Ciao Giovanni On Thu, 26 Nov 2020 09:50:40 +0100 Giovanni Biscuolo <giovanni@biscuolo.net> wrote:
la scadenza è stata spostata al 21 Dicembre da quello che leggo ora sulla pagina dedicata:
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/reco...
Io ti ringrazio per aver dato seguito alla mia proposta: purtroppo in questo periodo riesco a dedicare poco tempo a queste materie ed in modo estremamente frammentario.
Io richiederei che, in particolare per quanto riguarda l'applicazione di misure tecniche supplementari, l'esportatore sia obbligato a documentare nei confronti dei soggetti del trattamento dati - o ancora meglio rendere indistintamente pubblici - i risultati della valutazione. [...]
Cosa ne pensate?
Io penso che sia una ottima idea. Aggiungerei (come mi hai scritto off-list) che tale documentazione debba riprendere, punto per punto, le fasi dell'analisi prevista dal EDPB, indicando separatamente: 1) Elenco dettagliato dei trasferimenti effettuati 2) Per ogni trasferimento, strumento giuridico che lo autorizza - decisione di adeguatezza o deroga - SCCs/BCRs/CoC/Certifications/... 3) Per ogni strumento, analisi dell'efficacia della protezione fornita nel luogo di destinazione (tenendo conto, come chiarito dal EDPB, degli strumenti tecnici ivi disponibili) 4) Per ciascuno gli strumenti che NON offrono una protezione concretamente efficace, analisi delle misure tecniche e procedurali introdotte e della loro efficacia. 5) Data prevista per la riverifica e l'aggiornamento del documento stesso. Inoltre chiederei che fossero anche previste - la frequenza minima con cui deve essere ripetuta questa analisi - la previsione di una procedura di richiesta di aggiornamento della stessa da parte dei data subject Giacomo PS:
Giacomo mi ha proposto di scrivere ulteriori esempi di misure tecniche supplementari (Annex 2 del documento EDPB) che impediscano l'accesso e la correlazione fra i dati nel caso di esportazione in paesi terzi "non conformi" (permettetemi la semplificazione). L'idea è quella di documentare lo stato dell'arte tecnologico in modo da stabilire una sorta di asticella (alta) sotto la quale non si può andare se si vuole star tranquilli in caso di esportazione dei dati in tali paesi. Giacomo correggimi se mi sono espresso male.
Aggiungerei solo che l'attività di documentare lo stato dell'arte, ideando misure tecniche efficaci nel garantire una protezione "completa ed efficace" dei dati personali a fronte di un loro trasferimento presso una sede "ostile" (in termini infosec), credo abbia un valore elevato indipendente dalla RFC del EDPB e dalla sua scadenza. Se qualcun'altro fosse interessato, non esiti a contattarmi.