Buongiorno,
con la presente si chiede cortesemente un Vs. parere su una questione sollevata da un responsabile del trattamento in relazione a dati potenzialmente consultabili dagli USA in quanto memorizzati sui data center di un sub responsabile.
Sintetica descrizione del fatto: un consulente del lavoro, nel concordare la propria nomina da parte cliente, deve segnalare l’intera catena di responsabili e sub responsabili che prevederebbe: Committente (Titolare), il consulente del lavoro (Responsabile art. 28), XXSOFTWARE HOUSEXX (sub responsabile in quanto il prodotto paghe sviluppato e fornito è in cloud), Amazon AWS (sub responsabile di XXSOFTWARE HOUSEXX in quanto il prodotto per elaborazione cedolini è in cloud). Il server è ubicato in Europa.
Per via delle note vicende con gli USA, si ritiene che l’utilizzo di AWS sia lecito nella misura in cui AWS (ed eventuali suoi sub fornitori da identificare) siano iscritti al Data Privacy Framework.
A parere nostro, le verifiche da fare includono anche il tipo di abilitazione, ovvero che la certificazione riguardi l’ambito HR dato che tutta la gamma di dati trattati da un consulente del lavoro con la piattaforma di elaborazione cedolini riguardano esclusivamente l’ambito del personale dipendente del Titolare (committente).
Da una verifica puntuale sul sito del DPF, AWS è presente con certificazione UE-USA NON HR.
Secondo il nostro parere, non essendo i dati cifrati con chiave di cifratura in esclusivo possesso del responsabile XXSOFTWARE HOUSEXX e non essendo AWS certificato HR, non sembrerebbero esserci i presupposti per affidare in modo lecito il trattamento a XXSOFTWARE HOUSEXX e relativi sub fornitori.
Di conseguenza il Titolare del trattamento non può validare l’intera catena di responsabili/sub responsabili e se il consulente del lavoro omette l’informazione circa AWS pur avvalendosi dei relativi servizi, rischia di diventare titolare del trattamento e in ogni caso di effettuare un trattamento potenzialmente illecito (potenziale esportazione di dati o potenziale consultazione di dati da parte di soggetti extra UE senza una relativa base giuridica valida). Il tutto senza aver dato necessaria informazione al titolare/committente (in caso di responsabile) o agli interessati (in caso di titolarità del trattamento). Nel corretto rapporto titolare/committente – propri dipendenti, la stessa informazione mancherebbe anche agli interessati (dipendenti del committente) in quanto lo stesso committente non può darne notizia in quanto il trasferimento (anche solo potenziale) non sarebbe lecito.
Secondo XXSOFTWARE HOUSEXX, la questione non rileva in quanto la questione HR riguarda esclusivamente i dati personali dei dipendenti del soggetto certificato (quindi i dipendenti AMAZON), rendendo paradossalmente possibile trattare dati di dipendenti di altri datori di lavoro con i server AWS (quindi l’insieme di dati gestiti dal consulente del lavoro in questione), ma NON possibile trattare i dati dei propri dipendenti (quindi di AMAZON) con le medesime modalità.
In buona sostanza i dati HR di soggetti terzi vengono considerati NON HR e di conseguenza basta, secondo la loro visione, la certificazione sopra riportata.
Ringraziando anticipatamente per il riscontro con il Vs. punto di vista sulla questione, porgo cordiali saluti.
