Chiariamo subito una cosa. NON e’ VIETATO. Chiariamo una seconda cosa, c’e’ forte differenza tra trasferimento e passaggio di dati, ma continuiamo per gradi.

E’ evidente che i dati personali sono dei beni economici, e se per ideologia infastidisce, la prima cosa da fare e’ costruirsi una bella macchina del tempo (una DeLorean DMC-12).

Il termine TRASFERIMENTO e’ presente diverse volte nel GDPR, ma la definizione non e’ mai data (nemmeno nella vecchia direttiva) .

Una definizione, tuttavia, la troviamo all’articolo 12 della CONVENZIONE 108 (sconosciuta a molti)

Articolo 12 – Flussi internazionali di dati a carattere personale e diritto interno

1 Le seguenti disposizioni si applicano ai trasferimenti attraverso i confini nazionali, con qualunque mezzo, di dati a carattere personale oggetto di elaborazione automatica o raccolti allo scopo di sottoporli a tale elaborazione.

2 Una Parte non può, al solo fine della protezione della vita privata, proibire o sottoporre a una autorizzazione speciale i flussi attraverso i confini di dati a carattere personale destinati al territorio di un’altra Parte.

3 Tuttavia, ciascuna Parte ha la facoltà di derogare alle disposizioni del comma 2:

a – nella misura in cui la sua legislazione prevede una regolamentazione specifica per certe categorie di dati a carattere personale o di collezioni automatizzate di dati a carattere personale, a motivo della natura di tali dati o di tali schedari, salvo che la regolamentazione dell’altra Parte fornisca una protezione equivalente;

b – allorché il trasferimento è effettuato a partire dal suo territorio verso il territorio di uno Stato non contraente per il tramite del territorio di un’altra Parte, al fine di evitare che trasferimenti di questo tipo abbiano come risultato l’aggiramento della legislazione della Parte indicata al principio del presente comma.

Per avere un po’ di chiarezza in piu’ conviene prendere in esame la sentenza Bodil Lindqvist (Corte di Giustizia del 2004) .

Iniziamo con un quesito, uno scenario:

Io pubblico questo post sul server che si trova a MILANO.
Viene visto solo da persone dello UTAH.

Siamo o non siamo nell’ambito del trasferimento verso paesi terzi?

Un caso reale per spiegare la perplessita’ che nasce dallo scenario. La signora Lindqvist pubblica sul proprio BLOG i dati personali dei fedeli della Chiesa protestante di Svezia senza nessun consenso, rendendoli accessibili a tutti ed il tribunale svedese la condanna anche per illecito trasferimento dei dati non autorizzato .

La signora Lindqvsit si appella alla Corte di Svezia, che è mossa da alcuni dubbi sulla giusta applicazione dell’articolo 25 della direttiva 95/46 e li rimanda alla Corte di Giustizia.

Articolo 25

Principi

1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.

2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.

3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.

4. Qualora la Commissione constati, secondo la procedura dell’articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.

5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.

6. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.

Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.

pone l’attenzione alla Corte di Giustizia Europea chiedendo analiticamente tre quesiti :

  1. c’e’ trasferimento estero se un cittadino europeo pubblica le informazioni in un server europeo e le pagine vengono viste extra UE ?
  2. e se nessun cittadino fuori dall’UE avesse visto i dati cosa cambierebbe ?
  3. e se invece il server fosse in un paese terzo ?

La Corte di Giustizia, pronunciandosi per la prima volta, ha fatto chiarezza dichiarando che si ha trasferimento quando i dati vengono “messi” in un server, non quando i server propagano le informazioni sul WEB.

Altro problema “lessicale” riguarda il concetto temporale del trasferimento, infatti l’art 4 par 1 lett c della direttiva 95/46CE escludeva dal TRASFERIMENTO i dati che “passavano” in paesi extra europei senza una memorizzazione.

c) il cui responsabile, non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea.

Tuttavia, una buona definizione di “mero transito dei dati” arriva solo dal WP29 e si chiarisce che non deve esserci nessun trattamento sulle informazioni se non di mero instradamento .

Fin qui abbiamo ragionato in seno alla direttiva 95/46/CE, infatti la sentenza Lindtqvist richiama l’articolo 25 della stessa, comunque attuale; ora proviamo a porci un’altra domanda e cerchiamo di rispondere con il Regolamento .

Cosa e’ un trasferimento? Un passaggio di informazioni da un posto all’altro (escludendo in forza dell’art 4 par 1 lett c Direttiva il mero transito ).

Nel regolamento 206/679, pero’, lo spostamento da un punto all’altro dei dati non e’ definibile solo come TRASFERIMENTO, ma anche come COMUNICAZIONE . Sveliamo le differenze .

  • LA COMUNICAZIONE consiste nel mettere a disposizione i dati tra diversi TITOLARI DEL TRATTAMENTO .
  • Il TRASFERIMENTO invece e’ rappresentato da qualsiasi operazione dinamica dei dati a prescindere dalla qualificazione dei soggetti mittenti e destinatari.

Faccio un esempio: la condivisioni di informazioni tra Titolare e Responsabile e’ un trasferimento, in quanto restano nella sfera del TITOLARE , non rappresenta una COMUNICAZIONE mancando la pluralita’ dei TITOLARI.

Altre definizioni derivano invece dall’ambito territoriale ( e paghiamo le pene del nostro vecchio codice 196), vediamole :

  • se i dati sono soggetti a COMUNICAZIONE ( quindi due titolari ) ma uno di loro e’ fuori UE si parlera’ di TRASFERIMENTO extra UE.

Tutta questa teoria per rispondere ad un quesito che ogni giorno si presenta in ambito GDPR, come trattare le informazioni in CLOUD.

Non vi torturo riscrivendo degli obblighi cloud del piano triennale, vi lascio solo il link al post specifico

Tornando al discorso del GDPR, il fornitore di CLOUD solitamente e’ identificabile come un articolo 28,responsabile, tuttavia nelle condizioni d’uso potrebbero anche esserci profili di titolarita’ autonoma o contitolarità ( articolo 26).

Applicare al mondo cloud il concetto di trasferimento extra UE non e’ affatto semplice, per motivi di sicurezza il fornitore CLOUD potrebbe consapevolmente sfruttare propri server ( o di terzi ) fuori dal territorio UE, od inconsapevolmente i dati del fornitore CLOUD potrebbero essere instradati su SERVER extra-UE generando pero’ solo traffico e non storage .

L’unica soluzione giuridica per il cliente CLOUD e’ pretendere le clausole standard oppure l’adeguatezza ex art.45 ( in realta’ le deroghe sono diverse, ma qui non le approfondiamo ).

Uno strumento semplice ed immediato per il controllo dei servizi cloud e’ rappresentato dall’accordo Privacy Shield ( molto discusso per motivi economici ) e palesemente richiamato nell’articolo 45 par 9 del GDPR . Per interrogare il registro delle aziende USA che hanno aderito ai protocolli Privacy shield basta cercarle nell’elenco qui raggiungibile .

Print Friendly, PDF & Email