In data giovedì 16 luglio 2020 17:37:20 CEST, Giacomo Tesio ha scritto:
Il July 16, 2020 8:40:02 AM UTC, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
Ho la sensazione (da approfondire leggendo la sentenza, ancora non disponibile) che sarà molto più oneroso verificare la legittimità del trasferimento di dati a fornitori di servizi USA..
C'è (almeno :-D) un aspetto del GDPR che non capisco, Marco: qualcuno ha mai considerato che la copia dei dati non lascia tracce? E che quando le lascia, sempre possono essere cancellate? Sospetto tu abbia letto nella parola "verificare" più di quel che intendevo. Mi riferivo alla verifica di compliance legale del trasferimento extra UE dei dati da realizzare alla luce della nuova sentenza. m.c.
La copia di dati non lascia traccia.
Da un punto di vista tecnico esiste un solo modo¹ attraverso cui il controller dei dati può garantire che i diritti del data subject non vengano violati da un processor o un subprocessor: avere il controllo fisico esclusivo (e sicuro) dei server su cui si trovano i dati e su cui avvengono le elaborazioni (nonché, ovviamente, della rete che li collega).
Ciò significa che il controller non invia, in alcuna forma, i dati al processor, ma il data processor invia il software di analisi al controller, che lo esegue sulle proprie macchine e sotto il proprio controllo.
A quanto ne so, questo è l'unico modello di data-processing tecnicamente compatibile con il GDPR.
Lo storage di dati su server di terze parti sarebbe possibile solo in forma cifrata, con una cifratura molto forte (ovvero computazionalmente costosa) le cui chiavi siano sotto il controllo esclusivo del controller, ma l'elaborazione dei dati stessi può avvenire solo sotto il controllo diretto del controller, pena l'inefficacia di fatto di qualsiasi protezione del data subject.
Mi sfugge qualcosa che tu sappia?
Giacomo
(1) la crittografia omomorfica è ancora troppo lenta e sospetto che attraverso timing attacks sia possibile ottenere parte dei dati cifrati.