Fwd: Corte Ue: invalida la decisione della Commissione che ha ritenuto adeguata la protezione offerta dallo scudo UE-USA per la privacy (sent C-311/18)
Boom! La bomba attesa è arrivata. :-) Si riaprono scenari interessanti. C'è da studiare e riflettere, sia per chi se ne occupa professionalmente sia (soprattutto) per i decisori politici. m.c. --------- Messaggio inoltrato --------- Oggetto: Corte Ue: invalida la decisione della Commissione che ha ritenuto adeguata la protezione offerta dallo scudo UE-USA per la privacy (sent C-311/18) Data: giovedì 16 luglio 2020, 07:44:27 CEST Da: Presseinfo-IT <Presseinfo-IT@curia.europa.eu> A: Pappalettere Eleonora <Eleonora.Pappalettere@curia.europa.eu> La Corte dichiara invalida la decisione 2016/1250 della Commissione sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy Essa giudica, invece, valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi (Sentenza nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland) In allegato il comunicato stampa in italiano. Eleonora Montserrat Pappalettere e Sofia Aktipis Unità Stampa e Informazione – Sezione IT Direzione della comunicazione [cid:image002.png@01D52C0D.E2ED57E0] Rue du Fort Niedergrünewald L-2925 Luxembourg curia.europa.eu<https://www.curia.europa.eu/> Tél : +352 4303 8575/3552 [twitter_on]<https://twitter.com/eucourtpress?ref_src=twsrc%5etfw> [youtube_on] <https://www.youtube.com/channel/UCTfyrAlsJRZF1nGLLgnDiMA> [cid:image005.png@01D52C0D.E2ED57E0] <https://itunes.apple.com/lu/app/cvria/ id1099088434?l=fr&mt=8> [cid:image006.png@01D52C0D.E2ED57E0] <https:// play.google.com/store/apps/details? id=eu.europa.publications.cjeu&hl=en&pcampaignid=MKT-Other-global-all-co- prtnr-py-PartBadge-Mar2515-1> ------------------------------------------
Sarà in particolare interessante approfondire la parte della sentenza (e le sue implicazioni) che il comunicato sintetizza così: "La Corte constata che la decisione 2010/87.. ..stabilisce un obbligo per l’esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato, e inoltre che la decisione impone al suddetto destinatario di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.". Ho la sensazione (da approfondire leggendo la sentenza, ancora non disponibile) che sarà molto più oneroso verificare la legittimità del trasferimento di dati a fornitori di servizi USA.. m.c. In data giovedì 16 luglio 2020 10:16:45 CEST, Marco Ciurcina ha scritto:
Boom!
La bomba attesa è arrivata.
:-)
Si riaprono scenari interessanti.
C'è da studiare e riflettere, sia per chi se ne occupa professionalmente sia (soprattutto) per i decisori politici.
m.c.
--------- Messaggio inoltrato ---------
Oggetto: Corte Ue: invalida la decisione della Commissione che ha ritenuto adeguata la protezione offerta dallo scudo UE-USA per la privacy (sent C-311/18) Data: giovedì 16 luglio 2020, 07:44:27 CEST Da: Presseinfo-IT <Presseinfo-IT@curia.europa.eu> A: Pappalettere Eleonora <Eleonora.Pappalettere@curia.europa.eu>
La Corte dichiara invalida la decisione 2016/1250 della Commissione sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy
Essa giudica, invece, valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi
(Sentenza nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland)
In allegato il comunicato stampa in italiano.
Eleonora Montserrat Pappalettere e Sofia Aktipis Unità Stampa e Informazione – Sezione IT Direzione della comunicazione
[cid:image002.png@01D52C0D.E2ED57E0]
Rue du Fort Niedergrünewald L-2925 Luxembourg curia.europa.eu<https://www.curia.europa.eu/> Tél : +352 4303 8575/3552 [twitter_on]<https://twitter.com/eucourtpress?ref_src=twsrc%5etfw> [youtube_on] <https://www.youtube.com/channel/UCTfyrAlsJRZF1nGLLgnDiMA> [cid:image005.png@01D52C0D.E2ED57E0] <https://itunes.apple.com/lu/app/cvria/ id1099088434?l=fr&mt=8> [cid:image006.png@01D52C0D.E2ED57E0] <https:// play.google.com/store/apps/details? id=eu.europa.publications.cjeu&hl=en&pcampaignid=MKT-Other-global-all-co- prtnr-py-PartBadge-Mar2515-1>
------------------------------------------
Il July 16, 2020 8:40:02 AM UTC, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
Ho la sensazione (da approfondire leggendo la sentenza, ancora non disponibile) che sarà molto più oneroso verificare la legittimità del trasferimento di dati a fornitori di servizi USA..
C'è (almeno :-D) un aspetto del GDPR che non capisco, Marco: qualcuno ha mai considerato che la copia dei dati non lascia tracce? E che quando le lascia, sempre possono essere cancellate? La copia di dati non lascia traccia. Da un punto di vista tecnico esiste un solo modo¹ attraverso cui il controller dei dati può garantire che i diritti del data subject non vengano violati da un processor o un subprocessor: avere il controllo fisico esclusivo (e sicuro) dei server su cui si trovano i dati e su cui avvengono le elaborazioni (nonché, ovviamente, della rete che li collega). Ciò significa che il controller non invia, in alcuna forma, i dati al processor, ma il data processor invia il software di analisi al controller, che lo esegue sulle proprie macchine e sotto il proprio controllo. A quanto ne so, questo è l'unico modello di data-processing tecnicamente compatibile con il GDPR. Lo storage di dati su server di terze parti sarebbe possibile solo in forma cifrata, con una cifratura molto forte (ovvero computazionalmente costosa) le cui chiavi siano sotto il controllo esclusivo del controller, ma l'elaborazione dei dati stessi può avvenire solo sotto il controllo diretto del controller, pena l'inefficacia di fatto di qualsiasi protezione del data subject. Mi sfugge qualcosa che tu sappia? Giacomo (1) la crittografia omomorfica è ancora troppo lenta e sospetto che attraverso timing attacks sia possibile ottenere parte dei dati cifrati.
In data giovedì 16 luglio 2020 17:37:20 CEST, Giacomo Tesio ha scritto:
Il July 16, 2020 8:40:02 AM UTC, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
Ho la sensazione (da approfondire leggendo la sentenza, ancora non disponibile) che sarà molto più oneroso verificare la legittimità del trasferimento di dati a fornitori di servizi USA..
C'è (almeno :-D) un aspetto del GDPR che non capisco, Marco: qualcuno ha mai considerato che la copia dei dati non lascia tracce? E che quando le lascia, sempre possono essere cancellate? Sospetto tu abbia letto nella parola "verificare" più di quel che intendevo. Mi riferivo alla verifica di compliance legale del trasferimento extra UE dei dati da realizzare alla luce della nuova sentenza. m.c.
La copia di dati non lascia traccia.
Da un punto di vista tecnico esiste un solo modo¹ attraverso cui il controller dei dati può garantire che i diritti del data subject non vengano violati da un processor o un subprocessor: avere il controllo fisico esclusivo (e sicuro) dei server su cui si trovano i dati e su cui avvengono le elaborazioni (nonché, ovviamente, della rete che li collega).
Ciò significa che il controller non invia, in alcuna forma, i dati al processor, ma il data processor invia il software di analisi al controller, che lo esegue sulle proprie macchine e sotto il proprio controllo.
A quanto ne so, questo è l'unico modello di data-processing tecnicamente compatibile con il GDPR.
Lo storage di dati su server di terze parti sarebbe possibile solo in forma cifrata, con una cifratura molto forte (ovvero computazionalmente costosa) le cui chiavi siano sotto il controllo esclusivo del controller, ma l'elaborazione dei dati stessi può avvenire solo sotto il controllo diretto del controller, pena l'inefficacia di fatto di qualsiasi protezione del data subject.
Mi sfugge qualcosa che tu sappia?
Giacomo
(1) la crittografia omomorfica è ancora troppo lenta e sospetto che attraverso timing attacks sia possibile ottenere parte dei dati cifrati.
Il 17 luglio 2020 09:25:46 CEST, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
In data giovedì 16 luglio 2020 17:37:20 CEST, Giacomo Tesio ha scritto:
Il July 16, 2020 8:40:02 AM UTC, Marco Ciurcina <ciurcina@studiolegale.it> ha scritto:
Ho la sensazione (da approfondire leggendo la sentenza, ancora non disponibile) che sarà molto più oneroso verificare la legittimità del trasferimento di dati a fornitori di servizi USA..
C'è (almeno :-D) un aspetto del GDPR che non capisco, Marco: qualcuno ha mai considerato che la copia dei dati non lascia tracce? E che quando le lascia, sempre possono essere cancellate? Sospetto tu abbia letto nella parola "verificare" più di quel che intendevo. Mi riferivo alla verifica di compliance legale del trasferimento extra UE dei dati da realizzare alla luce della nuova sentenza. m.c.
Puntuale arriva anche il commento, estremamente interessante, di Bruno Saetta su valigiablu: https://www.valigiablu.it/corte-giustizia-europa-privacy-shield rob
On 17/07/2020, Marco Ciurcina <ciurcina@studiolegale.it> wrote:
In data giovedì 16 luglio 2020 17:37:20 CEST, Giacomo Tesio ha scritto:
C'è (almeno :-D) un aspetto del GDPR che non capisco, Marco: qualcuno ha mai considerato che la copia dei dati non lascia tracce? E che quando le lascia, sempre possono essere cancellate?
Sospetto tu abbia letto nella parola "verificare" più di quel che intendevo. Mi riferivo alla verifica di compliance legale del trasferimento extra UE dei dati da realizzare alla luce della nuova sentenza.
In realtà pensavo al principio della "Effective and Complete Protection" introdotta dalla ECJ nella sentenza su Google Spain. L'ha portata alla mia attenzione Ilaria Buri citando, tra gli altri, questo paper: https://www.jipitec.eu/issues/jipitec-10-1-2019/4879 Visto che la copia di dati non lascia traccia, nessuna clausola contrattuale è in grado di fornire una protezione efficace e completa del data subject. Se, supponiamo per assurdo, il Ministero dell'Istruzione affidasse le email ufficiali degli istituti a Microsoft, sarebbe tecnicamente impossibile garantire che queste non vengano, in toto od in parte, copiate, analizzate e trasferite oltre i confini europei. Microsoft potrebbe violare tranquillamente il contratto, senza alcun timore che qualcuno possa dimostrarlo. Idem, se un'università o un ospedale utilizzasse Office 365 per trattare dati degli studenti. O anche semplicemente un sito internet italiano che utilizzi MitM istituzionalizzati come Cloudflare per "difendersi" da DDoS. Il punto è: visto che la copia dei dati non lascia traccia, l'unico modo per un controllore di garantire una protezione completa ed EFFICACE al data subject è impedire che questi dati vengano comunicati a terzi, mantenendoli ed elaborandoli su server sotto il proprio esclusivo controllo fisico. Cosa che non è nulla di trascendentale, semplicemente significa spostare l'elaborazione presso i dati invece che i dati presso chi li elabora. Ma impone un cambio di paradigma nell'ICT europeo: - meno cloud (amministrativamente) americani - più data center locali - maggiore distribuzione delle competenze e delle ricchezze Un cambiamento che oltre a tutelare la libertà dei cittadini e l'autonomia delle nostre democrazie, avvantaggerebbe nettamente l'Europa nella bilancia commerciale. E prima o poi, anche legislatori e giuristi si renderanno conto che una clausola contrattuale, "standard" o meno, non ha alcuna utilità pratica se la sua violazione non può essere dimostrata. Cosa mi sfugge? Giacomo
On 17/07/2020, Marco Ciurcina <ciurcina@studiolegale.it> wrote:
In data giovedì 16 luglio 2020 17:37:20 CEST, Giacomo Tesio ha scritto:
C'è (almeno :-D) un aspetto del GDPR che non capisco, Marco: qualcuno ha mai considerato che la copia dei dati non lascia tracce? E che quando le lascia, sempre possono essere cancellate?
Sospetto tu abbia letto nella parola "verificare" più di quel che intendevo. Mi riferivo alla verifica di compliance legale del trasferimento extra UE dei dati da realizzare alla luce della nuova sentenza.
In realtà pensavo al principio della "Effective and Complete Protection" introdotta dalla ECJ nella sentenza su Google Spain. L'ha portata alla mia attenzione Ilaria Buri citando, tra gli altri, questo paper: https://www.jipitec.eu/issues/jipitec-10-1-2019/4879 Visto che la copia di dati non lascia traccia, nessuna clausola contrattuale è in grado di fornire una protezione efficace e completa del data subject. Se, supponiamo per assurdo, il Ministero dell'Istruzione affidasse le email ufficiali degli istituti a Microsoft, sarebbe tecnicamente impossibile garantire che queste non vengano, in toto od in parte, copiate, analizzate e trasferite oltre i confini europei. Microsoft potrebbe violare tranquillamente il contratto, senza alcun timore che qualcuno possa dimostrarlo. Idem, se un'università o un ospedale utilizzasse Office 365 per trattare dati degli studenti. O anche semplicemente un sito internet italiano che utilizzi MitM istituzionalizzati come Cloudflare per "difendersi" da DDoS. Il punto è: visto che la copia dei dati non lascia traccia, l'unico modo per un controllore di garantire una protezione completa ed EFFICACE al data subject è impedire che questi dati vengano comunicati a terzi, mantenendoli ed elaborandoli su server sotto il proprio esclusivo controllo fisico. Cosa che non è nulla di trascendentale, semplicemente significa spostare l'elaborazione presso i dati invece che i dati presso chi li elabora. Ma impone un cambio di paradigma nell'ICT europeo: - meno cloud (amministrativamente) americani - più data center locali - maggiore distribuzione delle competenze e delle ricchezze Un cambiamento che oltre a tutelare la libertà dei cittadini e l'autonomia delle nostre democrazie, avvantaggerebbe nettamente l'Europa nella bilancia commerciale. E prima o poi, anche legislatori e giuristi si renderanno conto che una clausola contrattuale, "standard" o meno, non ha alcuna utilità pratica se la sua violazione non può essere dimostrata. Cosa mi sfugge? Giacomo
participants (3)
-
Giacomo Tesio -
Marco Ciurcina -
Roberto Resoli