AGGIORNAMENTO : Il 10 Luglio 2023 la Commissione europea ha adottato il nuovo accordo sul trasferimento dei dati tra l’Unione europea e gli Stati uniti.
Il Data privacy framework entrerà ufficialmente in vigore l’11 luglio 2023. Secondo il commissario europeo alla Giustizia, Didier Reynders, che ha presentato il nuovo quadro normativo, gli Stati Uniti garantiranno un livello di protezione adeguato a tutti i dati personali trasferiti dall’Unione europea alle società statunitensi, in modo analogo a quello garantito all’interno della stessa Unione.
Dall’11 luglio in poi, i dati personali raccolti in Unione europea potranno ricominciare a essere trasferiti liberamente alle società statunitensi che parteciperanno all’iniziativa, senza bisogno di ulteriori garanzie per la protezione dei dati. I dati potranno quindi essere condivisi solo con quelle aziende che si impegneranno, sottoscrivendolo, a rispettare l’accordo.
A tal proposito ed in conseguenza di ciò, CloudFlare è da intendersi conforme al regolamento GDPR a differenza di ciò che emerge dal testo seguente ormai obsoleto.
CloudFlare è una soluzione di ottimizzazione delle prestazioni che lavora in reverse proxy, ovvero agisce come intermediario tra il sito web e i visitatori che lo richiedono. CloudFlare fornisce una rete di proxy distribuita in tutto il mondo che permette di fornire contenuti ai visitatori più velocemente, riducendo la latenza e il tempo di trasferimento dei dati.
Tuttavia, l’utilizzo di CloudFlare in qualità di reverse proxy potrebbe sollevare alcune problematiche in relazione al regolamento GDPR sulla protezione dei dati personali. In particolare, c’è il rischio che i dati dei visitatori del sito vengano esportati in paesi extraeuropei che potrebbero avere normative sulla protezione dei dati meno stringenti di quelle europee.
Il GDPR, ovvero il Regolamento Generale sulla Protezione dei Dati, è una normativa europea che ha l’obiettivo di proteggere i dati personali dei cittadini dell’Unione Europea. Il GDPR stabilisce un insieme di regole per il trattamento dei dati personali che devono essere rispettate da chiunque tratti questo tipo di informazioni, indipendentemente dalla sua sede o dalla sua attività.
Uno dei principi fondamentali del GDPR è quello della protezione dei dati personali anche al di fuori dell’Unione Europea. Per questo motivo, il GDPR vieta espressamente l’esportazione dei dati verso paesi extraeuropei che non garantiscono un livello adeguato di protezione dei dati personali.
Il GDPR considera adeguato il livello di protezione dei dati personali di un paese extraeuropeo solo se questo paese ha adottato leggi e regolamenti che garantiscono un livello di protezione paragonabile a quello previsto dal GDPR. In assenza di queste garanzie, il GDPR vieta l’esportazione dei dati verso questi paesi al fine di proteggere i dati personali dei cittadini dell’Unione Europea.
Questo ha sollevato dubbi e preoccupazioni anche da parte di alcuni garanti della protezione dei dati personali e di corti di giustizia europee. Ad esempio, il Garante per la protezione dei dati personali dell’Austria ha espresso preoccupazione per il fatto che i dati dei visitatori di siti austriaci potrebbero essere trattati al di fuori dell’Unione Europea attraverso CloudFlare
Inoltre, la Corte di Giustizia dell’Unione Europea ha sollevato dubbi sulla compatibilità dell’utilizzo di CloudFlare in qualità di reverse proxy con il regolamento GDPR, sottolineando che potrebbero esserci rischi per la protezione dei dati personali dei visitatori.
Una breve analisi critica personale.
È indubbio che la GDPR, ovvero il Regolamento Generale sulla Protezione dei Dati, abbia introdotto una serie di regole stringenti per il trattamento dei dati personali, al fine di garantire un adeguato livello di protezione dei dati personali dei cittadini dell’Unione Europea. Tuttavia, alcune aziende sostengono che queste regole stiano penalizzando le aziende europee nell’utilizzo di servizi statunitensi come CloudFlare.
Il motivo di questa penalizzazione risiede nella disposizione del GDPR che vieta l’esportazione dei dati verso paesi extraeuropei che non garantiscono un adeguato livello di protezione dei dati personali. Gli Stati Uniti, ad esempio, non sono considerati un paese con un livello di protezione dei dati paragonabile a quello previsto dal GDPR, il che significa che le aziende europee non possono utilizzare servizi statunitensi come CloudFlare per il trattamento dei dati personali dei loro clienti.
Questa disposizione potrebbe rappresentare un problema per alcune aziende, soprattutto per quelle che hanno bisogno di servizi come CloudFlare per proteggersi da attacchi DDOS o da hacker. In questi casi, infatti, l’utilizzo di CloudFlare potrebbe essere vietato dalla GDPR, anche se questo servizio rappresenterebbe l’unica soluzione efficace per proteggersi.
Speriamo che sia possibile trovare un punto di incontro tra Unione Europea e Stati Uniti per ripristinare il Privacy Shield. Il Privacy Shield era un accordo tra UE e USA che regolamentava il trasferimento dei dati personali dall’UE agli Stati Uniti. L’accordo era stato sottoscritto nel 2016 per sostituire l’accordo Safe Harbor, che era stato invalidato dalla Corte di Giustizia dell’Unione Europea.
Il Privacy Shield garantiva un livello adeguato di protezione dei dati personali dei cittadini dell’Unione Europea anche quando questi dati erano trasferiti negli Stati Uniti. Tuttavia, nel 2020 la Corte di Giustizia dell’Unione Europea ha dichiarato il Privacy Shield invalido, sostenendo che il livello di protezione dei dati personali garantito dall’accordo non era sufficientemente elevato.
Il ripristino del Privacy Shield potrebbe rappresentare un importante passo avanti per garantire una maggiore protezione dei dati personali dei cittadini dell’Unione Europea anche quando questi dati sono trasferiti negli Stati Uniti.
