Google Workspace è illegale in Danimarca?

Dopo aver esaminato la valutazione dei rischi del Comune di Helsingør e la documentazione del Comune in generale, l'Agenzia per la protezione dei dati ritiene che vi siano motivi per emettere un ordine di divieto al Comune di Helsingør per il trattamento dei dati personali utilizzando i Chromebook di Google e Workspace for Education. Il divieto si applica fino a quando il Comune di Helsingør non avrà reso l'attività di trattamento conforme al GDPR, come stabilito nella presente decisione, e non avrà prodotto una documentazione adeguata a tal fine.

Inoltre, qualsiasi trasferimento di dati personali verso gli Stati Uniti che il Comune di Helsingør ha incaricato Google Cloud EMEA Limited di effettuare in qualità di responsabile del trattamento dei dati per il Comune è sospeso fino a quando il Comune di Helsingør non sarà in grado di dimostrare la conformità al capitolo V del GDPR.

Il divieto e la sospensione avranno effetto immediato, ma al Comune di Helsingør sarà concesso un periodo fino al 3 agosto 2022 per ritirare e disattivare utenti e diritti e per cancellare i dati già trasferiti.

I divieti sono emessi ai sensi dell'articolo 58, paragrafo 2, lettere f) e j), del regolamento sulla protezione dei dati.

La violazione di un divieto emesso dal Garante per la protezione dei dati personali è punita ai sensi dell'articolo 41, paragrafo 2, comma 4, della legge sulla protezione dei dati personali con un'ammenda o con la reclusione per un periodo non superiore a sei mesi, cfr. articolo 41, comma 1.

Infine, il Garante per la protezione dei dati personali ritiene che il trattamento dei dati personali da parte del Comune di Helsingør non sia stato effettuato in conformità all'articolo 5, paragrafo 2, del regolamento sulla protezione dei dati, cfr. articolo 5, paragrafo 1, lettera a), all'articolo 24, cfr. articolo 28, paragrafo 1, all'articolo 35, paragrafo 1, e all'articolo 44, cfr. articolo 46, paragrafo 1.

L'11 dicembre 2019, un cittadino ha presentato un reclamo all'Autorità per la protezione dei dati personali in merito al trattamento dei dati personali da parte del Comune di Helsingør.

Con lettera del 6 gennaio 2020, il Comune di Helsingør ha confermato che un genitore aveva presentato un reclamo al Comune nel 2019 per il fatto che a suo figlio era stato assegnato - a sua insaputa - un account YouTube, consentendo la pubblicazione del nome del bambino su YouTube.

Il Comune di Helsingør ha inoltre dichiarato di ritenere improbabile che l'incidente abbia comportato un rischio per i diritti e le libertà degli interessati e pertanto non ha dato luogo a una notifica di violazione dei dati personali all'autorità di protezione dei dati, ai sensi dell'articolo 33, paragrafo 1, del GDPR.

Il 29 gennaio 2020, il Comune di Helsingør ha notificato l'incidente al DPA come una violazione dei dati personali. Allo stesso tempo, diversi altri comuni hanno effettuato notifiche simili, motivo per cui l'Autorità per la protezione dei dati ha trattato i casi congiuntamente e, con lettera dell'11 marzo 2020, ha chiesto il parere dei comuni interessati.

Il 10 settembre 2021, l'autorità di controllo della protezione dei dati ha preso una decisione sulla violazione dei dati personali in questione notificata all'autorità di controllo dal comune di Helsingør. La decisione dell'Autorità per la protezione dei dati del 10 settembre 2021 è riportata sopra nella sezione 1 ed è allegata nella sua interezza.

In risposta alla decisione del 10 settembre 2021, il Comune di Helsingør ha presentato la propria valutazione del rischio relativa all'uso dei Chromebook di Google e di G-Suite for Education con lettera del 10 novembre 2021, nonché documentazione aggiuntiva per dimostrare la liceità dell'attività di trattamento. Inoltre, il 9 dicembre 2021, il comune ha presentato ulteriori informazioni sul caso in risposta alla richiesta del GEPD del 2 dicembre 2021.

Il 10 novembre 2021, il Comune di Helsingør ha presentato la valutazione dei rischi del Comune per l'utilizzo di Google Chromebook e G-Suite for Education (Google Workspace for Education).

Allo stesso tempo, il Comune di Helsingør ha informato l'Autorità per la protezione dei dati che il Comune non utilizza i servizi aggiuntivi di Google Workspace e ha quindi valutato che il Comune non è obbligato a preparare una valutazione d'impatto sulla protezione dei dati.

Tra i rischi identificati dal Comune di Helsingør nell'utilizzo dei Chromebook di Google, nella valutazione dei rischi compare il rischio di "utilizzo dei dati per scopi non previsti". Il rischio è descritto come segue:

"Esiste il rischio che Google o altre terze parti possano utilizzare i dati personali di insegnanti e studenti per scopi di marketing o di altro tipo per i quali il Comune di Helsingør, in qualità di titolare del trattamento dei dati, non desidera che i dati personali vengano elaborati". In particolare, le informazioni di contatto, l'indirizzo IP e le tracce digitali (informazioni generali) sono rilevanti in questo contesto. Va notato che i dati personali relativi agli alunni sono soggetti a una protezione speciale ai sensi delle norme sulla protezione dei dati e pertanto l'accesso e il trattamento dei dati personali relativi agli alunni costituiscono un elemento aggiuntivo in relazione alla valutazione del rischio."

Per quanto riguarda la probabilità che questo rischio si concretizzi, si afferma quanto segue:

"Il comune utilizza il prodotto Google Workspace for Education Standard, dove il comune è garantito dall'accordo con il responsabile del trattamento dei dati che i dati non saranno utilizzati per altri scopi, incluso il marketing, a condizione che il comune utilizzi solo i Core Services".

Si fa riferimento all'accordo per il trattamento dei dati e alla corrispondenza del Comune di Helsingør con Google, in cui Google ha dichiarato che "le informazioni nell'ambito dell'utilizzo dei Chromebook e di Google Workspace for Education Standard non possono essere utilizzate da Google per scopi di marketing nei confronti di uno studente o degli studenti di una classe". "Nei servizi principali di Google Workspace for Education non vengono visualizzati annunci pubblicitari. Inoltre, nessuna delle informazioni personali raccolte nei servizi principali viene utilizzata per scopi pubblicitari (ii) Il nome utente degli studenti, anche in relazione all'account Google Workspace for Education creato, è accessibile solo a Google in qualità di incaricato del trattamento dei dati, e l'utilizzo dei Chromebook e di Google Workspace for Education - ad esempio la visualizzazione di video di YouTube - non porta alla pubblicazione del nome utente". "L'amministrazione della scuola può consentire agli studenti di accedere ai servizi di Google, come YouTube, che hanno funzioni che consentono agli utenti di condividere informazioni con altri o pubblicamente. Ad esempio, se si lascia una recensione su Google Play, il nome e la foto appaiono accanto all'attività svolta. Se si condivide una foto con un amico che poi ne fa una copia o la condivide di nuovo, la foto può continuare a comparire nell'account Google dell'amico anche dopo che l'utente l'ha rimossa dal proprio account Google. Ricordate che quando condividete informazioni pubblicamente, i vostri contenuti possono diventare accessibili attraverso i motori di ricerca, compresa la Ricerca Google. Per ulteriori informazioni sulle modalità di condivisione dei dati di Workspace for Education, consultare l'Informativa sulla privacy di Workspace for Education".

Servizi principali (14 servizi: Classroom, Drive/Docs, G-mail, Chat, Chrome Sync, Gruppi, Meet, Vault, Playlist, Jamboard, Calendario, Keep (stickynotes), Tasks, Sites).

I servizi aggiuntivi forniti da Google sono soggetti a termini diversi nell'accordo di elaborazione dei dati, il che significa che il Comune non può dare istruzioni a Google su come i dati personali possono essere utilizzati. Pertanto, il Comune ha disabilitato l'uso dei servizi aggiuntivi.

Conclusioni

Sulla base delle misure attuate sopra, il Comune di Elsinore ritiene che la probabilità che il rischio si concretizzi sia bassa. Tuttavia, non si può escludere completamente che Google violi gli obblighi contrattuali e utilizzi comunque i dati personali per scopi di marketing o altri scopi non previsti per i quali il Comune di Helsingør non ha dato istruzioni in conformità all'accordo sul trattamento dei dati."

Un ulteriore rischio identificato dal Comune di Helsingør nell'uso dei Chromebook e di Workspace for Education di Google nella valutazione dei rischi è il rischio di trasferimento a Paesi terzi.

Il rischio è descritto come segue:

"Esiste il rischio che i dati personali di alunni e insegnanti (in linea di massima dati personali generali, ma non si può escludere che vengano inclusi anche dati personali sensibili) vengano trasferiti a Paesi terzi insicuri senza una base adeguata per il trasferimento e senza garantire che il Paese terzo in questione garantisca diritti di protezione dei dati equivalenti a quelli di altri Paesi dell'UE."

Per quanto riguarda la probabilità che questo rischio si concretizzi, si afferma quanto segue:

"Il Comune di Helsingør, in qualità di responsabile del trattamento dei dati personali degli alunni, ha attuato le seguenti misure di mitigazione pertinenti al fine di ridurre la probabilità che il rischio descritto diventi realtà":

Sono stati stipulati i termini e le condizioni standard della Commissione UE (base di trasferimento), poiché esiste il rischio di accesso dagli Stati Uniti tramite supporto. È stata preparata una valutazione d'impatto sul trasferimento (TIA) separata come base aggiuntiva (misure complementari) in conformità con i requisiti dell'Autorità per la protezione dei dati e dell'EDPB. Si fa riferimento alla TIA preparata.

Si noti inoltre che il Comune di Helsingør ha optato per una soluzione in cui, come chiaro punto di partenza, i dati si trovano esclusivamente all'interno dell'UE nei centri dati interessati. È quindi solo il rischio di un accesso di supporto da un Paese terzo insicuro che può portare all'accesso da un Paese terzo insicuro:

"Le impostazioni in Regioni dati in Google Workspace for Education Standard assicurano che il centro dati sia situato all'interno dell'UE - e inoltre: ci sarà accesso online da Paesi al di fuori dell'UE, ad esempio in relazione all'assistenza".

Conclusione

Sulla base delle misure implementate sopra, il Comune di Elsinore ritiene che la probabilità che il rischio si concretizzi sia bassa".

Inoltre, il Comune di Helsingør ha presentato le prove di conformità al Capitolo V del Regolamento sulla protezione dei dati nell'utilizzo di Google Workspace for Education sotto forma di "Transfer Impact Assessment" (di seguito "TIA") del Comune.

Questa dimostra che il Comune di Helsingør utilizza Google Cloud EMEA Limited come responsabile del trattamento dei dati per quanto riguarda l'utilizzo di Google Chromebook e Workspace for Education. In particolare, attraverso le impostazioni di Google Workspace for Education, il Comune si è assicurato che i dati personali siano archiviati solo in centri dati situati all'interno dell'UE/SEE.

Tuttavia, sembra che, nonostante le impostazioni di cui sopra, i dati personali possano essere trasferiti a Google LLC negli Stati Uniti nell'ambito dell'accesso remoto a fini di assistenza. Il trasferimento avviene sulla base del contratto standard della Commissione UE.

Infine, il punto 1.8 sul contesto e le finalità del trasferimento dei dati personali afferma quanto segue:

"Nell'ambito della soluzione cloud di Google, il Comune di Helsingør utilizza:

Google Chromebooks e G Suite for Education (ora denominata Workspace), che viene utilizzata dal Comune di Helsingør per l'istruzione degli studenti nell'ambito dell'obbligo di diritto pubblico del Comune di Helsingør in quanto autorità pubblica locale di fornire istruzione. Helsingør Kommune ritiene che tale obbligo sia gestito al meglio da Google in qualità di fornitore dei suddetti servizi e Datatilsynet ha accettato questa premessa in base alla legge che disciplina il Folkeskoleloven.

Affinché il Comune di Helsingør possa utilizzare i servizi e i prodotti menzionati offerti da Google, è necessario che il Comune di Helsingør trasferisca i dati personali relativi agli interessati indicati nelle sezioni 1.9-1.10 di seguito al cloud di Google. Lo scopo del trasferimento è quindi quello di archiviare i dati personali nei centri dati (cloud), garantire un'elevata sicurezza dei dati personali e la gestione/supporto da parte di Google".

Nel TIA, il Comune di Helsingør ha valutato - a quanto risulta al GEPD - se la base per il trasferimento negli Stati Uniti sotto forma di contratto standard sia efficace alla luce delle circostanze del trasferimento, valutando anche se negli Stati Uniti esistano leggi e/o prassi che incidano sull'efficacia del contratto standard concluso.

Di conseguenza, il paragrafo 2.4 del TIA afferma che:

"Sulla base delle statistiche e di altre argomentazioni dell'importatore/destinatario dei dati, quanti anni ci vorranno, oltre al periodo di valutazione, prima che la probabilità di accesso da parte di un'autorità pubblica (che è lecita nel Paese terzo) sia ancora solo del 50:50?".

Sulla base delle seguenti statistiche e argomentazioni, il Comune di Helsingør ritiene che anche se si aggiungessero altri 50 anni al periodo di valutazione di 5 anni, la probabilità di un accesso da parte di un'autorità pubblica statunitense (che sia legale negli Stati Uniti) che violi il diritto dell'UE, come stabilito nella sentenza Schrems II, è ancora solo del 50% di probabilità di verificarsi entro questo periodo di 55 anni e quindi il rischio di un accesso legale nel periodo di valutazione di 5 anni è di natura più teorica che pratica:

Richieste di accesso a Google GCP/G-Suite / divulgate Danimarca 2019-2020: 0 / 0

Richieste di accesso a Google Workspace / divulgate Danimarca 2019-2020: 1 / 0

Richieste di Google Global Diplomatic Legal: 1

Richieste di dati utente di Google Global / percentuale divulgata Danimarca 2019-2020:

30 giugno 2019 Emergenza 2 / 50%. Altre richieste legali 29 / 52%. Conservazione 8 / 45%. 31 dicembre 2019 Emergenza 3 / 0%. Altro legale 48 / 38%. Conservazione 12 / 41%.

30 giugno 2020 Emergenza 5 / 100%.

Altro legale 80 / 58%. Conservazione 34 / 63%. 31 dicembre 2020 Emergenza 1 / 100%. Altro legale 87 / 75%. Conservazione 32 / 41%.

Richieste di Google National Security Letter (NSL) e rilasciate 2019/2020 numero totale tutti i Paesi: 21

Conclusioni

Sulla base di questo approccio legale e di queste statistiche, è chiaro che:

Il TIA afferma inoltre al par. 3.4 che i dati personali trasferiti a Google LLC negli Stati Uniti saranno disponibili a Google LLC in chiaro:

"I dati personali in questione sono accessibili nella giurisdizione di destinazione in chiaro da parte dell'importatore/destinatario dei dati o di terzi (cioè i dati non sono adeguatamente crittografati o è possibile accedere alle chiavi per decifrarli)?".

I dati personali di Helsingør Kommune sono sempre crittografati quando sono a riposo, poiché Google utilizza diversi livelli di crittografia per proteggere i dati dei clienti a riposo nei prodotti Google Cloud, utilizzando uno o più meccanismi di crittografia. I dati per l'archiviazione vengono suddivisi in pezzi e ogni pezzo viene crittografato con una chiave di crittografia dei dati unica. Queste chiavi di crittografia dei dati vengono memorizzate insieme ai dati, crittografate con ("avvolte" da) chiavi di crittografia che vengono memorizzate e utilizzate esclusivamente all'interno del servizio centrale di gestione delle chiavi di Google. Il servizio di gestione delle chiavi di Google è ridondante e distribuito a livello globale.

Tutti i dati memorizzati in Google Cloud sono crittografati a livello di archiviazione utilizzando AES256. A questo proposito, Google utilizza una libreria crittografica comune, Tink, che incorpora il modulo BoringCrypto convalidato da FIPS 140-2, per implementare la crittografia in modo coerente in quasi tutti i prodotti Google Cloud. L'uso coerente di una libreria comune significa che solo un piccolo team di crittografi deve implementare e mantenere questo codice strettamente controllato e revisionato.

Tuttavia, questa crittografia non impedisce al personale di Google di accedere ai dati personali di Helsingør Kommune, perché Google possiede la chiave per decifrare i dati. Google LLC negli Stati Uniti non è invece in possesso della chiave di decodifica. Ciò implica che Google negli Stati Uniti o altre entità Google al di fuori dell'UE/SEE o terzi non possono accedere ai dati personali di Helsingør Kommune senza l'approvazione dell'entità Google applicabile con sede nell'UE (Google Ireland).

Sebbene la crittografia - e la pseudonimizzazione, anch'essa utilizzata da Google - non garantisca a Helsingør Kommune il controllo completo dell'accesso ai dati personali nel data center dell'UE, essa funge da fattore di attenuazione per soddisfare gli obblighi normativi o di conformità, ossia in conformità alle linee guida dell'EDPB".

Inoltre, il TIA afferma al par. 3.5 in merito alla base di trasferimento stabilita:

"Come indicato nella sezione 1.7 di cui sopra, dall'emendamento di Google sul trattamento dei dati di Google Workspace e/o dall'accordo sui prodotti complementari modificato il 24 settembre 2021 risulta che l'SCC del 2021 sarà la base giuridica per i trasferimenti (compreso l'accesso online come parte del supporto online) verso paesi al di fuori dell'UE/SEE senza una decisione di adeguatezza. A questo proposito Google è contrattualmente obbligata, in qualità di incaricato del trattamento, a rispettare gli obblighi ad essa applicabili ai sensi della legge europea sulla protezione dei dati per quanto riguarda il trattamento dei dati personali di Helsingør Kommune.

Helsingør Kommune non ha motivo di credere che qualsiasi entità di Google non rispetterà l'SCC.

Inoltre, Helsingør Kommune valuterà e monitorerà costantemente la conformità di Google alla SCC 2021 esaminando, ad esempio, le relazioni di audit e le certificazioni standard rese disponibili. Helsingør Kommune ha inoltre il diritto di effettuare un audit speciale da parte di terzi, se ritenuto necessario, ai sensi del DPA".

Infine, il TIA afferma al par. 4.1.1 per quanto riguarda la legislazione e/o la prassi negli Stati Uniti che influisce sull'efficacia del contratto standard stipulato:

"L'importatore/destinatario dei dati non è soggetto a un interesse superiore da parte di un'autorità pubblica straniera nel richiedere l'accesso ai dati personali (ossia, l'importatore o il potenziale destinatario dei dati non è soggetto a una legge nazionale che facilita la sorveglianza di massa)".

Sezione 702 FISA

L'entità statunitense Google LLC può essere vista in pratica come la società madre per le entità dell'UE che forniscono i servizi al comune di Helsingør. Google LLC. può qualificarsi come fornitore di servizi di comunicazione elettronica ai sensi della Sezione 702 FISA per i suoi clienti statunitensi, in quanto il termine è inteso in senso lato: "qualsiasi altro fornitore di servizi di comunicazione che abbia accesso a comunicazioni elettroniche o via cavo mentre tali comunicazioni vengono trasmesse o memorizzate".

Tuttavia, è molto probabile che i dati accessibili a Google LLC siano di per sé esclusi dall'accesso ai sensi della Sezione 702 FISA, in quanto si tratta di dati che non vengono trasmessi da Google, ma ad essa per fornire un servizio di assistenza. Si tratta quindi di una comunicazione rivolta a una "persona statunitense" per la quale le ricerche di intelligence sono vietate (cfr. Alan Charles Raul, "Why Schrems II Might Not Be a Problem for EU-U.S. Data Transfers", 21 dicembre 2020, disponibile all'indirizzo https://bit.ly/3qHNMy7 e un articolo completo dello stesso autore all'indirizzo https://bit.ly/2V9veez con il post successivo "Transferring EU Data To US After New Contractual Safeguards" del 17 maggio 2021, disponibile all'indirizzo https://bit.ly/3l12oHZ). Inoltre, i dati personali di Helsingør Kommune non comprendono dati personali di "persone statunitensi" e le autorità statunitensi non possono quindi accedere ai dati ai sensi della Sezione 702 FISA anche per questo motivo.

Pertanto, è probabile che i dati personali di Helsingør Kommune nei centri dati dell'UE non siano soggetti alla Sezione 702 FISA.

Ci rendiamo conto che questa argomentazione potrebbe non essere condivisa da tutti e che potrebbero comunque verificarsi richieste in relazione a Google; per questo motivo, per sicurezza, valutiamo la probabilità che questa argomentazione sia valida in modo molto prudente.

ORDINE ESECUTIVO 12.333

L'Executive Order 12.333 (EO 12.333) autorizza le agenzie di intelligence statunitensi a raccogliere informazioni di "signals intelligence" straniere, ovvero informazioni raccolte da comunicazioni e altri dati trasmessi o accessibili via radio, filo e altri mezzi elettromagnetici (ovvero tutti i dati provenienti da infrastrutture di telecomunicazione e IT). L'EO 12.333 consente quindi la "sorveglianza in transito", come l'accesso a dati non adeguatamente criptati durante il passaggio sui cavi transatlantici. Come descritto nella sezione 3.3., tutti i dati personali saranno trasmessi con una crittografia forte e necessaria durante il transito. Pertanto, secondo la nostra valutazione, la misura tecnica richiesta attraverso la crittografia significa che l'EO 12.333 non comporterà un rischio maggiore per le autorità statunitensi di sorveglianza di massa".

Di seguito si legge che il Comune di Helsingør ha valutato la probabilità che la valutazione di cui sopra sia accurata al 40%.

Sulla base della lettera del Comune di Helsingør del 10 novembre 2021 con i relativi allegati, il 2 dicembre 2021 l'Autorità per la protezione dei dati ha richiesto ulteriori informazioni al Comune. L'Autorità per la protezione dei dati ha dichiarato che qualsiasi trasferimento di dati personali verso gli Stati Uniti nell'ambito del sostegno è stato - secondo l'Autorità per la protezione dei dati - intenzionale, sebbene il Comune abbia valutato questo come un rischio di sostegno proveniente dagli Stati Uniti.

Il Garante per la protezione dei dati personali ha richiesto, tra l'altro, una copia della base di trasferimento del Comune, eventuali modifiche all'istruzione e all'accordo di trattamento dei dati con Google e una revisione di eventuali misure aggiuntive che il Comune ha ritenuto necessarie.

Con lettera del 9 dicembre 2021, il Comune di Helsingør ha dichiarato - a chiarimento del rischio di cui sopra - quanto segue:

"Il possibile trasferimento a Google - e il rischio associato - è legato alla configurazione di Google. In altre parole, anche se il comune ha scelto un cloud dell'UE, Google ha garantito nell'accordo di trattamento dei dati il diritto di ottenere potenzialmente il supporto da paesi terzi. Questo è anche il motivo per cui Google ha stabilito una base di trasferimento nell'ambito del nuovo SCC (da giugno 2021), che il comune utilizza nella sua valutazione del rischio.

In generale, per quanto riguarda il rischio di supporto in particolare, si possono prendere in considerazione i seguenti fatti: in situazioni di supporto molto specifiche da parte di un paese terzo insicuro, ci sarà una finestra molto limitata in cui il sostenitore può potenzialmente accedere ai dati personali in chiaro. È molto improbabile che in questa finestra limitata il sostenitore sia obbligato dal governo [del paese terzo insicuro] a fornire i dati personali.

Il Comune osserva inoltre che il TIA preparato afferma che il Comune ha valutato che l'uso di Google Workspace for Education è necessario per l'adempimento dei doveri del Comune ai sensi della legge sull'istruzione, che l'opzione del supporto di un paese terzo non può essere esclusa quando Google è il responsabile del trattamento dei dati e che il Comune ha quindi valutato il rischio di utilizzare Google.

La base di trasferimento è, come detto, il nuovo SCC (da giugno 2021)".

Per quanto riguarda le fonti di dati utilizzate, il Comune di Helsingør ha fornito le seguenti informazioni:

"Ci sono diverse "fonti di dati" in relazione alla valutazione del rischio e alla TIA. La valutazione del rischio si basa sul fatto che l'accordo con il responsabile del trattamento dei dati descrive il rapporto tra le parti in modo più dettagliato, vale a dire che Google è il responsabile del trattamento dei dati per il comune e che Google si riserva il diritto di fornire assistenza da paesi terzi, e che il comune ha assicurato che il servizio è fornito da un cloud dell'UE.

La TIA si basa sui documenti e sui link forniti nella sottotabella della TIA".

Inoltre, il Comune di Helsingør ha fornito le seguenti informazioni in merito alle sue valutazioni come indicato nel TIA:

"Le valutazioni della TIA sulla probabilità di tenuta di ogni argomento legale sono stime. A questo proposito, il Comune ritiene che le probabilità stabilite siano conservative, ossia che il Comune abbia tenuto conto dei dubbi nell'interesse dei diritti e delle libertà degli interessati. Se il GEPD ha una valutazione diversa e motivata della probabilità che le singole argomentazioni siano valide, il Comune sarà lieto di sentirla. Si fa inoltre presente, a fini di buon ordine, che il rischio complessivo calcolato - sulla base, tra l'altro, di queste argomentazioni, delle circostanze del possibile trasferimento, delle statistiche pubblicate da Google, delle prassi e delle misure di attenuazione - è piuttosto basso. Il Comune si impegna inoltre a monitorare e valutare costantemente la probabilità della validità di queste argomentazioni.

La legalità dell'uso di Google Workspace for Education in queste circostanze non dipende quindi dalla valutazione della probabilità di validità di un singolo argomento che non è mosso da argomentazioni motivate".

Infine, il Comune di Elsinore ha presentato un'ampia documentazione relativa all'accordo di trattamento dei dati con Google Cloud EMEA Limited, tra cui l'accordo di trattamento dei dati "Data Processing Amendment to Google Workspace and/or Complementary Product Agreement" del 24 settembre 2021.

In generale, il GEPD ritiene che un responsabile del trattamento che si avvale di un incaricato del trattamento - per tutte le operazioni di trattamento - debba rispettare ed essere in grado di dimostrare la conformità al GDPR e alla legge sulla protezione dei dati, indipendentemente dal punto della catena di trattamento dei dati in cui avviene il trattamento.

Ciò deriva dall'articolo 5, paragrafo 2, del GDPR, che stabilisce che il responsabile del trattamento è responsabile e deve essere in grado di dimostrare la conformità al paragrafo 1. Ciò significa, tra l'altro, che il responsabile del trattamento è responsabile e deve essere in grado di dimostrare la conformità al paragrafo 2. Ciò significa, tra l'altro, che il responsabile del trattamento è responsabile e deve essere in grado di dimostrare che i dati personali sono trattati in modo lecito, equo e trasparente, conformemente all'articolo 5, paragrafo 1, lettera a).

Inoltre, l'articolo 24, paragrafo 1, del regolamento prevede che il responsabile del trattamento metta in atto misure tecniche e organizzative adeguate per garantire e poter dimostrare che il trattamento è conforme al regolamento. Ciò deve avvenire tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento in questione, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, e le misure devono essere riesaminate e aggiornate se necessario.

Con questa decisione, l'Autorità per la protezione dei dati si è limitata a stabilire se - e in che misura - il Comune di Helsingør, in qualità di responsabile del trattamento, tratta i dati personali in conformità alle norme sulla protezione dei dati. La competenza dell'Autorità per la protezione dei dati deriva dall'articolo 27 della legge sulla protezione dei dati e dai capitoli VI e VII del regolamento sulla protezione dei dati, compreso l'articolo 55, paragrafo 2, dello stesso.

L'articolo 2, paragrafo 1, della legge sull'istruzione stabilisce che l'autorità locale è responsabile dell'istruzione dei bambini.

Per le scuole elementari, dall'articolo 18, paragrafo 1, e dall'articolo 19 della legge si evince che l'organizzazione dell'insegnamento, compresa la scelta dei metodi di insegnamento e di lavoro, dei materiali didattici e la selezione delle materie, nonché il relativo pagamento, in tutte le materie deve essere conforme agli scopi, agli obiettivi e alle materie della scuola elementare e deve essere variata in modo da corrispondere alle esigenze e ai requisiti del singolo alunno.

Il GEPD è del parere che sia la scelta di utilizzare le tecnologie informatiche nell'insegnamento, sia la marca e il software da utilizzare, rientrino in questo margine.

A questo proposito, il GEPD osserva che le norme sulla protezione dei dati sono neutre dal punto di vista tecnologico e che il GEPD può solo valutare le circostanze in cui vengono trattati i dati personali, ai sensi dell'articolo 2, paragrafo 1, del GDPR.

Sebbene la legge sulla scuola pubblica - secondo il GEPD - conferisca al consiglio comunale la competenza di decidere se - e in caso affermativo - quali apparecchiature informatiche debbano essere utilizzate per l'istruzione, tale uso deve continuare a essere effettuato nel quadro del GDPR e della legge sulla protezione dei dati.

I diritti dei bambini e dei giovani godono di una protezione speciale ai sensi delle norme sulla protezione dei dati. Il GEPD ritiene che questa considerazione sia inclusa nella valutazione di quali operazioni di trattamento possono essere effettuate sulla base giuridica fornita dalla legge sulle scuole pubbliche a ciascun comune.

Come indicato anche nella decisione del 10 settembre 2021 dell'Ispettorato per la protezione dei dati, l'Ispettorato ritiene che il comune di Helsingør possa determinare quali strumenti siano utilizzati nelle scuole primarie del comune, ai sensi dell'articolo 6, paragrafo 1, lettera e), del regolamento sulla protezione dei dati.

Tuttavia, rimane una condizione essenziale che il regolamento e la legge sulla protezione dei dati siano altrimenti rispettati nel trattamento dei dati personali che avviene.

In generale, il GEPD ritiene che la valutazione dei rischi del Comune di Helsingør in merito all'uso di Google Chromebooks e Workspace for Education affronti gli scenari e le minacce principali.

Tuttavia, il GEPD ritiene che l'uso di tecnologie nuove e complesse, compreso il software, soprattutto nel settore dell'istruzione, in cui gli interessati sono bambini e giovani, comporti solitamente un rischio elevato per i diritti e le libertà di questi alunni.

Nel caso specifico, è risaputo che le tecnologie utilizzate per l'erogazione e il supporto di sistema del servizio scelto - Google Chromebooks e Workspace for Education - sono utilizzate anche per l'erogazione di altre parti dei prodotti di Google, che vengono utilizzate per la raccolta di informazioni, il marketing mirato e la vendita di tali informazioni. Tali aspetti devono pertanto essere presi in considerazione nella valutazione dei rischi per i diritti e le libertà degli interessati nell'utilizzo di Google Workspace for Education.

Il GEPD ritiene che la valutazione dei rischi del Comune di Helsingør non documenti in modo esauriente gli scenari di rischio che possono verificarsi a seguito della progettazione dell'elaboratore di dati e delle scelte di sistema effettuate. Ciò vale in particolare per (i) il modo in cui i dispositivi e le applicazioni utilizzati trattano effettivamente i dati personali raccolti, nonché (ii) il modo in cui il comune di Helsingør controlla l'accesso di Google ai dati personali, compreso in particolare l'uso ordinario del sistema operativo dei Chromebook di Google e l'interazione di Google Workspace con il backend di Google in relazione alle possibilità di separazione dei dati personali che devono avvenire ai sensi della legge sul trattamento dei dati.

Il GEPD ritiene che l'esecuzione di una valutazione concreta dei rischi e dell'impatto - prima di fornire apparecchiature informatiche agli alunni e di trattare i dati degli alunni - sia un prerequisito per stabilire e mantenere un livello di sicurezza adeguato. Questo perché un livello di sicurezza adeguato deve essere visto alla luce dei rischi, comprese le conseguenze, che il trattamento dei dati personali degli alunni può avere per loro. Il GEPD rileva che molte delle suddette inosservanze delle norme sulla protezione dei dati avrebbero potuto essere evitate se il Comune di Helsingør avesse valutato i rischi del trattamento e adottato misure adeguate alla luce di tali rischi.

Alla luce di quanto sopra, il GEPD ritiene che il comune di Helsingør - i) non avendo incluso nella sua valutazione dei rischi gli scenari di rischio che possono derivare dalla progettazione dell'elaboratore di dati e dalle scelte di sistema effettuate, ii) non avendo sufficientemente testato la portata e il funzionamento dell'hardware e del software utilizzati e iii) non essendo in grado di documentare come il comune controlla l'accesso di Google ai dati personali, in particolare attraverso l'uso ordinario del sistema operativo Google Chromebooks e l'interazione di Google Workspace con il backend di Google in relazione alle possibilità di separazione dei dati personali che possono verificarsi ai sensi della Direttiva sui Responsabili del Trattamento, - non ha dimostrato che i dati personali sono trattati in modo lecito, equo e trasparente in relazione all'interessato ai sensi della Direttiva sui Responsabili del Trattamento. Articolo 5(2) della legge sulla protezione dei dati, cfr. articolo 5(1)(a).

L'Autorità per la protezione dei dati ritiene che il trattamento dei dati personali da parte del Comune di Helsingør ai sensi della legge sulle scuole elementari, cfr. articolo 6, paragrafo 1, lettera e), del regolamento, non comprenda situazioni in cui i dati personali sono trattati per scopi diversi da quelli previsti dalla legge sulle scuole elementari. I dati non possono quindi essere legittimamente comunicati ad altri responsabili del trattamento per i loro scopi, se questi non sono previsti dalla legge sulla scuola elementare. Ciò include anche il trattamento dei dati personali che può avvenire attraverso l'uso delle attrezzature e del software da parte degli alunni, compresi i dati metadati utilizzati per scopi di marketing e di profilazione, sia che i dati siano utilizzati per il marketing diretto al singolo alunno o indirettamente come parte di un gruppo (classe, anno, scuola, ecc.).

Il GEPD ritiene che il Comune di Helsingør non utilizzi i prodotti aggiuntivi di Google Workspace for Education.

Dalla valutazione dei rischi del Comune di Helsingør risulta che i dati personali raccolti nei servizi di base - in base all'accordo con il responsabile del trattamento dei dati - non vengono utilizzati per scopi di marketing.

Il Garante per la protezione dei dati personali ritiene che il Comune di Helsingør, in qualità di responsabile del trattamento dei dati, abbia valutato che "non si può escludere completamente che Google violi gli obblighi contrattuali e utilizzi comunque i dati personali per scopi di marketing o altri scopi non previsti per i quali il Comune di Helsingør non ha dato istruzioni in conformità all'accordo sul trattamento dei dati".

Il GEPD ritiene inoltre che il Comune di Helsingør tratti anche categorie speciali di dati personali, di cui all'articolo 9 del regolamento, quando utilizza Google Workspace for Education.

In questo contesto, il GEPD desidera sottolineare in termini generali che, ai sensi dell'articolo 28, paragrafo 1, del regolamento, un responsabile del trattamento può avvalersi solo di incaricati del trattamento in grado di fornire le necessarie garanzie circa il rispetto delle norme sulla protezione dei dati durante il trattamento dei dati per conto del responsabile del trattamento.

Ciò implica che l'aspettativa da parte del responsabile del trattamento che l'incaricato del trattamento scelto agisca in violazione dell'accordo concluso con l'incaricato del trattamento - di per sé - implica che il responsabile del trattamento non può utilizzare tale incaricato del trattamento, ai sensi dell'articolo 28, paragrafo 1, del regolamento.

Tuttavia, il GEPD si è basato sul fatto che, nel valutare questo rischio, il comune di Helsingør considera il rischio che l'incaricato del trattamento agisca in violazione dell'accordo di trattamento dei dati solo come ipotetico e non come realmente prevedibile.

Il GEPD ritiene che il Comune di Helsingør - nella sua valutazione di questo rischio - non abbia dimostrato che in questa situazione il Comune di Helsingør si avvale di un incaricato del trattamento dei dati in grado di fornire le necessarie garanzie di conformità ai requisiti del GDPR, come previsto dall'articolo 24 del Regolamento, cfr. articolo 28, paragrafo 1.

Il GEPD ha prestato particolare attenzione al fatto che vi sarebbe un'invadente perdita di diritti per gli interessati se il rischio in questione si concretizzasse e che il comune non ha indicato nella sua valutazione del rischio alcuna reale misura correttiva tecnica o organizzativa per mitigare tale rischio. In particolare, il GEPD ritiene che il riferimento fatto dal Comune di Helsingør al fatto che il Comune ha fiducia nel rispetto generale del contratto da parte del fornitore non costituisca un'attenuazione sufficiente di tale rischio.

Inoltre, il GEPD rileva che qualsiasi rischio che comporti un impatto elevato sui diritti e le libertà degli interessati - anche con probabilità relativamente basse che il rischio si concretizzi - è probabile che comporti un rischio elevato per i diritti degli interessati, facendo scattare l'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35, paragrafo 1, del regolamento.

Alla luce di ciò - e della valutazione del Comune di Helsingør secondo cui non si può escludere che l'incaricato del trattamento agisca in violazione dell'accordo con il responsabile del trattamento - il GEPD ritiene che il rapporto faccia scattare l'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati, ai sensi dell'articolo 35, paragrafo 1, del regolamento.

In questo contesto - e dato che il Comune di Helsingør ha dichiarato di non aver effettuato una valutazione d'impatto sulla protezione dei dati - il GEPD ritiene che il trattamento dei dati personali da parte del Comune di Helsingør non sia stato effettuato in conformità all'articolo 35, paragrafo 1, del regolamento.

Il GEPD ha innanzitutto rilevato che il Comune di Elsinore ritiene di aver configurato l'utilizzo di Google Workspace for Education in modo tale che "i dati si trovino, come chiaro punto di partenza, solo all'interno dell'UE nei centri dati interessati". È quindi solo il rischio di un accesso di supporto da un Paese terzo insicuro che può portare all'accesso da un Paese terzo insicuro".

Il quadro contrattuale del Comune di Helsingør con Google, che regola l'attività di trattamento, comprende l'"Emendamento sul trattamento dei dati per l'accordo su Google Workspace e/o prodotti complementari" (Addendum all'accordo), datato 24 settembre 2021.

L'Addendum stabilisce, tra l'altro, che:

"10.1 Strutture per l'archiviazione e l'elaborazione dei dati. Fatti salvi gli impegni di Google in materia di ubicazione dei dati ai sensi dei Termini specifici del servizio e il resto della presente Sezione 10 (Trasferimenti di dati), i Dati del Cliente possono essere elaborati in qualsiasi paese in cui Google o i suoi Subprocessori dispongano di strutture. [...]

11.1 Consenso all'assunzione di Subprocessori. Il Cliente autorizza specificamente l'assunzione come Subprocessori delle entità elencate alla Data di entrata in vigore dell'Emendamento all'URL specificato nella Sezione 11.2 (Informazioni sui Subprocessori). Inoltre, fatta salva la Sezione 11.4 (Opportunità di opporsi alle modifiche del Subprocessore), il Cliente autorizza in generale l'assunzione come Subprocessori di qualsiasi altra terza parte ("Nuovi Subprocessori").

11.2 Informazioni sui Subprocessori. Le informazioni sui Subprocessori, comprese le loro funzioni e sedi, sono disponibili all'indirizzo: https://workspace.google.com/intl/en/terms/subprocessors.html (come può essere aggiornato da Google di volta in volta in conformità con il presente Emendamento sul trattamento dei dati)."

La sezione 11.2 dell'Accordo fa riferimento a un elenco di subprocessori utilizzati allo scopo di fornire Google Workspace for Education. L'elenco comprende un'ampia gamma di subprocessori utilizzati per fornire assistenza tecnica, situati sia nell'UE che in paesi terzi, compresi i paesi terzi in cui la Commissione UE non ha preso una decisione sul livello di protezione dei paesi ai sensi dell'articolo 45. L'elenco comprende anche un gran numero di subprocessori utilizzati per fornire assistenza tecnica.

L'elenco comprende anche un gran numero di filiali di Google utilizzate per attività limitate come Google Workspace, anch'esse situate sia all'interno che all'esterno dell'UE/SEE.

Nella presente decisione, l'autorità di protezione dei dati non ha preso posizione sulla misura in cui il Comune di Helsingør, utilizzando Google Workspace per l'istruzione - oltre agli Stati Uniti, si veda più avanti nella sezione 4.6 - trasferisce dati personali ad altri Paesi terzi, anche se i dati sono "memorizzati" all'interno dell'UE/SEE.

Tuttavia, il GEPD raccomanda che il Comune di Elsinore si assicuri - tra l'altro, esaminando i "Termini specifici del servizio" di Google Workspace di cui al paragrafo 10.1 dell'addendum all'accordo - che i dati, nell'ambito di un trattamento diverso dalla "memorizzazione", ad esempio nell'ambito dell'assistenza generale e del supporto dell'infrastruttura cloud sottostante, ecc.

L'Autorità per la protezione dei dati ritiene che il responsabile del trattamento debba fornire una base valida per il trasferimento a tutti i Paesi terzi verso i quali i dati personali possono essere trasferiti nell'ambito della fornitura di un servizio su base contrattuale, compresi i servizi di assistenza e supporto.

Inizialmente, il GEPD rileva che - a suo parere - esiste un trasferimento intenzionale e istruito verso gli Stati Uniti per il Comune di Helsingør in conseguenza della possibilità concordata di fornire assistenza - negli o dagli Stati Uniti - con accesso ai dati personali.

Le norme sul trasferimento verso paesi terzi, compresi i possibili motivi del trasferimento, sono stabilite nel capitolo V del regolamento sulla protezione dei dati.

La regola principale per i trasferimenti di dati personali a paesi terzi è stabilita nel principio generale dell'articolo 44 del GDPR. Questo stabilisce che:

"Qualsiasi trasferimento di dati personali oggetto di trattamento o destinati al trattamento a seguito di un trasferimento verso un paese terzo o un'organizzazione internazionale può avvenire solo se le condizioni di cui [al capo V] sono soddisfatte, fatte salve le altre disposizioni del presente regolamento, dal responsabile del trattamento e dall'incaricato del trattamento, anche mediante il successivo trasferimento di dati personali da tale paese terzo o organizzazione internazionale a un altro paese terzo o organizzazione internazionale. Tutte le disposizioni del presente capo si applicano per garantire che il livello di protezione garantito alle persone dal presente regolamento non sia compromesso".

Qualsiasi trasferimento di dati personali può quindi avvenire solo se sono soddisfatte le condizioni del capo V del regolamento.

Il GEPD intende l'articolo 44 del regolamento come un obbligo sia per il responsabile del trattamento che per l'incaricato del trattamento. Entrambe le parti sono pertanto tenute a garantire che sia fornita una base efficace per il trasferimento alla luce di tutte le circostanze del trasferimento stesso. Ciò vale anche nel caso in cui sia l'incaricato del trattamento a concludere un contratto standard ai sensi dell'articolo 46, paragrafo 2, lettera c), del regolamento con eventuali subincaricati in paesi terzi. In questo caso, l'obbligo per il responsabile del trattamento è in pratica quello di garantire - ed essere in grado di dimostrare al GEPD - che l'incaricato del trattamento ha stabilito la necessaria base di trasferimento e che tale base di trasferimento è efficace alla luce di tutte le circostanze del trasferimento, compresa l'attuazione di misure supplementari, se necessario.

Inoltre, il GEPD ritiene che, fatte salve le eccezioni di cui all'articolo 49 del regolamento, la formulazione dell'articolo 44, secondo cui il trasferimento di dati personali può avvenire solo se sono soddisfatte le condizioni di cui al capo V, in combinato disposto con il principio secondo cui il livello di protezione garantito dal regolamento non deve essere compromesso, deve essere intesa nel senso che qualsiasi trasferimento deve essere soggetto a garanzie adeguate. Pertanto, non è sufficiente che quasi tutti i trasferimenti o una percentuale di trasferimenti godano della protezione prevista dal Regolamento, a meno che ciò non sia previsto dal Regolamento stesso.

Uno dei modi per fornire una base valida per i trasferimenti ai sensi del capitolo V è la conclusione di un contratto standard adottato dalla Commissione europea con l'organizzazione del Paese terzo verso cui i dati sono trasferiti, come previsto dall'articolo 46, paragrafo 1, lettera c), del regolamento.

In particolare, il caso mostra che il Comune di Helsingør ha incaricato il suo responsabile del trattamento dei dati - Google Cloud EMEA Limited in Irlanda - di trasferire i dati personali a un subprocessore - Google LLC - negli Stati Uniti. Il trasferimento avviene sulla base di un contratto standard della Commissione europea tra Google Cloud EMEA Limited e Google LLC negli Stati Uniti. Questo contratto standard è stato utilizzato come base per i trasferimenti verso gli Stati Uniti dalla fine di settembre 2021.

Nella causa C-311/18, Schrems II, la Corte di giustizia europea ha chiarito che l'uso dei contratti standard della Commissione europea presuppone che nel Paese terzo interessato possa essere garantito un livello di protezione dei dati personali sostanzialmente equivalente a quello esistente nell'UE/SEE[1].

La CGUE ha inoltre osservato che vi possono essere situazioni in cui il contratto standard della Commissione UE non costituisce "un mezzo adeguato per garantire in pratica l'effettiva protezione dei dati personali trasferiti al paese terzo in questione". Ciò avviene, in particolare, quando la legislazione del paese terzo consente alle sue autorità pubbliche di interferire con i diritti degli interessati in relazione a tali dati"[2].

In questi casi, quando il contratto standard, per sua natura, non può fornire garanzie che vadano oltre l'obbligo contrattuale di assicurare il necessario livello di protezione, possono essere necessarie misure aggiuntive, a seconda delle circostanze nel paese terzo, per assicurare il necessario livello di protezione[3] Tali misure aggiuntive possono essere tecniche, organizzative o contrattuali[4].

È quindi necessario esaminare - caso per caso - se la legislazione del Paese terzo garantisce un livello adeguato di protezione dei dati personali trasferiti sulla base del contratto standard e, se necessario, adottare misure aggiuntive rispetto al contratto standard[5].

La CGUE ha anche valutato se una determinata legislazione statunitense - la sezione 702 del Foreign Intelligence Surveillance Act (FISA) e l'Executive Order 12 333 (E.O. 12 333) - consenta alle autorità pubbliche statunitensi di interferire con i diritti degli interessati in misura non conforme ai requisiti minimi del diritto dell'UE.

La sezione 702 della FISA (FISA 702) autorizza il governo degli Stati Uniti a ottenere informazioni su persone che non sono cittadini statunitensi, ecc. ("persone non statunitensi"), e che si può ragionevolmente ritenere si trovino al di fuori degli Stati Uniti, allo scopo di raccogliere informazioni di intelligence straniera ("informazioni di intelligence straniera"). A tal fine vengono impartite direttive ai "fornitori di servizi di comunicazione elettronica" affinché forniscano o facciano fornire informazioni personali inviate o ricevute da un "selettore", mentre una parte di queste comunicazioni viene divulgata anche alle autorità preposte all'applicazione della legge[6].

Per quanto riguarda l'E.O. 12333, questa base legale consente alle forze dell'ordine di accedere alle informazioni "in transito" verso gli Stati Uniti accedendo ai cavi sottomarini, e di raccogliere e conservare tali informazioni prima che raggiungano gli Stati Uniti e diventino soggette alle disposizioni FISA.[7]

La CGUE ha quindi affermato che né la sezione 702 della FISA né la E.O. 12 333, letta in combinazione con la Presidential Policy Directive-28 (PPD-28), soddisfano il requisito di proporzionalità del diritto dell'UE, con il risultato che i programmi di sorveglianza basati su queste disposizioni non possono essere considerati limitati allo stretto necessario. La Corte ha inoltre affermato che il FISA 702 o l'E.O. 12 333, in combinato disposto con la PDD-28, non conferiscono alle persone interessate diritti opponibili alle autorità statunitensi dinanzi ai tribunali[8].

Nel valutare se negli Stati Uniti esistano circostanze che impediscono al contratto standard utilizzato come base per il trasferimento di essere un mezzo sufficiente per garantire un livello di protezione sostanzialmente equivalente a quello all'interno dell'UE/SEE, il Comune di Elsinore ha dichiarato che è probabile che Google LLC debba essere considerato un "fornitore di servizi di comunicazione elettronica", come tale termine è definito nel 50 U.S.C. § 1881(b)(4).

Allo stesso modo, la DPA ritiene che Google LLC - nel fornire il servizio (assistenza, ecc.) che dà luogo al trasferimento di dati personali - debba essere considerato un "fornitore di servizi di comunicazione elettronica" e quindi possa essere soggetto a direttive di applicazione della legge ai sensi del FISA 702.

Inoltre, il Comune di Helsingør ha sostenuto che vi è un'alta probabilità che le informazioni disponibili a Google LLC di per sé non siano accessibili ai sensi del FISA 702, poiché i dati personali non sono trasferiti da Google LLC, ma a Google LLC allo scopo di fornire assistenza. In particolare, il Comune di Elsinore ha sostenuto che si tratta di una comunicazione elettronica a una "persona statunitense" e che alle autorità di polizia è quindi precluso ottenere queste informazioni alla luce delle restrizioni previste dal FISA 702. Inoltre, il Comune sostiene che le informazioni personali trasferite a Google LLC non costituiscono informazioni personali di "persone statunitensi" e che, per questo motivo, le autorità preposte all'applicazione della legge non possono raccogliere tali informazioni ai sensi del FISA 702.

Dopo aver esaminato le restrizioni legali alla raccolta di informazioni ai sensi della norma FISA 702[9], il GEPD è del parere che tali restrizioni siano volte a impedire la raccolta - sia diretta che indiretta - di informazioni su persone statunitensi, comprese le società, quando tali persone sono l'obiettivo della raccolta.

Pertanto, secondo la FSA, le restrizioni non si applicano se e nella misura in cui i cittadini danesi o la municipalità di Helsingør nel suo complesso diventano oggetto della raccolta di informazioni ai sensi del FISA 702.

Inoltre, il DPA ritiene che il FISA 702, per il suo scopo, fornisca una base giuridica alle autorità statunitensi preposte all'applicazione della legge per ottenere informazioni su persone straniere che si può ragionevolmente ritenere si trovino al di fuori degli Stati Uniti allo scopo di raccogliere informazioni di intelligence straniera.

In questo contesto, il GEPD ritiene che i dati personali trasferiti a Google LLC possano essere ottenuti dalle autorità statunitensi preposte all'applicazione della legge. Nel fare ciò, il GEPD ha posto l'accento sul fatto che Google LLC deve essere considerato un "fornitore di servizi di comunicazione elettronica" e che i dati personali trasferiti a Google LLC riguardano gli alunni e i dipendenti del comune, ossia cittadini danesi.

L'Autorità per la protezione dei dati ritiene quindi che il trasferimento dei dati in questione sia soggetto a condizioni negli Stati Uniti che impediscono al contratto standard utilizzato come base per il trasferimento di essere un mezzo sufficiente per garantire un livello di protezione sostanzialmente equivalente a quello all'interno dell'UE/SEE. Il Comune di Helsingør è pertanto tenuto a garantire l'adozione di misure aggiuntive per portare il livello di protezione al livello richiesto.

In particolare, il GEPD rileva che le misure integrative contrattuali e organizzative non sono generalmente in grado di contrastare l'accesso o la raccolta di dati personali da parte delle autorità statunitensi preposte all'applicazione della legge a fini di sorveglianza. Pertanto, saranno necessarie ulteriori misure tecniche.

Il Comune di Helsingør ha dichiarato che i dati personali sono criptati sia in transito che a riposo quando vengono trasferiti ed elaborati da Google LLC. Tuttavia, il Comune ha anche indicato che Google LLC può accedere ai dati in chiaro.

Il GEPD ritiene che la cifratura possa essere una misura supplementare efficace, adatta a integrare il contratto standard della Commissione UE e a portare il livello di protezione in un paese terzo al livello europeo richiesto.

Tuttavia, il GEPD ritiene che, nel caso in questione, la cifratura non sia adatta a risolvere le condizioni degli Stati Uniti che impediscono al contratto standard di essere un mezzo sufficiente per garantire l'effettiva protezione dei dati personali trasferiti.

A tale proposito, il GEPD ha tenuto conto del fatto che la raccolta di dati personali da parte delle autorità statunitensi preposte all'applicazione della legge ai sensi della norma FISA 702 viene effettuata impartendo direttive ai fornitori di servizi di comunicazione elettronica e richiede pertanto la loro assistenza, e che in tali circostanze i dati personali trasferiti possono essere ottenuti ai sensi della norma FISA 702, in quanto Google LLC ha accesso ai dati in chiaro.

Di conseguenza, il GEPD ritiene che i dati personali che il Comune di Helsingør ha incaricato Google Cloud EMEA Limited di trasferire negli Stati Uniti non godano di un livello di protezione sostanzialmente equivalente a quello dell'UE/SEE e che il Comune di Helsingør non abbia adottato le misure supplementari necessarie per portare il livello di protezione a quello richiesto.

Il GEPD ritiene pertanto che il trasferimento di dati personali che il comune di Helsingør ha incaricato Google Cloud EMEA Limited di effettuare non sia conforme all'articolo 44 del regolamento sulla protezione dei dati, cfr. articolo 46, paragrafo 1, lettera c).

Alla luce dell'ingiunzione emessa il 10 settembre 2021 e della limitazione del trattamento emessa nella stessa data, e a seguito di un esame della valutazione dei rischi effettuata dal Comune di Helsingør e della documentazione del Comune in generale, il Garante per la protezione dei dati personali ritiene che vi siano motivi per vietare al Comune di Helsingør di trattare i dati personali utilizzando i Chromebook e Workspace for Education di Google. Il divieto si applica fino a quando il Comune di Helsingør non avrà reso l'attività di trattamento conforme al GDPR, come stabilito nella presente decisione, e non avrà prodotto una documentazione adeguata a tal fine.

Inoltre, qualsiasi trasferimento di dati personali verso gli Stati Uniti che il Comune di Helsingør ha incaricato Google Cloud EMEA Limited di effettuare in qualità di responsabile del trattamento dei dati per il Comune è sospeso fino a quando il Comune di Helsingør non sarà in grado di dimostrare la conformità al capitolo V del GDPR.

Il divieto e la sospensione avranno effetto immediato, ma al Comune di Helsingør sarà concesso un periodo fino al 3 agosto 2022 per ritirare e terminare utenti e diritti, nonché per cancellare i dati già trasferiti.

I divieti sono emessi ai sensi dell'articolo 58, paragrafo 2, lettere f) e j), del regolamento sulla protezione dei dati.

La violazione di un divieto emesso dall'Autorità per la protezione dei dati personali è punibile ai sensi dell'articolo 41, paragrafo 2, comma 4, della legge sulla protezione dei dati con un'ammenda o con la reclusione per un periodo non superiore a sei mesi, cfr. articolo 41, paragrafo 1.

Infine, il Garante per la protezione dei dati personali trova motivi per criticare seriamente il fatto che il trattamento dei dati personali da parte del Comune di Helsingør non sia stato effettuato in conformità all'articolo 5, paragrafo 2, del regolamento sulla protezione dei dati, cfr. articolo 5, paragrafo 1, lettera a), articolo 24, cfr. articolo 28, paragrafo 1, articolo 35, paragrafo 1, e articolo 44, cfr. articolo 46, paragrafo 1.

Nella scelta del rimedio, il GEPD ha posto l'accento sulla necessità di porre rapidamente fine alla situazione illecita. Inoltre, il GEPD ha attribuito un peso attenuante al fatto che il comune di Helsingør - in tutte le fasi del trattamento del caso - ha contribuito in modo positivo e responsabile a fornire la documentazione necessaria e la chiarezza sulle operazioni di trattamento, e ha dato particolare importanza al fatto che i trasferimenti di dati personali in questione verso gli Stati Uniti erano precedentemente soggetti a un accertamento di adeguatezza ai sensi dell'articolo 45 del regolamento, che è scaduto.

Il GEPD rileva che spetta al Comune di Helsingør rettificare e cancellare i dati in conformità alla decisione. Il comune deve pertanto contattare i genitori dei bambini interessati per effettuare le rettifiche, le anonimizzazioni o le cancellazioni dei dati personali registrati che i genitori stessi non possono effettuare nei sistemi in cui i dati personali degli alunni sono stati inavvertitamente pubblicati o trasmessi.