Talvolta rileviamo che una organizzazione privata (ma anche pubblica) utilizza il servizio “gratuito” di Gmail per le proprie attività; un largo uso di Gmail viene fatto specialmente da professionisti, purtroppo anche nel campo medico o legale.
Ma come si inquadra detto utilizzo in relazione all’introduzione del Regolamento Europeo sulla Protezione dei Dati Personali 679/2016?
Intanto, rileviamo che il servizio gmail.com è realizzato tramite sistemi I.T. cloud-based, in gran parte localizzati al di fuori dello spazio europeo; quindi quando si invia o riceve una e-mail usando Gmail, si realizza quasi sicuramente un trasferimento di dati personali verso un paese extra-UE.
Questo determina diversi effetti, due dei quali sono:
- occorre indicare, nelle informative aziendali, che i dati personali conferiti potranno anche essere trasferiti ad di fuori dello spazio comunitario e memorizzati nei sistemi informatici di Google;
- occorre nominare Google responsabile del trattamento di tali dati personali (data processor).
Ognuno condurrà le proprie valutazioni su come si possa ottenere la nomina di Google quale responsabile del trattamento; il Data Controller (il Titolare del Trattamento) ha l’obbligo di fornire (al Data Processor) istruzioni vincolanti su modalità e misure per il trattamento dei dati personali.
Inoltre, dato che nella versione gratuita di Gmail si ritiene che Google effettui procedure di “content extraction” (leggasi profilazione) non riteniamo assolutamente aderente ai dettami del GDPR l’utilizzo di Gmail per il trattamento di dati personali, effettuato da un Titolare del Trattamento soggetto al Regolamento 679/2016.
Da ultimo, vorremmo condurre a riflettere sulla opportunità dell’utilizzo di un servizio riservato ad un uso personale per scopi invece professionali (questo vale anche per tutti gli altri innumerevoli servizi e-mail “gratuiti”).
I Titolari del Trattamento hanno l’obbligo di valutare quali sistemi di trattamento hanno i requisiti per essere utilizzati per trattare dati personali; chi potrà dimostrare che il servizio e-mail gratuito di Google risponda ai requisiti richiesti, a chi lo utilizza, dal Regolamento Europeo?
Qualora una piccola realtà non possa acquistare una casella e-mail professionale presso un provider europeo, molto meglio adottare ProtonMail, anche nella sua versione gratuita, invece di Gmail.
Esortiamo quindi chiunque, ma in special modo coloro che trattano dati personali più importanti, particolari o addirittura sanitari (come i medici) a usare servizi di providers europei, compliant al GDPR.
Aggiornamento: a luglio 2020 è stato abolito il Privacy Shield; pertanto non è più possibile “esportare” i dati personali al di fuori dello spazio europeo senza avere garanzie reali ed attivabili sul livello di protezione dei dati personali nel paese terzo; per questo consigliamo di non procedere ad utilizzare servizi e providers extracomunitari.
Ricordiamo inoltre che – recentemente – in varie nazioni europee è stato dichiarato illecito l’utilizzo del servizio Google Analytics, sempre sulla base del fatto che i dati personali – trasferiti in USA – non beneficiano di un livello di tutela paragonabile a quello garantito dal Regolamento UE 679/2016.