Shrems II, Data transfer, and the USA: wheels are rolling.

Probably everyone now has, at least, heard about the EJC sentence called Shrems III that basically rules out the possibility to use Privacy Shield infamous agreement to allow data transfer between EU and USA based on the fact that the USA does not provide enough guarantees EU data will be protected.

If you don’t know (but you should) here my previous article:

Ops! Privacy Shield, bye-bye

After the sentence one of the question was: what now?

Will a Grace period be offered to survive this? (lot of companies were transferring data using privacy shield to USA)

And most of all does SCC will be enough?

The answer my friend, is blowing in the wind...

er no actually there have been some FAQ form the EDPB that should call to action fel local authorities.

According to the new FAQs of the European Data Protection Board on #SchremsII decision, if you want to transfer personal data to the US under the SCCs or other means, you will have to notify the data protection supervisory authority. This approach will oblige companies to perform a massive amount of work since the notification will have to be definitely accompanied by an assessment as to the adequacy of the data transfer mechanism. Are companies and SA ready to handle this large amount of work?

https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_en

While some Authorities do have not yet reacted (and this is not a surprise for Italians, I am afraid) some others (wonder who) have made a statement that clarifies the doubts that can eventually rise up and not solved by the EDPB’s FAQ.

The Conference of German Supervisory Authorities (DSK) issued its statement yesterday about the consequences of the #Schrems II judgment that, as we can imagine, is completely aligned with the EDPB position. There are some points that are critical on the matter:

dskshremsDownload

Data transfers based on the Privacy Shield are no longer allowed and all companies must immediately suspend them

This is a critical point since I am quite sure there are companies that do not even know their data were delivered to the USA under Privacy Shield. I would like to remind you that if an audit from the authority knock at your door something like: “I don’t know”, “I don’t remember” will not save you. GDPR requires that you, company, prove you have done your duty in a concrete, effective way, so not paper compliance here allowed. Just to make life easier I would love to remind you also that this is not just the German way, and sooner or later the other authorities will align with such requirements.

Transfers based on the SCC require an assessment of the adequacy of the context and the supplier

And here we have the headache since it is not “optional” the assessment is mandatory. This comes as an obvious consequence to the fact in the EDPB FAQ it is written to be allowed SCC’s transfer should be communicated to the authority. Now this means, for some of you so naive that was thinking, I can send a mail to the authority telling, “hey chap I use SCC do not worry” does not work like this. For some reason they want you to prove you did your duty.

The use of SCC for the transfer of data to the United States, in the absence of additional guarantee measures, it is not sufficient to legitimize the activity

And of course, if you send your data to a country that does not guarantee the privacy of EU citizens and residents, well, your duty is kind of complex. And let be clear and brutally honest (while usually I am obscure but kind rotfl) this will require the active cooperation of the vendors that offer you services because you need solid proofs and not just paperBS.

There is no “grace period”

And this means you need to do this right fucking now.

And just for the sake of my Italian fellow countrymen, this means that even if our authority is under a sleeping spell and did not react yet, you have to act nevertheless because again an audit will knock and you will have show you’ve done the right thing. But the “garante” did not tell us nothing will not be an excuse to avoid non-compliance (with the relative consequences).

Time for DPO to start working and earn their money (Is a joke I know many DPOs already do something)

Related posts:

Guida al GDPR per chi non ne vuol sapere: dice il controller “lei non sa chi sono io” Privacy Impact Assessment Guida al GDPR per chi non ne vuole sapere: devi iniziare, ma cosa devi fare?

Related posts brought to you by YARPP.

from WordPress https://ift.tt/3jMOWEy
via IFTTT

Shrems II, Data transfer, and the USA: wheels are rolling.

Probably everyone now has, at least, heard about the EJC sentence called Shrems III that basically rules out the possibility to use Privacy Shield infamous agreement to allow data transfer between EU and USA based on the fact that the USA does not provide enough guarantees EU data will be protected.

If you don’t know (but you should) here my previous article:

https://thepuchiherald.com/2020/07/17/ops-privacy-shield-bye-bye/

After the sentence one of the question was: what now?

Will a Grace period be offered to survive this? (lot of companies were transferring data using privacy shield to USA)

And most of all does SCC will be enough?

The answer my friend, is blowing in the wind...

er no actually there have been some FAQ form the EDPB that should call to action fel local authorities.

According to the new FAQs of the European Data Protection Board on #SchremsII decision, if you want to transfer personal data to the US under the SCCs or other means, you will have to notify the data protection supervisory authority. This approach will oblige companies to perform a massive amount of work since the notification will have to be definitely accompanied by an assessment as to the adequacy of the data transfer mechanism. Are companies and SA ready to handle this large amount of work?

https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_en

While some Authorities do have not yet reacted (and this is not a surprise for Italians, I am afraid) some others (wonder who) have made a statement that clarifies the doubts that can eventually rise up and not solved by the EDPB’s FAQ.

The Conference of German Supervisory Authorities (DSK) issued its statement yesterday about the consequences of the #Schrems II judgment that, as we can imagine, is completely aligned with the EDPB position. There are some points that are critical on the matter:

dskshremsDownload

Data transfers based on the Privacy Shield are no longer allowed and all companies must immediately suspend them

This is a critical point since I am quite sure there are companies that do not even know their data were delivered to the USA under Privacy Shield. I would like to remind you that if an audit from the authority knock at your door something like: “I don’t know”, “I don’t remember” will not save you. GDPR requires that you, company, prove you have done your duty in a concrete, effective way, so not paper compliance here allowed. Just to make life easier I would love to remind you also that this is not just the German way, and sooner or later the other authorities will align with such requirements.

Transfers based on the SCC require an assessment of the adequacy of the context and the supplier

And here we have the headache since it is not “optional” the assessment is mandatory. This comes as an obvious consequence to the fact in the EDPB FAQ it is written to be allowed SCC’s transfer should be communicated to the authority. Now this means, for some of you so naive that was thinking, I can send a mail to the authority telling, “hey chap I use SCC do not worry” does not work like this. For some reason they want you to prove you did your duty.

The use of SCC for the transfer of data to the United States, in the absence of additional guarantee measures, it is not sufficient to legitimize the activity

And of course, if you send your data to a country that does not guarantee the privacy of EU citizens and residents, well, your duty is kind of complex. And let be clear and brutally honest (while usually I am obscure but kind rotfl) this will require the active cooperation of the vendors that offer you services because you need solid proofs and not just paperBS.

There is no “grace period”

And this means you need to do this right fucking now.

And just for the sake of my Italian fellow countrymen, this means that even if our authority is under a sleeping spell and did not react yet, you have to act nevertheless because again an audit will knock and you will have show you’ve done the right thing. But the “garante” did not tell us nothing will not be an excuse to avoid non-compliance (with the relative consequences).

Time for DPO to start working and earn their money 😂🤣 (Is a joke I know many DPOs already do something)

Covid-19 e le teorie complottiste

Diciamolo, Il covid-19 è terreno fertile per le teorie complottiste, durante una pandemia occorre prendersela con qualcuno, non ci si può certo arrendere alla ineluttabile fragilità delle nostre società di fronte a un coso così piccolo.

Solitamente ho un approccio duale alle teorie complottiste, o mi incuriosiscono per il mostrare componenti che alimentano un dubbio fondato (credere o non credere sono,per lo più, atti di fede razionale, come scrivevo in un mio vecchio articolo, in cui se la fonte viene considerata credibile si crede alla cosa, se la fonte perde credibilità non vi si crede) o le relego al mondo della fantasia para-pseudo-a-scientifica e le trovo risibili.

Tra le prime e le seconde, di solito, esiste anche una differenza di presentazione, le prime cercano di oggettivare con dati storici e scientifici terzi e comprovabili le teorie, le seconde invece si fondano su assoluti indiscutibili.

area 51 su google map

Le teorie complottiste non sono, quindi, tutte uguali. E nel passato teorie apparentemente complottiste si sono rivelate fondate nel tempo (dai test militari sulla popolazione, alla esistenza della area 51…), altre sono rimaste tali, (ad esempio come chi fosse colpevole della diffusione di varie letali epidemie peste bubbonica, spagnola, aids e via discorrendo) alcune infine (principalmente quelle legate a profezie) sono morte di morte naturale di fronte ad evidenze difficilmente discutibili (il mondo non è finito nel 2000) o sono diventate religioni.

Il fenomeno delle teorie del complotto è variegato ma difficilmente porta a reali problemi, se non a causa di qualche squilibrato che, probabilmente, avrebbe trovato altre strade per squilibrarsi

Insomma se i terrapiattisti sostengono che la terra è piatta e che tutti gli scienziati del mondo e i politici hanno messo in piedi questa cospirazione (chissà perchè) alla fine danneggiano solo il loro senso critico. Alla peggio usano il GPS senza sapere come funziona (no, non funziona se la terra è piatta), del resto quanti sanno come funziona il GPS (o fatto un volo extraorbitale se per quello)?

Ma, e c’è un ma, alcune teorie invece sono intrinsecamente pericolose, soprattutto quando rigurgiti a-scientifici o para-scientifici indirizzano il mondo della medicina. E lo stiamo vivendo in tempi di covid-19.

La questione mi tocca personalmente, avendo famiglia al di la dell’oceano proprio negli hot spot del corona virus di oggi (Arizona, Texas, Florida, Messico) e quindi sono più sensibile del solito.

John Oliver con la solita intelligenza e britannica bastardaggine ha meravigliosamente indirizzato il punto in questo video.

Purtroppo tra i sostenitori che le mascherine facciano male, che ci si possa curare con vari prodotti a base di cloro, o che la pandemia ed il covid non esistono il rischio è che poi la gente ci muoia.

E se non muori di covid ma per aver ingerito candeggina non è che faccia differenza…aspetta si forse la candeggina potevi evitartela.

Sono sensibile da questo punto di vista, ho un profondo senso di ribrezzo per chi sostiene teorie a-scientifiche che mettono in serio pericolo la vita di sprovveduti che vi cadono. Se già non provio una grande stima per i No Vax meno la provo per chi indirizza un problema come quello attuale sospendendo il senso critico e seguendo pericolose teorie tipo quelle di assumere prodotti chimici potenzialmente dannosi. Anche se a proporle sono Presidenti di grandi paesi.

Purtroppo lo ho visto di persona, e visto le balzane teorie che certi “guru” propongono come medicina alternativa, ed in molti casi gli strumenti di diffusione di queste teorie sono persone inconsapevoli del danno che stanno causando. L’atto di fede di credere ad una costruzione ben fatta e le limitate competenze e senso critico sono spesso armi letali.

Capiamoci nel momento in cui si comincia a diffondere l’idea che il virus viene inculato dal 5G (idea bizzarra per chiunque abbia idea di cosa sia il 5G, il virus e la realtà), si implicitamente suggerisce che il problema non sia di tipo naturale, e quindi spegnere il telefono, distruggere le antenne dovrebbe essere più efficace che il social distancing o usare la mascherina.

Questo induce una idea pericolosa che abbassare le difese nei confronti del virus sia la soluzione.

Ancora peggio suggerire un “medicinale miracoloso” a base di cloro (biossido di cloro viene offerto in molti paesi latinoamericani come farmaco miracoloso che, a parte la intrinseca pericolosità, richiede anche di sospendere i trattamenti in corso perchè altrimenti si overmedica…sigh.

Buffo alcune teorie o fake news fanno riferimento all’italia, come quella che dice che i medici italiani suggeriscono di curare il coronavirus con aspirina e succo di limone (almeno non è cloro, candeggina).

Certo sentire David Icke da tutto un altro sapore alla pandemia, del resto lui è passato dal complotto dei rettiliani a quello del covid, se volete crederci fatelo, ma se si tratta di medicina forse ha ancora senso credere a fonti un poco più solide e fondate.

Cosi come le mascherine, sulla cui utilità si dibatte spesso per i motivi più assurdi: violazione della propria libertà, pericolose per la salute, pericolose per l’ordine pubblico

Non solo in america vi sono queste deliranti discussioni, anche da noi (potrei citare i gilet arancioni in casa nostra).

Se è vero che il virus è più piccolo della capacità di filtro della mascherina (su questo non ci sono dubbi è oggettivo) è anche vero che la mascherina serve non per evitare che il virus ti infetti, ma che tu infetti altri col virus.

Chiariamoci una volta per tutte, la mascherina serve per senso civico, il virus non vola da solo, e spesso il media su cui si diffonde è le particelle di saliva che emettiamo, la mascherina quelle indirizza. La idea è diminuire la gittata utile così da rendere meno probabile la trasmissione. Se poi la usano in più la diminuzione del rischio è duplice, diminuisci la gittata e diminuisci la probabilità di accesso alle via aeree in ingresso.

Ovvio che vanno cambiate (o lavate, o disinfettate) e se si usa sempre la stessa senza cura serve sempre a meno, ma non ci vuole uno scienziato di chiara fama mondiale per convenire che meno rischio è meglio che più rischio.

Quanto alla limitazione delle libertà individuali che dire, in macchina devi mettere la cintura di sicurezza, non puoi andare in giro nudo, non puoi lasciare le tue deiezioni in pubblico,anche queste sono limitazioni della libertà individuale largamente accettate, non vedo come la mascherina sia peggio.

Ci sono stati in questo periodo, ne convengo, messaggi contrastanti persino sull’uso delle mascherine, ci sono stati messaggi contrastanti, ed errori, provenienti anche da fonti che dovrebbero essere il centro della autorevolezza (WHO e ISS ne hanno e ne faranno), detto questo l’esercizio del raziocinio in momenti di rischio reale suggerirebbe un approccio conservativo che porti ad abbassare il rischio piuttosto che aumentarlo. Così se vuoi spegnere il tuo cellulare 5G spegnilo pure (così magari eviti anche di seguire teorie complottiste sui social) ma la candeggina evitala, e la mascherina mettila se sei in un luogo pubblico chiuso con gente che non sai se possa essere o meno positiva, e di loro di metterla. Alla fine con la mascherina alla peggio non vedi se l’altro ti sorride, ma alla fine magari salvate entrambi la pelle.

Related posts:

No related posts.

from WordPress https://ift.tt/3hc7wUy
via IFTTT

Covid-19 e le teorie complottiste

Diciamolo, Il covid-19 è terreno fertile per le teorie complottiste, durante una pandemia occorre prendersela con qualcuno, non ci si può certo arrendere alla ineluttabile fragilità delle nostre società di fronte a un coso così piccolo.

Solitamente ho un approccio duale alle teorie complottiste, o mi incuriosiscono per il mostrare componenti che alimentano un dubbio fondato (credere o non credere sono,per lo più, atti di fede razionale, come scrivevo in un mio vecchio articolo, in cui se la fonte viene considerata credibile si crede alla cosa, se la fonte perde credibilità non vi si crede) o le relego al mondo della fantasia para-pseudo-a-scientifica e le trovo risibili.

Tra le prime e le seconde, di solito, esiste anche una differenza di presentazione, le prime cercano di oggettivare con dati storici e scientifici terzi e comprovabili le teorie, le seconde invece si fondano su assoluti indiscutibili.

area 51 su google map

Le teorie complottiste non sono, quindi, tutte uguali. E nel passato teorie apparentemente complottiste si sono rivelate fondate nel tempo (dai test militari sulla popolazione, alla esistenza della area 51…), altre sono rimaste tali, (ad esempio come chi fosse colpevole della diffusione di varie letali epidemie peste bubbonica, spagnola, aids e via discorrendo) alcune infine (principalmente quelle legate a profezie) sono morte di morte naturale di fronte ad evidenze difficilmente discutibili (il mondo non è finito nel 2000) o sono diventate religioni.

Il fenomeno delle teorie del complotto è variegato ma difficilmente porta a reali problemi, se non a causa di qualche squilibrato che, probabilmente, avrebbe trovato altre strade per squilibrarsi 🙂

Insomma se i terrapiattisti sostengono che la terra è piatta e che tutti gli scienziati del mondo e i politici hanno messo in piedi questa cospirazione (chissà perchè) alla fine danneggiano solo il loro senso critico. Alla peggio usano il GPS senza sapere come funziona (no, non funziona se la terra è piatta), del resto quanti sanno come funziona il GPS (o fatto un volo extraorbitale se per quello)?

Ma, e c’è un ma, alcune teorie invece sono intrinsecamente pericolose, soprattutto quando rigurgiti a-scientifici o para-scientifici indirizzano il mondo della medicina. E lo stiamo vivendo in tempi di covid-19.

La questione mi tocca personalmente, avendo famiglia al di la dell’oceano proprio negli hot spot del corona virus di oggi (Arizona, Texas, Florida, Messico) e quindi sono più sensibile del solito.

John Oliver con la solita intelligenza e britannica bastardaggine ha meravigliosamente indirizzato il punto in questo video.

Purtroppo tra i sostenitori che le mascherine facciano male, che ci si possa curare con vari prodotti a base di cloro, o che la pandemia ed il covid non esistono il rischio è che poi la gente ci muoia.

E se non muori di covid ma per aver ingerito candeggina non è che faccia differenza…aspetta si forse la candeggina potevi evitartela.

Sono sensibile da questo punto di vista, ho un profondo senso di ribrezzo per chi sostiene teorie a-scientifiche che mettono in serio pericolo la vita di sprovveduti che vi cadono. Se già non provio una grande stima per i No Vax meno la provo per chi indirizza un problema come quello attuale sospendendo il senso critico e seguendo pericolose teorie tipo quelle di assumere prodotti chimici potenzialmente dannosi. Anche se a proporle sono Presidenti di grandi paesi.

Purtroppo lo ho visto di persona, e visto le balzane teorie che certi “guru” propongono come medicina alternativa, ed in molti casi gli strumenti di diffusione di queste teorie sono persone inconsapevoli del danno che stanno causando. L’atto di fede di credere ad una costruzione ben fatta e le limitate competenze e senso critico sono spesso armi letali.

Capiamoci nel momento in cui si comincia a diffondere l’idea che il virus viene inculato dal 5G (idea bizzarra per chiunque abbia idea di cosa sia il 5G, il virus e la realtà), si implicitamente suggerisce che il problema non sia di tipo naturale, e quindi spegnere il telefono, distruggere le antenne dovrebbe essere più efficace che il social distancing o usare la mascherina.

Questo induce una idea pericolosa che abbassare le difese nei confronti del virus sia la soluzione.

Ancora peggio suggerire un “medicinale miracoloso” a base di cloro (biossido di cloro viene offerto in molti paesi latinoamericani come farmaco miracoloso che, a parte la intrinseca pericolosità, richiede anche di sospendere i trattamenti in corso perchè altrimenti si overmedica…sigh.

Buffo alcune teorie o fake news fanno riferimento all’italia, come quella che dice che i medici italiani suggeriscono di curare il coronavirus con aspirina e succo di limone (almeno non è cloro, candeggina).

Certo sentire David Icke da tutto un altro sapore alla pandemia, del resto lui è passato dal complotto dei rettiliani a quello del covid, se volete crederci fatelo, ma se si tratta di medicina forse ha ancora senso credere a fonti un poco più solide e fondate.

Cosi come le mascherine, sulla cui utilità si dibatte spesso per i motivi più assurdi: violazione della propria libertà, pericolose per la salute, pericolose per l’ordine pubblico

Non solo in america vi sono queste deliranti discussioni, anche da noi (potrei citare i gilet arancioni in casa nostra).

Se è vero che il virus è più piccolo della capacità di filtro della mascherina (su questo non ci sono dubbi è oggettivo) è anche vero che la mascherina serve non per evitare che il virus ti infetti, ma che tu infetti altri col virus.

Chiariamoci una volta per tutte, la mascherina serve per senso civico, il virus non vola da solo, e spesso il media su cui si diffonde è le particelle di saliva che emettiamo, la mascherina quelle indirizza. La idea è diminuire la gittata utile così da rendere meno probabile la trasmissione. Se poi la usano in più la diminuzione del rischio è duplice, diminuisci la gittata e diminuisci la probabilità di accesso alle via aeree in ingresso.

Ovvio che vanno cambiate (o lavate, o disinfettate) e se si usa sempre la stessa senza cura serve sempre a meno, ma non ci vuole uno scienziato di chiara fama mondiale per convenire che meno rischio è meglio che più rischio.

Quanto alla limitazione delle libertà individuali che dire, in macchina devi mettere la cintura di sicurezza, non puoi andare in giro nudo, non puoi lasciare le tue deiezioni in pubblico,anche queste sono limitazioni della libertà individuale largamente accettate, non vedo come la mascherina sia peggio.

Ci sono stati in questo periodo, ne convengo, messaggi contrastanti persino sull’uso delle mascherine, ci sono stati messaggi contrastanti, ed errori, provenienti anche da fonti che dovrebbero essere il centro della autorevolezza (WHO e ISS ne hanno e ne faranno), detto questo l’esercizio del raziocinio in momenti di rischio reale suggerirebbe un approccio conservativo che porti ad abbassare il rischio piuttosto che aumentarlo. Così se vuoi spegnere il tuo cellulare 5G spegnilo pure (così magari eviti anche di seguire teorie complottiste sui social) ma la candeggina evitala, e la mascherina mettila se sei in un luogo pubblico chiuso con gente che non sai se possa essere o meno positiva, e di loro di metterla. Alla fine con la mascherina alla peggio non vedi se l’altro ti sorride, ma alla fine magari salvate entrambi la pelle.

Ops! Privacy Shield, bye-bye

I was not in the mood to write again on GDPR, there are soo many experts here my voice would be useless (and I Know my fellow accomplices of the #quellidelfascicoloP would agree) but I could not refrain myself from this.

Max Schrems did it again and Privacy Shield is gone as his predecessor (safe harbor).

This should not come as a surprise, well not at least at this side of the pond. I understand the USA does not have a clue on what we’re talking about, privacy is also a cultural matter and we have a profoundly different approach here, but European fellows should not be surprised at all.

Basically what happened is that EJC agreed with the basic concept that if the processor is in a country where the European data will not be treated fairly then it will not be safe nor sound to send data there.

But this was the main idea behind privacy shield: the USA has a privacy and data protection framework that is not aligned with European rights and laws but to not stop business we (European) will accept to jeopardize our rights with a framework that is way less effective and strict compared to what it is imposed in Europe.

Mr. Shrems is not new to have a problem with this approach and moved from court to court to the EJC to force them to rule on the subject as he did for the infamous safe harbor.

So we were all expecting this and should not come as a surprise, in the end, we should remember that the USA under several arbitrary conditions (as an investigation moved from NSA) do not need a judge to come and see data stored in the USA (they do not care even if the data are stored outside, another story) and they do not care if those data are related to a European Citizen, do not feel any need to inform European authorities and the European citizens and, under their framework, does not have a problem performing massive surveillance and data gathering (remember Prism?).

Now that the “privacy shield” was doomed as soon as this matter arrived at the EJC was something many of us were expecting, but the “Privacy Shield” is not the only way to allow data exchange between us and them.

There is also something called SCC – Standard Contractual Clauses. A ruleset agreed between the parties that determine how to deal with data coming from the old world to the new one.

The European Court of Justice on this (Case C-311/18) told us those clauses are effective and valid so only privacy shield has been affected. But if we read the things a little deeper and closer we realized that EJC provides us an interesting point of view on ECC.

The European Court says (in paragraphs 134 & 135) that:

“[…] as the Advocate General stated in point 126 of his Opinion, the contractual mechanism provided for in Article 46(2)(c) of the GDPR is based on the responsibility of the controller or his or her subcontractor established in the European Union and, in the alternative, of the competent supervisory authority. It is, therefore, above all, for that controller or processor to verify, on a case-by-case basis and, where appropriate, in collaboration with the recipient of the data, whether the law of the third country of destination ensures adequate protection, under EU law, of personal data transferred pursuant to standard data protection clauses, by providing, where necessary, additional safeguards to those offered by those clauses.

Where the controller or a processor established in the European Union is not able to take adequate additional measures to guarantee such protection, the controller or processor or, failing that, the competent supervisory authority, are required to suspend or end the transfer of personal data to the third country concerned. That is the case, in particular, where the law of that third country imposes on the recipient of personal data from the European Union obligations which are contrary to those clauses and are, therefore, capable of impinging on the contractual guarantee of an adequate level of protection against access by the public authorities of that third country to that data.”

The upshot of this is that it is not enough to simply have SCCs in place but that due diligence also has to be undertaken, and possibly additional protections added. That due diligence will need to be done not only on the other party to the agreement but also on the legal regime in the country where it is based.

Data protection authorities across the EU will also be expected to step up their enforcement of the data transfer requirements of GDPR including looking at how organizations are using SCCs. This comes at a time when investigations in most EU countries are on the rise.

In one sense, because the European Court has ruled that SCCs are valid, it’s business as usual concerning SCCs. However, as the European Court has indicated, even where a business relies on SCCs, data protection additional due diligence may still be required. Additionally, it is expected that under GDPR the European Commission will be revising SCCs – so businesses may at some point in the future need to adapt/update their existing SCCs.

It is, therefore, above all, for that controller or processor to verify, on a case-by-case basis and, where appropriate, in collaboration with the recipient of the data, whether the law of the third country of destination ensures adequate protection

This means that even if the agreement between two subjects is under SCC this is not a safe pass to heaven, and the data controller is not released from his\her\its duty to verify the data are processed fairly and correctly. And the legislative framework of the country where data are moved\stored has to be taken into account.

Ok Ok I stop it.

ciao

#quellidelfascicolop #vaccatadellasera #pensieriinlibertà #datasecurity #dataprivacy #deliridelvenerdì

Related posts:

No related posts.

from WordPress https://ift.tt/3jovk9I
via IFTTT

Ops! Privacy Shield, bye-bye

I was not in the mood to write again on GDPR, there are soo many experts here my voice would be useless (and I Know my fellow accomplices of the #quellidelfascicoloP would agree) but I could not refrain myself from this.

Max Schrems did it again and Privacy Shield is gone as his predecessor (safe harbor).

This should not come as a surprise, well not at least at this side of the pond. I understand the USA does not have a clue on what we’re talking about, privacy is also a cultural matter and we have a profoundly different approach here, but European fellows should not be surprised at all.

Basically what happened is that EJC agreed with the basic concept that if the processor is in a country where the European data will not be treated fairly then it will not be safe nor sound to send data there.

But this was the main idea behind privacy shield: the USA has a privacy and data protection framework that is not aligned with European rights and laws but to not stop business we (European) will accept to jeopardize our rights with a framework that is way less effective and strict compared to what it is imposed in Europe.

Mr. Shrems is not new to have a problem with this approach and moved from court to court to the EJC to force them to rule on the subject as he did for the infamous safe harbor.

So we were all expecting this and should not come as a surprise, in the end, we should remember that the USA under several arbitrary conditions (as an investigation moved from NSA) do not need a judge to come and see data stored in the USA (they do not care even if the data are stored outside, another story) and they do not care if those data are related to a European Citizen, do not feel any need to inform European authorities and the European citizens and, under their framework, does not have a problem performing massive surveillance and data gathering (remember Prism?).

Now that the “privacy shield” was doomed as soon as this matter arrived at the EJC was something many of us were expecting, but the “Privacy Shield” is not the only way to allow data exchange between us and them.

There is also something called SCC – Standard Contractual Clauses. A ruleset agreed between the parties that determine how to deal with data coming from the old world to the new one.

The European Court of Justice on this (Case C-311/18) told us those clauses are effective and valid so only privacy shield has been affected. But if we read the things a little deeper and closer we realized that EJC provides us an interesting point of view on ECC.

The European Court says (in paragraphs 134 & 135) that:

“[…] as the Advocate General stated in point 126 of his Opinion, the contractual mechanism provided for in Article 46(2)(c) of the GDPR is based on the responsibility of the controller or his or her subcontractor established in the European Union and, in the alternative, of the competent supervisory authority. It is, therefore, above all, for that controller or processor to verify, on a case-by-case basis and, where appropriate, in collaboration with the recipient of the data, whether the law of the third country of destination ensures adequate protection, under EU law, of personal data transferred pursuant to standard data protection clauses, by providing, where necessary, additional safeguards to those offered by those clauses.

Where the controller or a processor established in the European Union is not able to take adequate additional measures to guarantee such protection, the controller or processor or, failing that, the competent supervisory authority, are required to suspend or end the transfer of personal data to the third country concerned. That is the case, in particular, where the law of that third country imposes on the recipient of personal data from the European Union obligations which are contrary to those clauses and are, therefore, capable of impinging on the contractual guarantee of an adequate level of protection against access by the public authorities of that third country to that data.”

The upshot of this is that it is not enough to simply have SCCs in place but that due diligence also has to be undertaken, and possibly additional protections added. That due diligence will need to be done not only on the other party to the agreement but also on the legal regime in the country where it is based.

Data protection authorities across the EU will also be expected to step up their enforcement of the data transfer requirements of GDPR including looking at how organizations are using SCCs. This comes at a time when investigations in most EU countries are on the rise.

In one sense, because the European Court has ruled that SCCs are valid, it’s business as usual concerning SCCs. However, as the European Court has indicated, even where a business relies on SCCs, data protection additional due diligence may still be required. Additionally, it is expected that under GDPR the European Commission will be revising SCCs – so businesses may at some point in the future need to adapt/update their existing SCCs.

It is, therefore, above all, for that controller or processor to verify, on a case-by-case basis and, where appropriate, in collaboration with the recipient of the data, whether the law of the third country of destination ensures adequate protection

This means that even if the agreement between two subjects is under SCC this is not a safe pass to heaven, and the data controller is not released from his\her\its duty to verify the data are processed fairly and correctly. And the legislative framework of the country where data are moved\stored has to be taken into account.

Ok Ok I stop it.

ciao 🙂

#quellidelfascicolop #vaccatadellasera #pensieriinlibertà #datasecurity #dataprivacy #deliridelvenerdì