On 17/07/2020, Marco Ciurcina <ciurcina@studiolegale.it> wrote:
In data giovedì 16 luglio 2020 17:37:20 CEST, Giacomo Tesio ha scritto:
C'è (almeno :-D) un aspetto del GDPR che non capisco, Marco: qualcuno ha mai considerato che la copia dei dati non lascia tracce? E che quando le lascia, sempre possono essere cancellate?
Sospetto tu abbia letto nella parola "verificare" più di quel che intendevo. Mi riferivo alla verifica di compliance legale del trasferimento extra UE dei dati da realizzare alla luce della nuova sentenza.
In realtà pensavo al principio della "Effective and Complete Protection" introdotta dalla ECJ nella sentenza su Google Spain. L'ha portata alla mia attenzione Ilaria Buri citando, tra gli altri, questo paper: https://www.jipitec.eu/issues/jipitec-10-1-2019/4879 Visto che la copia di dati non lascia traccia, nessuna clausola contrattuale è in grado di fornire una protezione efficace e completa del data subject. Se, supponiamo per assurdo, il Ministero dell'Istruzione affidasse le email ufficiali degli istituti a Microsoft, sarebbe tecnicamente impossibile garantire che queste non vengano, in toto od in parte, copiate, analizzate e trasferite oltre i confini europei. Microsoft potrebbe violare tranquillamente il contratto, senza alcun timore che qualcuno possa dimostrarlo. Idem, se un'università o un ospedale utilizzasse Office 365 per trattare dati degli studenti. O anche semplicemente un sito internet italiano che utilizzi MitM istituzionalizzati come Cloudflare per "difendersi" da DDoS. Il punto è: visto che la copia dei dati non lascia traccia, l'unico modo per un controllore di garantire una protezione completa ed EFFICACE al data subject è impedire che questi dati vengano comunicati a terzi, mantenendoli ed elaborandoli su server sotto il proprio esclusivo controllo fisico. Cosa che non è nulla di trascendentale, semplicemente significa spostare l'elaborazione presso i dati invece che i dati presso chi li elabora. Ma impone un cambio di paradigma nell'ICT europeo: - meno cloud (amministrativamente) americani - più data center locali - maggiore distribuzione delle competenze e delle ricchezze Un cambiamento che oltre a tutelare la libertà dei cittadini e l'autonomia delle nostre democrazie, avvantaggerebbe nettamente l'Europa nella bilancia commerciale. E prima o poi, anche legislatori e giuristi si renderanno conto che una clausola contrattuale, "standard" o meno, non ha alcuna utilità pratica se la sua violazione non può essere dimostrata. Cosa mi sfugge? Giacomo