Spesso rileviamo che una organizzazione privata – in genere di piccole dimensioni – abbia adottato il servizio “gratuito” di Google Gmail per le proprie attività; peraltro, molti liberi professionisti usano gmail come indirizzo e-mail per le loro attività professionali, anche in ambito medico e/o sanitario.
Ma come si inquadra detto utilizzo in relazione all’introduzione del Regolamento Europeo sulla Protezione dei Dati Personali 679/2016?
Dapprima, rileviamo che il servizio gmail.com è realizzato tramite sistemi I.T. cloud-based, in gran parte localizzati al di fuori dello spazio europeo; quindi quando si invia o riceve una e-mail usando Gmail, si realizza quasi sicuramente un trasferimento di dati personali verso un paese extra-UE.
Questo determina diversi effetti, due dei quali sono:
- occorre indicare, nelle informative aziendali, che i dati personali conferiti saranno trasferiti ad di fuori dello spazio europeo e memorizzati nei sistemi informatici di Google;
- occorre nominare Google responsabile del trattamento di tali dati personali (data processor).
Ognuno condurrà le proprie valutazioni su come si possa ottenere la nomina di Google quale responsabile del trattamento; il Data Controller (il Titolare del Trattamento) ha l’obbligo di fornire (al Data Processor) istruzioni vincolanti su modalità e misure per il trattamento dei dati personali.
Inoltre, dato che nella versione gratuita di Gmail si ritiene che Google effettui procedure di “content extraction” (leggasi profilazione) non riteniamo assolutamente aderente ai dettami del GDPR l’utilizzo di Gmail per il trattamento di dati personali, effettuato da un Titolare del Trattamento soggetto al Regolamento 679/2016.
Da ultimo, vorremmo esortare a riflettere sulla opportunità dell’utilizzo di un servizio riservato ad un uso personale per scopi invece professionali (questo vale anche per tutti gli altri innumerevoli servizi e-mail “gratuiti”, che spesso offrono meno sicurezza di Gmail).
I Titolari del Trattamento hanno l’obbligo di valutare – per i principi di accountability e di sicurezza dei dati – quali sistemi di trattamento rispondano ai requisiti per essere utilizzati nel trattamento di dati personali; chi potrà dimostrare che il servizio e-mail gratuito di Google risponda agli stringenti requisiti richiesti dal Regolamento Europeo?
Qualora una piccola realtà non possa acquistare una casella e-mail professionale presso un provider europeo, molto meglio adottare ProtonMail, anche nella sua versione gratuita, invece di Gmail.