(A causa di una mia svista, parte del mio scambio con Marco Ciurcina è “uscito” dalla lista NEXA ed è rimasto privato tra noi due. Con il permesso di Marco rispondo al suo ultimo messaggio riportando la lista in copia, dato che penso/spero che la nostra conversazione possa essere di interesse più generale.) Caro Marco, Rispondo oltre. On Tue, Oct 9, 2018 at 01:16 Marco Ciurcina <ciurcina@studiolegale.it> wrote:
In data lunedì 8 ottobre 2018 20:52:25 CEST, hai scritto:
Caro Marco,
a mio parere, una misura presa da uno Stato Membro sulla base (giustificata) della "sicurezza nazionale" è fino a (giustificata) prova contraria al di fuori del campo di applicazione della GDPR, in ragione del combinato disposto dell'articolo 4(2) del Trattato dell'Unione Europea ("In particolare, la sicurezza nazionale resta di esclusiva competenza di ciascuno Stato membro") e dell'articolo 2(2)(a) della GDPR medesima, che ho citato precedentemente. Questo conferma quel che scrivevo: l'art. 1(3) non funziona in questo caso: basta invocare la sicurezza nazionale per fare quel che si vuole.
Dopodiché possiamo discutere degli effetti combinati, per esempio, della Carta dei Diritti Fondamentali dell'Unione Europea, della Convenzione Europea sui Diritti Umani così come essa si rapporta al diritto
dell'Unione
Europea, e via discorrendo. Ma a prima vista non mi pare che il tuo primo esempio sia immediatamente rilevante per la discussione in oggetto, o quanto meno esso mi sembra introduca elementi di complessità tali da non renderlo il più idoneo per chiarire la questione di base. Sostituisci "sicurezza nazionale" con "quello che vuoi tu tranne che protezione delle persone fisiche con riguardo al trattamento dei dati personali" (per esempio, "tutela della sovranità digitale", "tutela della ricerca scientifica", ecc.).
Per quanto riguarda il tuo secondo esempio, ammetto candidamente di non saperne abbastanza sulla natura degli atti unilaterali e/o delle promesse unilaterali, ma a prima vista a me pare un caso di libera disposizione delle parti, che la GDPR permette (e ci mancherebbe…).
Certo. Altro spazio di libertà lasciato dal GDPR (per fortuna..).
Se un'azienda francese ritiene che offrire un servizio di stoccaggio e trattamento di dati personali solo all'interno della Francia sia un servizio appetibile per un numero abbastanza elevato di clienti, e trova abbastanza clienti da darle ragione, ben venga. O anche, se un numero sufficientemente alto di utenti si rende disponibili a consentire certi usi dei propri dati a condizione che gli stessi non escano fuori dai confini di certi stati.
Se la Francia decide per legge che i dati personali dei cittadini francesi devono restare all'interno della Francia, credo che ciò sia contrario alla GDPR, fatte salve le eccezioni che ho menzionato e altre che non ho menzionato, e che però a mio parere non intaccano la logica di base che ho cercato di descrivere. Mah! Ragionando da avvocato, penso che un modo per aggirare il divieto (che è costruito come eccezione, e quindi circoscritto ed aperto a opzioni diverse) si trova.
m.c.
Confesso che non ho ben capito la tua logica. La questione a cui stavo rispondendo è se i vincoli di localizzazione dei dati personali siano legali ai sensi della GDPR. La mia interpretazione del concetto di “localizzazione” in questo contesto si riferisce ai vincoli imposti dalle leggi (o equivalenti) di uno Stato Membro dell’UE, non ad eventuali accordi privati. Inoltre, per chiarezza, mi riferisco a trasferimenti di dati personali intra-UE (ed Area Economica Europea). Il trattamento dei dati personali è generalmente (ma non esclusivamente) normato dalla GDPR, nella misura in cui essa non prevede eccezioni generali o particolari. Nel primo caso rientrano le attività legate alla sicurezza nazionale di uno Stato Membro, che non rientrano tra le competenze dell’UE, ma che devono comunque essere giustificate - cioè uno Stato Membro non può tirar fuori dal cappello la carta “sicurezza nazionale” per rifiutarsi di applicare il diritto UE, senza alcuna spiegazione (a volte gli Stati Membri ci provano, ma non sempre ci riescono). Vi rientrano anche le attività legate alla “Politica Estera e di Sicurezza Comune” o allo scambio di dati personali a fini di contrasto alla criminalità, che per altro sono normate in tal senso da altri strumenti con una base legale differente. Nel secondo caso rientrano alcune eccezioni come la salvaguardia dell’ordine pubblico. Tali eccezioni sono comunque definite in maniera esaustiva nella GDPR e non si applicano necessariamente alla libera circolazione dai dati personali all’interno dell’UE (che rimane possibile) quanto per esempio all’obbligo o alle modalità di notificare che un trattamento è in corso. Gli Stati Membri non possono inventarsi eccezioni cosi come viene loro in mente (di nuovo, a volte ci provano, ma raramente ci riescono). Posto quanto sopra, bisogna guardare all’impianto generale della GDPR e ai suoi obiettivi, nonché a quelli più generali dell’ordine legale dell’UE di cui ovviamente la GDPR è espressione. In tal senso, il testo della GDPR è secondo me chiarissimo: uno degli obiettivi principali (se non il principale) è garantire la libera circolazione dei dati personali all’interno dell’UE, per raggiungere il quale è necessario garantire un livello uniforme di protezione in tutti gli Stati Membri. Vedi considerando 170 della GDPR, ma ne potrei citare altri. Tale obiettivo è come ho menzionato espressione di due obbiettivi più generali del diritto UE, ovvero la promozione e salvaguardia del mercato interno e la creazione di uno spazio europeo di libertà, sicurezza e giustizia. Essi sono chiaramente indicati nei Trattati UE - che, vale la pena ricordarlo, gli Stati Membri hanno liberamente sottoscritto e a cui sono vincolati, almeno sinché non decidono di uscire dall’UE (o non hanno ottenuto uno dei vari opt-out, ma non voglio complicare troppo la questione). Dunque dal mio punto di vista la risposta alla domanda “i vincoli [ ex lege ] di localizzazione [ intra-UE ] dei dati personali sono legali ai sensi della GDPR?” dovrebbe essere “generalmente no, nella misura in cui la GDPR è applicabile (il che è lapalissiano) e fatte salve le eccezioni previste dalla GDPR, che devono essere interpretate in maniera specifica e funzionalmente agli obbiettivi della GDPR e più generalmente del diritto UE, che sono di promuovere e non di restringere il flusso di dati personali all’interno dell’UE”. Spero di aver capito le tue osservazioni, e che le mie siano comprensibili e persino corrette. Ciao, Andrea
A meno che, ovviamente, non mi stia sbagliando di grosso. :)
Ciao,
Andrea
On Mon, Oct 8, 2018 at 7:22 PM Marco Ciurcina <ciurcina@studiolegale.it>
wrote:
In data lunedì 8 ottobre 2018 18:46:50 CEST, hai scritto:
Caro Marco,
Puoi portare un esempio di "norme che limitino o vietino la
circolazione
dei dati personali nell'Unione per motivi diversi da quelli attinenti
alla
protezione delle persone fisiche con riguarda al trattamento dei dati personali"?
Per esempio, una norma che dispone: "i dati dei militari italiani sono memorizzati in Italia per ragioni di sicurezza nazionale". Lo scopo della norma non è "la protezione delle persone fisiche con riguarda al trattamento dei dati personali", ma la norma vieta il trasferimento fuori del paese. Fatico ad immaginare come questa norma possa essere dichiarata illegittima ai sensi dell'art. 1(3) del GDPR.
Per quanto riguarda gli accordi contrattuali che prevedano l'obbligo di tenere i dati personali nel territorio di un paese (o diversi paesi, escludendone altri) non includerei tale fattispecie nella categoria degli "obblighi di localizzazione", dato che, appunto, si tratta di accordi tra due o più parti, a cui si suppone la situazione descritta vada bene.
Ammetto però che mi sfugge cosa tu intenda di preciso per "atti unilaterali" nello scenario di cui stiamo discutendo. Un altro esempio sarebbe utile.
Per es., una promessa unilaterale da parte del titolare del trattamento ai sensi dell'art. 1324 cod. civ. che, per convincere gli utenti ad usare i suoi servizi, promette che i dati personali non saranno trasferiti fuori dal paese X.
m.c.
Ciao, grazie,
Andrea
On Mon, Oct 8, 2018 at 6:36 PM Marco Ciurcina < ciurcina@studiolegale.it>
wrote:
In data lunedì 8 ottobre 2018 17:11:54 CEST, Andrea Glorioso ha
scritto:
L'articolo 1(3) della GDPR (Oggetto e finalità) recita "*La libera circolazione dei dati personali nell'Unione non può essere limitata
né
vietata per motivi attinenti alla protezione delle persone fisiche
con
riguardo al trattamento dei dati personali*"; ovviamente, nella
misura
in cui gli Stati Membri applichino correttamente tutte le misure
previste
dalla GDPR medesima!
L'articolo 1(3) del GDPR non impedisce: - norme che limitino o vietino la circolazione dei dati personali nell'Unione per motivi diversi da quelli attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, - accordi contrattuali o atti unilaterali che prevedono l'obbligo di tenere i dati personali nel territorio di un paese (o diversi paesi,
escludendone
altri). m.c.
--
-- I speak only for myself. Sometimes I do not even agree with myself. Keep it in mind. Twitter: @andreaglorioso Facebook: https://www.facebook.com/andrea.glorioso LinkedIn: http://www.linkedin.com/profile/view?id=1749288&trk=tab_pro