(A causa di una mia svista, parte del mio scambio con Marco Ciurcina è “uscito” dalla lista NEXA ed è rimasto privato tra noi due. Con il permesso di Marco rispondo al suo ultimo messaggio riportando la lista in copia, dato che penso/spero che la nostra conversazione possa essere di interesse più generale.)

Caro Marco,

Rispondo oltre.

On Tue, Oct 9, 2018 at 01:16 Marco Ciurcina <ciurcina@studiolegale.it> wrote:
In data lunedì 8 ottobre 2018 20:52:25 CEST, hai scritto:
> Caro Marco,
>
> a mio parere, una misura presa da uno Stato Membro sulla base
> (giustificata) della "sicurezza nazionale" è fino a (giustificata) prova
> contraria al di fuori del campo di applicazione della GDPR, in ragione del
> combinato disposto dell'articolo 4(2) del Trattato dell'Unione Europea ("In
> particolare, la sicurezza nazionale resta di esclusiva competenza di
> ciascuno Stato membro") e dell'articolo 2(2)(a) della GDPR medesima, che ho
> citato precedentemente.
Questo conferma quel che scrivevo: l'art. 1(3) non funziona in questo caso:
basta invocare la sicurezza nazionale per fare quel che si vuole.

>
> Dopodiché possiamo discutere degli effetti combinati, per esempio, della
> Carta dei Diritti Fondamentali dell'Unione Europea, della Convenzione
> Europea sui Diritti Umani così come essa si rapporta al diritto dell'Unione
> Europea, e via discorrendo. Ma a prima vista non mi pare che il tuo primo
> esempio sia immediatamente rilevante per la discussione in oggetto, o
> quanto meno esso mi sembra introduca elementi di complessità tali da non
> renderlo il più idoneo per chiarire la questione di base.
Sostituisci "sicurezza nazionale" con "quello che vuoi tu tranne che
protezione delle persone fisiche con riguardo al trattamento dei dati
personali" (per esempio, "tutela della sovranità digitale", "tutela della
ricerca scientifica", ecc.).

>
> Per quanto riguarda il tuo secondo esempio, ammetto candidamente di non
> saperne abbastanza sulla natura degli atti unilaterali e/o delle promesse
> unilaterali, ma a prima vista a me pare un caso di libera disposizione
> delle parti, che la GDPR permette (e ci mancherebbe…).
Certo.
Altro spazio di libertà lasciato dal GDPR (per fortuna..).

> Se un'azienda
> francese ritiene che offrire un servizio di stoccaggio e trattamento di
> dati personali solo all'interno della Francia sia un servizio appetibile
> per un numero abbastanza elevato di clienti, e trova abbastanza clienti da
> darle ragione, ben venga.
O anche, se un numero sufficientemente alto di utenti si rende disponibili a
consentire certi usi dei propri dati a condizione che gli stessi non escano
fuori dai confini di certi stati.

> Se la Francia decide per legge che i dati
> personali dei cittadini francesi devono restare all'interno della Francia,
> credo che ciò sia contrario alla GDPR, fatte salve le eccezioni che ho
> menzionato e altre che non ho menzionato, e che però a mio parere non
> intaccano la logica di base che ho cercato di descrivere.
Mah!
Ragionando da avvocato, penso che un modo per aggirare il divieto (che è
costruito come eccezione, e quindi circoscritto ed aperto a opzioni diverse)
si trova.

m.c.

Confesso che non ho ben capito la tua logica. 

La questione a cui stavo rispondendo è se i vincoli di localizzazione dei dati personali siano legali ai sensi della GDPR. 

La mia interpretazione del concetto di “localizzazione” in questo contesto si riferisce ai vincoli imposti dalle leggi (o equivalenti) di uno Stato Membro dell’UE, non ad eventuali accordi privati. Inoltre, per chiarezza, mi riferisco a trasferimenti di dati personali intra-UE (ed Area Economica Europea). 

Il trattamento dei dati personali è generalmente (ma non esclusivamente) normato dalla GDPR, nella misura in cui essa non prevede eccezioni generali o particolari.

Nel primo caso rientrano le attività legate alla sicurezza nazionale di uno Stato Membro, che non rientrano tra le competenze dell’UE, ma che devono comunque essere giustificate - cioè uno Stato Membro non può tirar fuori dal cappello la carta “sicurezza nazionale” per rifiutarsi di applicare il diritto UE, senza alcuna spiegazione (a volte gli Stati Membri ci provano, ma non sempre ci riescono). 

Vi rientrano anche le attività legate alla “Politica Estera e di Sicurezza Comune” o allo scambio di dati personali a fini di contrasto alla criminalità, che per altro sono normate in tal senso da altri strumenti con una base legale differente. 

Nel secondo caso rientrano alcune eccezioni come la salvaguardia dell’ordine pubblico. Tali eccezioni sono comunque definite in maniera esaustiva nella GDPR e non si applicano necessariamente alla libera circolazione dai dati personali all’interno dell’UE (che rimane possibile) quanto per esempio all’obbligo o alle modalità di notificare che un trattamento è in corso. Gli Stati Membri non possono inventarsi eccezioni cosi come viene loro in mente (di nuovo, a volte ci provano, ma raramente ci riescono). 

Posto quanto sopra, bisogna guardare all’impianto generale della GDPR e ai suoi obiettivi, nonché a quelli più generali dell’ordine legale dell’UE di cui ovviamente la GDPR è espressione. 

In tal senso, il testo della GDPR è secondo me chiarissimo: uno degli obiettivi principali (se non il principale) è garantire la libera circolazione dei dati personali all’interno dell’UE, per raggiungere il quale è necessario garantire un livello uniforme di protezione in tutti gli Stati Membri. Vedi considerando 170 della GDPR, ma ne potrei citare altri. 

Tale obiettivo è come ho menzionato espressione di due obbiettivi più generali del diritto UE, ovvero la promozione e salvaguardia del mercato interno e la creazione di uno spazio europeo di libertà, sicurezza e giustizia. Essi sono chiaramente indicati nei Trattati UE - che, vale la pena ricordarlo, gli Stati Membri hanno liberamente sottoscritto e a cui sono vincolati, almeno sinché non decidono di uscire dall’UE (o non hanno ottenuto uno dei vari opt-out, ma non voglio complicare troppo la questione). 

Dunque dal mio punto di vista la risposta alla domanda “i vincoli [ ex lege ] di localizzazione [ intra-UE ]  dei dati personali sono legali ai sensi della GDPR?” dovrebbe essere “generalmente no, nella misura in cui la GDPR è applicabile (il che è lapalissiano) e fatte salve le eccezioni previste dalla GDPR, che devono essere interpretate in maniera specifica e funzionalmente agli obbiettivi della GDPR e più generalmente del diritto UE, che sono di promuovere e non di restringere il flusso di dati personali all’interno dell’UE”. 

Spero di aver capito le tue osservazioni, e che le mie siano comprensibili e persino corrette. 

Ciao,

Andrea



>
> A meno che, ovviamente, non mi stia sbagliando di grosso. :)
>
> Ciao,
>
> Andrea
>
> On Mon, Oct 8, 2018 at 7:22 PM Marco Ciurcina <ciurcina@studiolegale.it>
>
> wrote:
> > In data lunedì 8 ottobre 2018 18:46:50 CEST, hai scritto:
> > > Caro Marco,
> > >
> > > Puoi portare un esempio di "norme che limitino o vietino la circolazione
> > > dei dati personali nell'Unione per motivi diversi da quelli attinenti
> >
> > alla
> >
> > > protezione delle persone fisiche con riguarda al trattamento dei dati
> > > personali"?
> >
> > Per esempio, una norma che dispone:
> > "i dati dei militari italiani sono memorizzati in Italia per ragioni di
> > sicurezza nazionale".
> > Lo scopo della norma non è "la protezione delle persone fisiche con
> > riguarda
> > al trattamento dei dati personali", ma la norma vieta il trasferimento
> > fuori
> > del paese.
> > Fatico ad immaginare come questa norma possa essere dichiarata illegittima
> > ai
> > sensi dell'art. 1(3) del GDPR.
> >
> > > Per quanto riguarda gli accordi contrattuali che prevedano l'obbligo di
> > > tenere i dati personali nel territorio di un paese (o diversi paesi,
> > > escludendone altri) non includerei tale fattispecie nella categoria
> > > degli
> > > "obblighi di localizzazione", dato che, appunto, si tratta di accordi
> > > tra
> > > due o più parti, a cui si suppone la situazione descritta vada bene.
> > >
> > > Ammetto però che mi sfugge cosa tu intenda di preciso per "atti
> > > unilaterali" nello scenario di cui stiamo discutendo. Un altro esempio
> > > sarebbe utile.
> >
> > Per es., una promessa unilaterale da parte del titolare del trattamento ai
> > sensi dell'art. 1324 cod. civ. che, per convincere gli utenti ad usare i
> > suoi
> > servizi, promette che i dati personali non saranno trasferiti fuori dal
> > paese
> > X.
> >
> > m.c.
> >
> > > Ciao, grazie,
> > >
> > > Andrea
> > >
> > > On Mon, Oct 8, 2018 at 6:36 PM Marco Ciurcina <ciurcina@studiolegale.it>
> > >
> > > wrote:
> > > > In data lunedì 8 ottobre 2018 17:11:54 CEST, Andrea Glorioso ha
> >
> > scritto:
> > > > > L'articolo 1(3) della GDPR (Oggetto e finalità) recita "*La libera
> > > > > circolazione dei dati personali nell'Unione non può essere limitata
> >
> > né
> >
> > > > > vietata per motivi attinenti alla protezione delle persone fisiche
> >
> > con
> >
> > > > > riguardo al trattamento dei dati personali*"; ovviamente, nella
> >
> > misura
> >
> > > > > in
> > > > > cui gli Stati Membri applichino correttamente tutte le misure
> >
> > previste
> >
> > > > > dalla GDPR medesima!
> > > >
> > > > L'articolo 1(3) del GDPR non impedisce:
> > > > - norme che limitino o vietino la circolazione dei dati personali
> > > > nell'Unione
> > > > per motivi diversi da quelli attinenti alla protezione delle persone
> > > > fisiche
> > > > con riguardo al trattamento dei dati personali,
> > > > - accordi contrattuali o atti unilaterali che prevedono l'obbligo di
> > > > tenere i
> > > > dati personali nel territorio di un paese (o diversi paesi,
> >
> > escludendone
> >
> > > > altri).
> > > > m.c.


--

--
I speak only for myself. Sometimes I do not even agree with myself. Keep it in mind.
Twitter: @andreaglorioso
Facebook: https://www.facebook.com/andrea.glorioso
LinkedIn: http://www.linkedin.com/profile/view?id=1749288&trk=tab_pro