Il July 16, 2020 8:40:02 AM UTC, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
Ho la sensazione (da approfondire leggendo la sentenza, ancora non disponibile) che sarà molto più oneroso verificare la legittimità del trasferimento di dati a fornitori di servizi USA..
C'è (almeno :-D) un aspetto del GDPR che non capisco, Marco: qualcuno ha mai considerato che la copia dei dati non lascia tracce? E che quando le lascia, sempre possono essere cancellate? La copia di dati non lascia traccia. Da un punto di vista tecnico esiste un solo modo¹ attraverso cui il controller dei dati può garantire che i diritti del data subject non vengano violati da un processor o un subprocessor: avere il controllo fisico esclusivo (e sicuro) dei server su cui si trovano i dati e su cui avvengono le elaborazioni (nonché, ovviamente, della rete che li collega). Ciò significa che il controller non invia, in alcuna forma, i dati al processor, ma il data processor invia il software di analisi al controller, che lo esegue sulle proprie macchine e sotto il proprio controllo. A quanto ne so, questo è l'unico modello di data-processing tecnicamente compatibile con il GDPR. Lo storage di dati su server di terze parti sarebbe possibile solo in forma cifrata, con una cifratura molto forte (ovvero computazionalmente costosa) le cui chiavi siano sotto il controllo esclusivo del controller, ma l'elaborazione dei dati stessi può avvenire solo sotto il controllo diretto del controller, pena l'inefficacia di fatto di qualsiasi protezione del data subject. Mi sfugge qualcosa che tu sappia? Giacomo (1) la crittografia omomorfica è ancora troppo lenta e sospetto che attraverso timing attacks sia possibile ottenere parte dei dati cifrati.