consultati da X., né possono essere utilizzati o ceduti a terzi, a meno che ciò non sia necessario per mantenere o fornire i servizi o per ottemperare a leggi o ordini effettivi e legalmente vincolanti di autorità governative. (…)

Le Sezioni 3 e 12.1 della “X. GDPR DATA PROCESSING ADDENDUM” sono concepiti come una clausola generale e offrono sia agli enti governativi che privati ​​​​al di fuori dell’UE e in particolare negli Stati Uniti la possibilità di accedere ai dati archiviati presso X. in determinate situazioni nell’ambito delle autorizzazioni contrattuali o legali applicabili nel caso specifico .(…)

Dopotutto, il rischio latente può materializzarsi in qualsiasi momento.

Con la stipula del contratto con X., il soggetto convocato rinuncia alla possibilità di influenzare, almeno in parte, i dati affidati a X.”

La decisione non è definitiva.

Source: Notizie legali – Kanzlei Dr. Bahr

If you like this post, please consider sharing it.

Leave a Comment

Your email address will not be published. Required fields are marked *