Caro Guido,

questa è una di quelle situazioni in cui mi assale il dubbio orribile di aver detto per lungo tempo, o stare per dire una sciocchezza terribile, quindi a scanso di equivoci premetto subito che quanto segue NON è una posizione ufficiale della Commissione Europea (a meno che ciò che dico non sia corretto, nel quale ovviamente lo è; funziona così a Bruxelles).

L'articolo 1(3) della GDPR (Oggetto e finalità) recita "La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali"; ovviamente, nella misura in cui gli Stati Membri applichino correttamente tutte le misure previste dalla GDPR medesima!

La logica di base, per essere concreti e così come l'ho sempre capita io, è che sia la Direttiva del 1995 che la GDPR era/è volta a garantire un livello minimo di protezione in tutti gli Stati Membri dell'UE, proprio per facilitare la libera circolazione di dati (personali). Un obbligo di localizzazione dovrebbe quanto meno essere giustificato, perché si assume appunto che tutti gli Stati Membri abbiano correttamente trasposto nei propri ordinamenti nazionali, o applicato nel caso della GDPR (Regolamento, direttamente applicabile) questo "livello minimo di protezione".

Dunque la domanda secondo me dovrebbe essere capovolta: quali articoli della GDPR permettono la localizzazione dei dati personali all'interno di uno Stato Membro?

Due chiarimenti per contestualizzare quanto sopra: il primo è che ovviamente tale "divieto di localizzazione" (se effettivamente esiste! Sono curioso di leggere le opinioni degli esperti) si applicherebbe solo all'interno dell'Unione Europea. Il trasferimento di dati personali al di fuori del territorio dell'Unione segue regole differenti che sono esplicitamente indicate nel Capo V della GDPR.

Il secondo è che quanto sopra è valido ovviamente solo nella misura in cui la GDPR è applicable - lapalissiano ma a volte sfugge. Per esempio, l'articolo 2(2) chiarisce che la GDPR "non si applica ai trattamenti di dati personali: a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione; b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE (Disposizioni specifiche sulla politica estera e di sicurezza comune)."

Di nuovo e per chiarezza, quanto sopra è la mia interpretazione personale.

Ciao,

Andrea

On Mon, Oct 8, 2018 at 3:02 PM Guido Noto La Diega <noto.la.diega@gmail.com> wrote:

Ciao Giacomo

la legge si basa ancora su questa dicotomia, sia pur con qualche apertura nel senso di dire che i dati personali sono tali (anche) se potenzialmente possono portare all'identificazione di una persona sia pur in modo diretto.
Cresce nella dottrina il consenso rispetto a detto superamento.
Andrea, scusa ma dove sono illegali i vincoli ai sensi del GDPR? Se me li sono persi, allora la maggior parte delle cose che ho detto perde significato e chiedo scusa.

Cheers

Guido

On Mon, 8 Oct 2018 at 11:26, Andrea Glorioso <andrea@digitalpolicy.it> wrote:
Grazie a Guido per il chiarimento.

Mi pare vi siano due scenari.

Il primo scenario è che la dicotomia dato personale/dato non personale sia superata, insostenibile, sbagliata o quant'altro. Non mi pronuncio in merito. Ma in questo scenario, l'eliminazione di vincoli alla localizzazione dei dati (all'interno dell'UE, ovviamente) introdotta dal nuovo Regolamento non mi pare cambi granché, dato che (correggetemi se sbaglio) tali vincoli sono già illegali con la GDPR, e di fatto con la Direttiva sulla Protezione dei Dati Personali del 1995, uno dei cui obbiettivi era proprio garantire la libera circolazione dei dati personali all'interno dell'UE (ed EEA) fatto salvo un livello minimo di protezione.

Il secondo scenario è che invece vi siano dati che non sono personali ai sensi della normativa vigente. Io faccio sempre l'esempio dei dati metereologici, che mi pare difficile definire "personali". In tale scenario, l'eliminazione di vincoli alla localizzazione di tali dati non impatta la protezione dei dati personali e - almeno secondo Commissione, Parlamento e Consiglio dell'UE, altri possono ben avere opinioni discordanti :) - favorirebbe la crescita in scala e ampiezza dei servizi relativi.

Ciao,

Andrea

On Mon, Oct 8, 2018 at 11:32 AM Giacomo Tesio <giacomo@tesio.it> wrote:
Il giorno lun 8 ott 2018 alle ore 10:45 Guido Noto La Diega
<noto.la.diega@gmail.com> ha scritto:
>
> Ciao Andrea
> La premessa superiore era proprio la insostenibilità della dicotomia personale/non personale.

Tecnicamente l'inesistenza di tale dicotomia è chiara.
Può bastare un mac address per tracciare, manipolare e successivamente
identificare una persona.

Ma dal vostro dialogo non riesco a capire se sia stata superata a
livello giuridico o meno.
Mi posso aspettare che un giudice comprenda che tutti i dati di
origine umana sono personali, o no?

Giacomo

--

--
I speak only for myself. Sometimes I do not even agree with myself. Keep it in mind.
Twitter: @andreaglorioso
Facebook: https://www.facebook.com/andrea.glorioso
LinkedIn: http://www.linkedin.com/profile/view?id=1749288&trk=tab_pro
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

--
Guido

Guido Noto La Diega, PhD FHEA
Senior Lecturer / European Research Partnerships Coordinator @ Northumbria Law School
Director @italiot | Fellow @nexacenter | Co-convenor @NINSOrig | Co-founder @DPA2018

Northumbria Law School
City Campus East,
Newcastle upon Tyne NE1 8ST

noto.la.diega@gmail.com

+44(0)191 349 5562

You can access my papers on Academia.edu and on the Social Science Research Network (SSRN)

This e-mail and any attachment hereto are strictly confidential and are exclusively intended for the person above identified. Without intended recipient’s entitlement, use, copy and dissemination of this e-mail is prohibited. If you have received it in error, please advice us immediately by telephone and return the documents received to the above address, deleting the files. Thank you.

Unless necessary, please do not print this e-mail.