Danimarca: l'ultima guida di Datatilsynet sui trasferimenti di dati e il cloud computing

Nel marzo 2022 l'autorità danese per la protezione dei dati ("Datatilsynet") ha pubblicato la sua "Guida all'uso del cloud" ("la Guida")1. Birgitte Toxværd, partner e procuratore legale presso Horten Advokatpartnerselskab, analizza cronologicamente la Guida e i suoi aggiornamenti e discute i punti chiave in relazione ai trasferimenti di dati e al cloud computing.

Sfondo Il margine di incertezza a seguito della sentenza della Corte di giustizia dell'Unione europea ("CGUE") in Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18) ("Schrems II") si sta avvicinando rapidamente mentre il Le autorità dell'UE per la protezione dei dati ("DPA") forniscono chiarimenti sulla conformità alla protezione dei dati nel campo dei servizi cloud. Datatilsynet è anche molto impegnata nei servizi cloud e ha emesso linee guida e decisioni in merito, ad esempio, a strutture di hosting con sede nell'UE di proprietà di società madri statunitensi, la base giuridica per la divulgazione per gli scopi propri dei fornitori di cloud e il pollice in giù per la preparazione di Valutazioni dell'impatto del trasferimento ("TIA") basate sulla probabilità della certezza nella valutazione giuridica. Con una decisione schiacciante nel luglio 2022,

Guida di Datatilsynet, marzo 2022 La Guida affronta i requisiti di base del regolamento generale sulla protezione dei dati dell'UE (regolamento (UE) 2016/679) ("GDPR") e i trasferimenti a paesi terzi, compresi i fornitori di servizi cloud di proprietà di società dell'UE con società madri in paesi terzi. Il Datatilsynet ha sottolineato che la guida è conforme alle opinioni del comitato europeo per la protezione dei dati ("EDPB").

La Guida elabora i modelli di erogazione dei servizi cloud in termini di contenuto, allocazione di responsabilità, profili di sicurezza e complessità tecnica. La Guida si basa inoltre sulle sei fasi delle Raccomandazioni 01/2020 dell'EDPB sulle misure che integrano gli strumenti di trasferimento per garantire la conformità al livello di protezione dei dati personali dell'UE ("Raccomandazioni 01/2020")2 sulle misure supplementari nei trasferimenti.

Inoltre, il processo di screening di cui all'articolo 28, paragrafo 1, del GDPR richiede una valutazione dettagliata delle garanzie per il rispetto degli obblighi di trattamento dei dati del responsabile del trattamento.

I compiti relativi ai servizi cloud comprendono, ad esempio, la mappatura dell'intera catena dei responsabili del trattamento dei dati e dei trasferimenti internazionali, la preparazione di valutazioni dei rischi per la sicurezza del trattamento, la preparazione di valutazioni dell'impatto sulla protezione dei dati ("DPIA"), quando richiesto, la documentazione della Privacy da parte di Design and Default, la preparazione di TIA e la negoziazione di accordi di elaborazione dati per garantire il flusso dei termini ai sub-responsabili nella catena di elaborazione. Questo deve essere fatto prima di stipulare il contratto di trattamento dei dati.

La Guida sottolinea che il TIA della normativa problematica nel paese non SEE e l'adozione di misure supplementari, se richieste, devono includere tutti i trasferimenti nella catena dei responsabili del trattamento, ovvero tutti i responsabili del trattamento che conservano i dati, forniscono supporto, ecc.

Nella valutazione della "legislazione e giurisprudenza problematica", la Guida consente l'approccio secondo cui, se molti paesi terzi sono coinvolti nella catena del trattamento, il titolare del trattamento può basare la sua valutazione della legislazione dei paesi terzi su uno "scenario peggiore ', in cui tutti i paesi terzi coinvolti hanno una legislazione e una giurisprudenza problematiche.

Le misure supplementari adottate per mitigare la legislazione e la giurisprudenza problematiche possono essere tecniche, organizzative e contrattuali. Una misura tecnica evidenziata nella Guida è la crittografia, che deve coprire i dati "in transito, a riposo e in movimento". La crittografia non sarà una misura efficace se il provider cloud esegue la crittografia ed è in possesso delle chiavi di decrittazione, se al provider cloud in base alla legislazione di un paese terzo può essere ordinato di consegnare le chiavi di decrittazione insieme ai dati crittografati, oppure solo le informazioni decifrate, alle autorità non SEE.

Datatilsynet affronta un'importante configurazione non coperta dalle raccomandazioni dell'EDPB riguardanti i fornitori di servizi cloud con sede nell'UE con una società madre statunitense senza presunti trasferimenti di dati personali negli Stati Uniti. Tuttavia, secondo il Clarifying Lawful Overseas Use of Data Act degli Stati Uniti ("il CLOUD Act"), alla società madre può essere ordinato di "conservare, eseguire il backup o divulgare il contenuto di una comunicazione via cavo o elettronica e qualsiasi record o altra informazione pertinente a un cliente o abbonato sotto il possesso, la custodia o il controllo di tale fornitore, indipendentemente dal fatto che tali comunicazioni, registrazioni o altre informazioni si trovino all'interno o all'esterno degli Stati Uniti'. La società madre negli Stati Uniti può quindi ordinare alla controllata dell'UE di divulgare i dati alla società madre, che a sua volta li consegnerà alle autorità statunitensi.

Datatilsynet rileva che l'utilizzo di una struttura di hosting con sede nell'UE di proprietà di una società madre statunitense non comporta di per sé un trasferimento internazionale soggetto al capo V del GDPR per il cliente cloud. Ciò è in linea con la sentenza Doctolib emessa dal Conseil d'État francese nel 2021. Tuttavia, nella Guida, Datatilsynet distingue tra "trasferimenti intenzionali" e "trasferimenti non intenzionali" e se le disposizioni dell'accordo sul trattamento dei dati non lo fanno consentire trasferimenti internazionali, qualsiasi trasferimento effettuato su iniziativa del provider cloud sarà considerato "non intenzionale". Lo scenario dei trasferimenti non intenzionali fa scattare l'obbligo di effettuare una valutazione del rischio ai sensi dell'articolo 32 del GDPR, ma non uno strumento di trasferimento ai sensi del capo V del GDPR. Inoltre, il provider cloud dell'UE e non il cliente cloud (ad es

La valutazione del rischio ai sensi dell'articolo 32 del GDPR deve soppesare le conseguenze per gli interessati e la probabilità che la "minaccia" si concretizzi, ovvero che la filiale dell'UE comunichi i dati personali alle autorità statunitensi in violazione dell'accordo sul trattamento dei dati. Dopo la pubblicazione della Guida, Datatilsynet ha chiarito che il rischio deve essere mitigato a un rischio residuo 'basso', e non semplicemente medio, che è una soglia difficile da raggiungere. In pratica, ciò comporterà l'esecuzione di analisi e documentazione approfondite dei rischi in stretta collaborazione tra i team di sicurezza delle informazioni e legali.

Differenza tra trasferimenti "non intenzionali" e "intenzionali", aprile 2022 La distinzione nella Guida tra trasferimenti internazionali "non intenzionali" e "intenzionali" ha spinto la società privata Kombit A/S a richiedere a Datatilsynet di chiarire cosa intendesse Datatilsynet per divulgazione di dati personali "come una violazione delle disposizioni dell'accordo sul trattamento dei dati" (cioè non intenzionale). In particolare, ha chiesto informazioni su uno strumento di comunicazione scolastica chiamato "Aula", utilizzato quotidianamente da insegnanti e genitori in Danimarca. Aula è ospitato su Amazon Web Services ("AWS"). Kombit ha chiesto se la formulazione nel contratto di elaborazione dati con AWS implicherebbe che il trasferimento fosse "intenzionale" o "non intenzionale".

Kombit ha fatto riferimento all'accordo sul trattamento dei dati con AWS, Sezione 12.1, che conteneva la seguente dicitura:

'12.1 Regioni. […] Una volta che il Cliente ha effettuato la sua scelta, AWS non trasferirà i Dati del Cliente dalle Regioni selezionate dal Cliente, salvo se necessario per fornire i Servizi avviati dal Cliente o se necessario per conformarsi alla legge o a un ordine vincolante di un ente governativo. Qualora si applichino le Clausole Contrattuali Standard, nulla in questa Sezione varia o modifica le Clausole Contrattuali Standard'.

Nell'aprile 2022, Datatilsynet ha informato Kombit che tale dicitura sarebbe stata considerata "trasferimenti intenzionali". Inoltre, ciò comportava che i clienti di Kombit (vale a dire i comuni in qualità di responsabili del trattamento dei dati), non solo AWS, fossero co-responsabili per eventuali trasferimenti non conformi alle autorità governative statunitensi. Il Datatilsynet ha affermato che l'istruzione in termini generali non era limitata o specifica in merito a quali paesi, compresa la legislazione di paesi terzi o gli ordini vincolanti, rientravano nell'ambito dell'istruzione.

Chi è l'esportatore di dati? giugno 2022 Nel giugno 2022 Datatilsynet ha pubblicato un altro chiarimento alla sua Guidance riguardante la definizione del termine "esportatore di dati" ai sensi del Capo V del GDPR. Il termine è usato, ma non definito nel GDPR. Le Standard Contractual Clauses ("SCC"), che sono uno strumento di trasferimento emesso dalla Commissione Europea per i trasferimenti internazionali, definiscono l'esportatore come il titolare del trattamento o responsabile del trattamento che trasferisce i dati personali verso un paese terzo. Se il responsabile del trattamento trasferisce i dati personali a un altro responsabile del trattamento in un paese terzo (Modulo 3 nelle SCC), sorge la domanda su quale parte sia tenuta a garantire la conformità al capo V del GDPR, incluso, ma non limitato a, la predisposizione - e non ultimo il pagamento - del TIA.

Il Datatilsynet ha chiarito che il responsabile del trattamento dei dati esportatore è considerato l'esportatore dei dati ai sensi degli SCC. Tuttavia, il #Datatilsynet ha aggiunto che l'articolo 44 del GDPR contiene il principio generale per i trasferimenti internazionali e che sia i titolari del trattamento che i responsabili del trattamento sono responsabili del rispetto di tale disposizione. Ciò implica che il titolare del trattamento e il responsabile del trattamento dei dati esportatori sono entrambi responsabili di garantire l'esistenza di uno strumento di trasferimento e di misure supplementari efficaci. Pertanto, il titolare del trattamento sarà tenuto anche a documentare che il responsabile del trattamento ha implementato lo strumento di trasferimento e misure integrative efficaci basate su un TIA. In pratica, ciò significa che i clienti cloud devono documentare i TIA nell'ambito del processo di screening dell'articolo 28, paragrafo 1, del provider cloud, parallelamente allo screening delle misure di sicurezza ai sensi dell'articolo 32 del GDPR. Ciò deriva dal principio di responsabilità di cui agli articoli 5 e 24 del GDPR.

Datatilsynet su Google Chromebook e Google Workspace for Education, luglio 2022 Nel luglio 2022, Datatilsynet ha continuato i suoi sforzi nel cloud e ha emesso una decisione schiacciante sull'uso dei servizi cloud. Il caso riguarda il comune di Helsingore in Danimarca, la città natale di Hamlet, e il suo utilizzo di Google Chromebook e Google Workspace for Education nelle scuole. Il caso è iniziato nel 2019 quando un genitore si è lamentato con Datatilsynet che il figlio aveva creato un account YouTube da utilizzare nelle classi. La scuola non aveva chiesto o informato il genitore della creazione dell'account che includeva che il nome, il nome della scuola e la classe dell'alunno erano stati pubblicati quando l'alunno ha fatto commenti su YouTube. Inoltre, i dati di accesso dell'alunno sono stati affissi su un foglio sul coperchio del laptop.

Nel settembre 2021 Datatilsynet ha pubblicamente criticato il Comune di Helsingore per non aver preparato una valutazione del rischio soddisfacente per l'utilizzo di Google Chromebook e Google Workspace for Education. Al comune è stato ordinato di preparare una valutazione del rischio e Datatilsynet ha anche emesso un avviso che dovrebbe essere effettuata una DPIA. Il Datatilsynet ha severamente criticato il trattamento non conforme. Infine, è stato ricordato al comune il suo dovere di contattare i genitori e di garantire l'agevolazione della correzione, anonimizzazione o cancellazione che i genitori non hanno potuto effettuare personalmente per i dati personali relativi ai figli.

Nel luglio 2022, Datatilsynet ha emesso un'ingiunzione contro il comune di Helsingore per cessare l'uso di Google Chromebook e Google Workspace for Education poiché Datatilsynet ha ritenuto che la documentazione GDPR obbligatoria non fosse stata preparata in modo soddisfacente per Datatilsynet.

Il comune aveva consegnato una valutazione del rischio a Datatilsynet nel gennaio 2022, ma non alla DPIA, poiché il comune ha obiettato che una DPIA era necessaria in base alla sua valutazione del rischio.

All'epoca, l'ingiunzione è stata ritenuta efficace fino a quando il comune non si sarebbe assicurato che le attività di trattamento fossero conformi al GDPR e che sarebbe stata predisposta la documentazione obbligatoria del GDPR. Il Datatilsynet ha concesso al comune fino al 3 agosto 2022 la cancellazione degli utenti e dei dati trasferiti. Il comune ha quindi fornito nuova documentazione a Datatilsynet, inclusa una DPIA.

Inoltre, Datatilsynet ha sospeso tutti i trasferimenti di dati personali negli Stati Uniti mediante l'utilizzo di Google Cloud EMEA Limited fino a quando il comune non ha potuto dimostrare che il capo V del GDPR è stato rispettato.

Gli studenti del comune di Helsingore hanno iniziato la scuola all'inizio di agosto senza Chromebook, ma gli insegnanti potevano comunque usarli. Gli insegnanti includevano gli alunni nelle classi con altri mezzi, ad esempio libri, penna e carta vecchio stile. Il comune di Helsingore è uno dei 43 comuni in Danimarca con problemi simili relativi all'uso di Google Chromebook.

Ingiunzione al Comune di Helsingore e sua sospensione, agosto e settembre 2022 Da allora, sulla base delle informazioni fornite dal comune, Datatilsynet ha confermato l'ingiunzione ad agosto, ma a settembre Datatilsynet ha sospeso la propria ingiunzione. Il motivo della sospensione è stato un po' sorprendente, vale a dire che ora il comune aveva riconosciuto i problemi legali e stava lavorando con Datatilsynet per risolverli secondo una procedura dell'articolo 36 poiché il rischio elevato è ancora in sospeso. Tuttavia, la sospensione sarà in vigore solo fino al 3 novembre 2022, e se il comune non ha ancora potuto documentare il rispetto del GDPR, gli alunni tornano a usare carta e penna.

Le decisioni di Datatilsynet includono un'abbondanza di informazioni chiave sui servizi cloud; cinque di questi sono elencati qui:

1. Lo stack tecnologico Quando un'organizzazione fornisce un sistema complesso agli utenti, siano essi alunni (o dipendenti o clienti), l'organizzazione deve documentare il flusso di dati all'interno, tra e all'esterno dei sistemi per garantire che l'organizzazione sappia quale entità è il titolare del trattamento e i dati elaboratore di cui informazioni. Inoltre, in questo scenario, Datatilsynet ha segnalato che il comune aveva fornito un laptop agli alunni e ha lasciato che Google LLC fosse il responsabile del trattamento dei dati, dei metadati nel sistema operativo e dei livelli del browser, mentre Google era il responsabile del trattamento dei dati in l'area di lavoro per i livelli dell'applicazione. Il comune deve ora - insieme a Google - documentare i flussi di dati e identificare per quali informazioni il comune e Google sono rispettivamente il titolare o il responsabile del trattamento.

2. Ambito della base giuridica per la divulgazione dei dati a Google Il comune ha condiviso con Google alcuni dati personali sulla base dell'articolo 6, paragrafo 1, lettera e), del GDPR, ovvero del trattamento necessario per l'esecuzione di un compito svolto nel pubblico interesse o nell'esercizio di pubblici poteri conferiti ai dati controllore.

Il Datatilsynet ha rilevato che Google non aveva identificato esattamente quali dati fossero condivisi e che la base giuridica di cui all'articolo 6, paragrafo 1, lettera e), poteva essere utilizzata per il trattamento in strumenti e sistemi che supportano l'insegnamento in classe, come previsto dalla scuola pubblica danese Atto. Tuttavia, la base giuridica non può essere estesa alla condivisione dei dati personali degli alunni con Google per gli scopi di Google. Nel raggiungere questa decisione, il Datatilsynet ha valutato che gli interessati erano bambini che necessitavano di una protezione speciale.

Il Datatilsynet ha preso in considerazione anche l'utilizzo di metadati raccolti direttamente da Google mediante l'utilizzo delle apparecchiature e del software, anche se questi dati non sono stati utilizzati per scopi di marketing per rivolgersi direttamente al singolo alunno, o indirettamente alle classi.

Questa base giuridica su cui fanno affidamento gli enti del settore pubblico comporta un ambito ristretto (se presente) per la condivisione dei dati con i fornitori di servizi cloud per i propri scopi. I fornitori di servizi cloud e tutti gli altri tipi di responsabili del trattamento dei dati dovranno esaminare e valutare come aggiornare i propri accordi e sistemi di elaborazione dei dati, in particolare se desiderano mantenere l'attività nel settore pubblico.

I clienti del settore privato, invece, possono godere di maggiori possibilità di condivisione dei dati con i responsabili del trattamento per le proprie finalità, eventualmente in base all'articolo 6, paragrafo 1, lettera f), del GDPR sui legittimi interessi. Tuttavia, questo deve essere valutato attentamente caso per caso, ad esempio tenendo conto dei requisiti di segretezza contrattuale e legale.

3. Ambito di valutazione del rischio Il Datatilsynet ha rilevato che la valutazione del rischio fornita dal comune non copriva tutti gli scenari di rischio noti. Gli scenari mancanti includevano il modo in cui le applicazioni elaborano i dati personali, il modo in cui il comune controlla l'accesso di Google ai dati personali nel sistema operativo Chromebook e come i dati personali sono stati separati nell'interazione tra Google Workspace for Education e il back-end di Google (ovvero quali dati sono stati condivisi e come).

Il Datatilsynet ha rilevato che, non includendo e documentando tutti gli scenari di rischio, il comune non aveva documentato un trattamento conforme al GDPR ai sensi degli articoli 5(1)(a) e 5(2) del GDPR.

Nella valutazione del rischio, il comune aveva incluso come scenario di rischio che non poteva escludere del tutto che Google potesse violare l'accordo sul trattamento dei dati e trattare i dati personali per scopi di marketing o altri scopi non intenzionali. In altre occasioni, Datatilsynet ha affermato che la violazione dell'accordo sul trattamento dei dati non è uno scenario che deve essere incluso in una valutazione del rischio poiché è generalmente corretto presumere che il responsabile del trattamento rispetterà l'accordo, a condizione che l'articolo 28, paragrafo 2 1) e il Capo V del GDPR, oltre ovviamente ai processi di audit.

Il Datatilsynet ha risposto che un titolare del trattamento può utilizzare solo un responsabile del trattamento che fornisce garanzie sufficienti per la conformità al GDPR e che l'aspettativa di una tale minaccia combinata con la mancanza di identificazione di misure sufficienti nella valutazione del rischio implicava che il comune non avesse documentato che tali garanzie erano state prestate (artt. 24 e 28, comma 1, del GDPR). Pertanto, tali scenari di rischio non dovrebbero essere inclusi in una valutazione del rischio.

4. Ambito di applicazione delle DPIA Il Datatilsynet ha avvertito il comune nella sua prima decisione nel settembre 2021 che lo stesso dovrebbe preparare una DPIA ai sensi dell'articolo 35 del GDPR se vi fosse un rischio elevato per le persone. Il comune ha sostenuto nel gennaio 2022 che non era tenuto a preparare una DPIA perché aveva valutato il rischio per gli alunni come basso considerando le misure di attenuazione.

Nel luglio 2022, Datatilsynet ha alzato il volume e ha spiegato che qualsiasi rischio che comporti un'elevata conseguenza per i diritti e le libertà degli interessati richiede la preparazione di una DPIA, anche se la probabilità che tale rischio si concretizzi è relativamente bassa. Questa valutazione funziona con l'alto rischio intrinseco, come stabilito dall'EDPB nelle Linee guida del gruppo di lavoro sulla protezione dei dati dell'articolo 29 sulla valutazione dell'impatto sulla protezione dei dati (DPIA) e determinando se il trattamento "potrebbe comportare un rischio elevato" ai fini del regolamento 2016/6793 e l'elenco delle situazioni che richiedono la predisposizione di una DPIA (in base all'articolo 35, comma 5, del GDPR). Ancora una volta Datatilsynet ha ordinato al comune di predisporre una DPIA, ma questa volta sulla scorta di una sospensione del trasferimento.

5. Ambito di applicazione dei TIA Anche se il comune disponeva di una memorizzazione dei dati limitata per Google Workspace for Education all'interno dell'UE, i trasferimenti a paesi terzi potrebbero comunque avvenire in una configurazione precedente durante le situazioni di supporto avviate dal comune. Il Datatilsynet ha ribadito che i trasferimenti avvenuti durante le situazioni di supporto hanno attivato i requisiti per la preparazione di un TIA e l'attuazione di misure supplementari in aggiunta agli SCC.

Nella sua TIA, il comune ha sostenuto, tra l'altro, che i selettori utilizzati nelle ricerche governative ai sensi della sezione 702 del Foreign Intelligence Surveillance Act del 1978 ("FISA") non erano utilizzati per i dati in situazioni di supporto e che la comunicazione durante il supporto era "per un soggetto statunitense" (cioè Google), il che ha reso inapplicabile la Sezione 702. Il TIA ha inoltre valutato che:

"[l]a importatore/destinatario di dati non è soggetto a un interesse più elevato da parte di un'autorità pubblica estera a richiedere l'accesso ai dati personali (ossia, l'importatore di dati o il potenziale destinatario non è soggetto al diritto nazionale che facilita la sorveglianza di massa)"; "[h]tuttavia, esiste un'elevata probabilità che i dati accessibili a Google LLC siano di per sé esclusi dall'accesso ai sensi della sezione 702 FISA perché si tratta di dati che non vengono trasmessi da essa ma ad essa allo scopo di fornire un supporto servizio'; e "[i]noltre, i dati personali di Helsingore [del comune] non comprendono dati personali su "soggetti statunitensi" e le autorità statunitensi sono quindi vietate dall'accesso ai dati ai sensi della sezione 702 FISA anche per questo motivo". Il comune aveva valutato la probabilità che la valutazione di cui sopra fosse corretta al 40 %.

Il Datatilsynet ha respinto tutte le argomentazioni e ha stabilito che il governo degli Stati Uniti sarebbe stato autorizzato ai sensi della Sezione 702 a raccogliere questo tipo di informazioni, che riguardavano i cittadini danesi (cioè i non statunitensi).

Inoltre, il TIA conteneva anche un calcolo su quanti anni sarebbero trascorsi prima che le autorità non SEE richiedessero i dati personali nell'ambito di applicazione e concludesse che la probabilità sarebbe molto bassa.

Inoltre, Datatilsynet ha respinto entrambe le metodologie utilizzate nel TIA in merito alla valutazione della "probabilità" e ha confermato la posizione assunta dall'EDPB nella Raccomandazione 01/2020 secondo cui il Capo V deve essere rispettato per tutti i trasferimenti, e non per quasi tutti i trasferimenti. Si tratta di una valutazione binaria delle lacune nei diritti fondamentali e di colmare tali lacune, non di rischio o probabilità.

Pertanto, Datatilsynet ha rilevato che il comune non aveva documentato che il trasferimento di dati personali a fini di supporto fosse legale ai sensi del GDPR (articoli 44 e 46, paragrafo 1, lettera c)).

Molti studi legali e organizzazioni si sono affidati a questa metodologia, ma una volta per tutte è stato ora confermato da un'autorità di vigilanza che questo approccio non è conforme al GDPR.

La decisione di Datatilsynet sui Google Chromebook ha riscosso un ampio interesse pubblico in quanto porta la severità della conformità alla protezione dei dati a un nuovo livello ponendo fine al periodo di transizione graduale dalla direttiva sulla protezione dei dati (direttiva 95/46/CE) al GDPR. I guanti sono stati tolti al Datatilsynet, che finora è stato noto per il suo pragmatismo nel suo approccio all'applicazione.

Considerazioni sul futuro La preparazione di un'implementazione conforme dei servizi cloud richiede tempo e denaro. Le aziende impegnate in questi esercizi spesso si trovano ad affrontare la scelta di una maggiore sicurezza del trattamento, una migliore funzionalità e prezzi più bassi da un lato e la non conformità al Capitolo V del GDPR dall'altro. Tuttavia, quando si tratta di servizi cloud, è importante trasmettere un messaggio ai decisori che devono resistere alla tentazione poiché dover annullare o reindirizzare le decisioni cloud a seguito di un'ingiunzione comporterà costi enormi, nonché interruzioni massicce e critiche del attività quotidiana o condotta di un'autorità pubblica, ad esempio che gli alunni non possono utilizzare i loro laptop a scuola o che un'azienda non può servire i propri clienti o pagare i propri dipendenti.

In base alla mia esperienza, molti clienti ripongono fiducia nei grandi fornitori di cloud che hanno assicurato un trattamento legale per il cliente, tuttavia, non è sempre così. Pertanto, se potessi soddisfare un desiderio per i nostri clienti sulla base del rigoroso approccio di applicazione da parte di Datatilsynet, sarebbe quello di facilitare meglio un uso legale dei servizi cloud da parte dei clienti. Ciò potrebbe includere che più fornitori di servizi cloud si impegnino a fornire la documentazione del modello, come valutazioni del rischio, DPIA, TIA, e che riscrivano gli accordi sul trattamento dei dati modello per non includere finalità proprie o ampie riserve per il trasferimento di dati quando richiesto dalle autorità pubbliche. Per di qua,

Alla fine, sia i fornitori di servizi cloud che i clienti trarrebbero vantaggio da un tale approccio e garantirebbe condizioni di parità per le aziende che lavorano per essere sia legalmente conformi che avere una garanzia di continuità a lungo termine, nonché una competitività bordo.

Birgitte Toxværd Partner e avvocato bit@horten.dk Horten Advokatpartnerselskab, Hellerup