Buongiorno nexiane, la scadenza è stata spostata al 21 Dicembre da quello che leggo ora sulla pagina dedicata: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/reco... Sto studiando il testo e avrei alcuni commenti che mi piacerebbe poter pubblicamente discutere in questa lista con chi avesse voglia di dare il prioprio contributo. La proposta è di raccogliere e consolidare i contributi in forma organica e inviarli a nome dei sottoscrittori. I contributi possono essere inviati (tra altri) da "Istituzioni accademiche o ricerca", "Associazioni di imprese", "Aziende", "Associazioni professionali" o "Individui": vedremo in che forma organizzata inviarlo in funzione del consenso comune che eventualmente si formerà qui. Mal che vada invierò i miei commenti come individuo, ma se riuscissimo a "fare rete" avrebbe probabilmente un altro effetto :-). In questa prima fase mi offro di fare da "segretario", se la cosa dovesse evolvere vedremo come eventualmente riorganizzarci. Vengo al dunque. Giacomo mi ha proposto di scrivere ulteriori esempi di misure tecniche supplementari (Annex 2 del documento EDPB) che impediscano l'accesso e la correlazione fra i dati nel caso di esportazione in paesi terzi "non conformi" (permettetemi la semplificazione). L'idea è quella di documentare lo stato dell'arte tecnologico in modo da stabilire una sorta di asticella (alta) sotto la quale non si può andare se si vuole star tranquilli in caso di esportazione dei dati in tali paesi. Giacomo correggimi se mi sono espresso male. Dopo un paio di letture "solo" di "Executive Summary" e del "Annex 2" mi sono convinto che le misure tecniche indicate - che ricordo sono _solo_ esemplificative e non esaustive E l'appicazione delle quali _non_ solleva dalla responsabilità di verificarne l'adeguatezza - sono già abbastanza impegnative e aggiungere altri esempi rischierebbe di creare più confusione che chiarezza. Per ora non entro qui nel merito delle misure tecniche dell'allegato 2, vi dico "solo" che lo "Use case 6" (Transfer to cloud services providers or other processors which require access to data in the clear) con i punti 88 e 89 è già abbastanza chiaro e le sue conseguenze sono piuttosto pesanti. Piuttosto che aggiungere esempi di misure tecniche, il commento che inoltrerei riguarda gli obblighi di documentazione, precisamente il punto 7 del documento dice: --8<---------------cut here---------------start------------->8--- You will need to document appropriately this assessment and the supplementary measures you select and implement and make such documentation available to the competent supervisory authority upon request [rif. 21 Article 5(2) GDPR and Article 24 (1) GDPR]. --8<---------------cut here---------------end--------------->8--- Io richiederei che, in particolare per quanto riguarda l'applicazione di misure tecniche supplementari, l'esportatore sia obbligato a documentare nei confronti dei soggetti del trattamento dati - o ancora meglio rendere indistintamente pubblici - i risultati della valutazione. In questo modo i soggetti del trattamento sarebbero in grado, da soli o aiutati da terzi, di effettuare una valutazione autonoma in merito all'efficacia di tali misure. In caso contrario, l'esportatore dei datoi potrebbe benissimo dichiarare che sta adottando misure tecniche adeguate ma in realtà non lo sono; siccome non mi pare che la sorveglianza delle autorità di controllo nazionali sia così efficiente, eventuali carenze (estremamente probabili considerati i requisiti stringenti esposti da EDPB) potrebbero restare nascoste per anni. Secondo me il richiamo alla trasparenza è fondamentale, perché nel contesto attuale gli utenti _subiscono_ scelte fatte da altri - fornitori dei servizi, esportatori dei dati e autorità di controllo - e hanno pochissimi strumenti per verificare che nei loro confronti sia correttamente applicato il GDPR; a meno che si pensi che ricorrere *ogni volta* alla corte di giustizia EU come nei DUE "casi Schrems" sia dignitoso. Detto in altre parole: affidare il controllo alle sole autorità nazionali è altamente inefficace. Punto. Cosa ne pensate? Grazie, Giovanni. -- Giovanni Biscuolo