In data 3 giugno 2021 l’Autorità Garante francese ha emanato il Codice di Condotta rivolto ai fornitori di servizi cloud e, in particolare, ai fornitori di Infrastructure as a Service (“IaaS”).
Il Codice è strutturato in sei capitoli che descrivono: (i) l’oggetto; (ii) l’ambito di applicazione; (iii) i diritti e gli obblighi degli aderenti; (iii) le garanzie in tema di sicurezza dei dati personali fornite dagli aderenti; (iv) le condizioni per aderire e (v) le modalità per la sua gestione, applicazione e revisione.
Una delle sezioni del terzo capitolo riguarda il trasferimento di dati personali verso Paesi Terzi o Organizzazioni internazionali.
La tematica è di particolare interesse, se si considera che spesso i fornitori di servizi cloud si avvalgono di server situati al di fuori dell’Unione Europea e/o dello Spazio Economico Europeo, circostanza che pone in capo alle parti l’obbligo di agire nel rispetto di quanto disposto dal Capo V del Regolamento UE 2016/679.
Inoltre, l’argomento è di rilievo anche alla luce della Sentenza della Corte di Giustizia Europea, Scherms II la quale, ricordiamo, ravvisando limitazioni alla protezione dei dati personali dei cittadini europei, anche a causa dell’assenza di una tutela giudiziaria nei confronti delle autorità statunitensi, ha dichiarato invalida la decisione sull’adeguatezza dell’accordo tra USA e EU noto come Privacy Shield che legittimava il trasferimento dei dati personali di cittadini europei negli Stati Uniti, creando notevoli difficoltà nella gestione dei rapporti commerciali che presuppongono un trasferimento di dati personali da società che hanno sede all’interno dello Spazio Economico Europeo a società che hanno sede negli Stati Uniti, cosa che spesso si verifica nell’ambito dei servizi cloud.
Sul punto il Codice di Condotta chiarisce che i fornitori aderenti devono garantire ai propri clienti di poter scegliere che i dati personali vengano conservati all’interno dello Spazio Economico Europeo e, nel caso, di poter evitare l’applicazione delle disposizioni del Regolamento Europeo 2016/679 in merito al trasferimento dei dati personali verso paesi terzi.
Quanto alla trasparenza informativa, secondo il Codice, il fornitore è tenuto a informare i clienti in merito al paese nel quale i dati personali verranno conservati (sia se i dati personali saranno conservati all’interno dello Spazio Economico Europeo sia se i dati personali saranno conservati in paesi terzi). Tale circostanza è volta a garantire che, in caso di trasferimento dei dati a paesi terzi, i clienti possano verificare, caso per caso, se nel Paese Terzo sia assicurato il medesimo livello di protezione delle persone fisiche garantito dal Regolamento Europeo 2016/679.
Le disposizioni del Codice in tema di trasferimento dei dati personali verso paesi terzi, rafforzano il diritto di ciascun titolare che si avvale di servizi cloud di optare per la conservazione dei dati all’interno dell’Unione Europea, affinché i diritti delle persone fisiche di cui al Regolamento Europeo 2016/679 siano pienamente garantiti e affinché il titolare non si trovi a dover applicare le disposizioni di cui al capo V del Regolamento.