Gmail ed il GDPR

Talvolta rileviamo che una organizzazione privata (ma anche pubblica) utilizza il servizio “gratuito” di Gmail per le proprie attività.

Ma come si inquadra detto utilizzo in relazione all’introduzione del Regolamento Europeo sulla Protezione dei Dati Personali 679/2016?

Intanto, rileviamo che il servizio gmail.com è realizzato tramite sistemi I.T. cloud-based, in gran parte localizzati al di fuori dello spazio europeo; quindi quando si invia o riceve una e-mail usando Gmail, si realizza quasi sicuramente un trasferimento di dati personali verso un paese extra-UE.

Questo determina diversi effetti, due dei quali sono:

  • occorre indicare, nelle informative aziendali, che i dati personali conferiti potranno anche essere trasferiti ad di fuori dello spazio comunitario e memorizzati nei sistemi informatici di Google;
  • occorre nominare Google responsabile del trattamento di tali dati personali (data processor).

Ognuno condurrà le proprie valutazioni su come si possa ottenere la nomina di Google quale responsabile del trattamento; il Data Controller (il Titolare del Trattamento) ha l’obbligo di fornire (al Data Processor) istruzioni vincolanti su modalità e misure per il trattamento dei dati personali.

Inoltre, dato che nella versione gratuita di Gmail si ritiene che Google effettui procedure di “content extraction” (leggasi profilazione) non riteniamo assolutamente aderente ai dettami del GDPR l’utilizzo di Gmail per il trattamento di dati personali, effettuato da un Titolare del Trattamento soggetto al Regolamento 679/2016.

Da ultimo, vorremmo condurre a riflettere sulla opportunità dell’utilizzo di un servizio riservato ad un uso personale per scopi invece professionali (questo vale anche per tutti gli altri innumerevoli servizi e-mail “gratuiti”).

I Titolari del Trattamento hanno l’obbligo di valutare quali sistemi di trattamento hanno i requisiti per essere utilizzati per trattare dati personali; chi potrà dimostrare che il servizio e-mail gratuito di Google risponda ai requisiti richiesti, a chi lo utilizza, dal Regolamento Europeo?

Qualora una piccola realtà non possa acquistare una casella e-mail professionale presso un provider europeo, molto meglio adottare ProtonMail, anche nella sua versione gratuita, invece di Gmail.