L’autorità per la protezione dei dati personali portoghese (CNPD) ha ordinato all’istituto di statistica nazionale (INE) di sospendere ore tutti i trasferimenti di dati personali negli Stati Uniti e in qualunque altra nazione al di fuori dello spazio economico europeo in mancanza di adeguati livelli di protezione, dando 12 ore di tempo per cessare tali trasferimento.
INE trasferisce diversi dati personali di cittadini portoghesi negli USA nell’utilizzo del servizio di Cloudflare a supporto delle valutazione di soddisfazione degli utenti.
In seguito a diversi reclami, l’autorità portoghese ha effettuato delle indagini sui trasferimenti di dati da parte di INE verso paesi terzi, concludendo che Cloudflare Inc. è direttamente sottoposta alle leggi di sorveglianza nordamericane in materia di sicurezza nazionale, in particolare la FISA 702. Tali leggi impongono alle compagnie come Cloudflare di dare accesso illimitato alle autorità pubbliche USA senza informare gli interessati.
Nel motivare il provvedimento, il CNPD fa riferimento alla sentenza della Corte di Giustizia UE (cosiddetta “Schrems II”) e mette in evidenza come il solo ricorso a clausole contrattuali standard (SCC) approvate dalla Commissione, in mancanza di adeguate garanzie che rendano la protezione dei dati equivalente a quella previsa all’interno dell’EEA (European Economic Area) non sia sufficiente per giustificare i trasferimenti. Si tratta del secondo provvedimento dopo quello dell’autorità di controllo bavarese che, a marzo, ha sostanzialmente imposto di cessare l’utilizzo del tool Mailchimp a Fogs Magazin Munich (qui la notizia) con motivazioni simili.