Business

GDPR e Brexit: ma chi l’ha detto che i dati non possono stare fuori dall’Europa?

26 Marzo 2019

In questi giorni di discussioni e voti sulla Brexit ho letto post e sentito pareri circa una imminente catastrofe planetaria: se il Regno Unito dovesse uscire effettivamente dall’Europa, stando ad alcuni, sarebbe necessario spostare tutti i server e i data center a causa del GDPR, che richiede che i dati stiano all’interno dei confini europei.

Niente di più falso.

E ora ti spiego perché.

Sempre più spesso parlando con clienti e fornitori mi sento rivolgere la domanda “ma dove tenete i dati? Dov'è che le tue applicazioni li memorizzano?”

Magari anche tu che leggi hai sviluppato o vendi un servizio o una app che non memorizza i dati all’interno dell’Unione Europea. E la sola idea che tu debba riscrivere la app o smettere di vendere un servizio magari ti fa venire voglia di cambiare mestiere.

Purtroppo ci sono molti falsi miti, ignoranza e disinformazione sul tema. Benché in molti dicano, o ti vogliano far credere, che i dati non possono lasciare l’Europa, questo è semplicemente falso.

Fin dall’inizio uno degli obiettivi dell’Europa era la libera circolazione di denaro, persone e merci all’interno dell’Unione Europea. Ma l’Europa lavora anche per rendere libera la circolazione al di fuori dell’Unione.

Se si pensa all’importanza che rivestono i dati nell’economia di oggi, sarebbe quasi un controsenso per l’Europa bloccarli all’interno del suo perimetro.

E infatti nessun paese civile oggi impedisce ai propri cittadini di portare i dati all’estero.

Ma quest’ultimo è un mio pensiero. Cosa dice in proposito il regolamento?

 

Lente di ingrandimento e bandiera europea

 

Cosa dice di preciso il GDPR circa il trasferimento di dati al di fuori dell’Unione Europea?

 
Il Capo V del GDPR è intitolato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” e va dall’articolo 44 all’articolo 50.

Ora va bene tutto, ma se davvero ci fosse una direttiva che impedisce il trasferimento di dati fuori dalla UE era necessario scrivere 7 articoli sul tema?

Il principio generale che governa il trasferimento di dati all’estero è ben spiegato nell’articolo 44 che può essere sinteticamente riassunto come segue.

Se trasferisci “dati europei” al di fuori della UE devi accertarti che abbiano un livello di protezione paragonabile a quello che avrebbero sotto il GDPR.

In poche parole l’azienda o l’entità a cui tu affidi i dati deve essere in grado di proteggerli in conformità al GDPR o secondo principi equivalenti. E se ci pensi, a differenza di impedire il trasferimento di dati fuori UE, questo ha completamente senso.

Questo vincolo a trattare i dati “secondo il GDPR” potrebbe avere diverse incarnazioni, come per esempio:
 

  • l’entità a cui tu trasferisci i dati si trova in un paese che ha leggi, in tema di protezione dei dati, vincolati come il GDPR;
  • l’entità a cui tu trasferisci i dati accetta di proteggere i dati secondo i vincoli imposti dal GDPR;
  • l’entità a cui tu trasferisci i dati ha approvato e aderisce a un codice di condotta circa la protezione dei dati.

E a ben pensarci non è che il GDPR abbia rivoluzionato e legiferato circa il trasferimento di dati all’estero; diciamo che ha messo in un punto unico e armonizzato tante leggi e direttive che già erano in essere in diversi paesi europei.

 

Cosa significa, tecnicamente, il trasferimento?

 
Un trasferimento può avvenire quando i dati fisicamente lasciano un macchina europea e risiedono su un sistema fuori dall’Europa.

Ma potrebbe anche banalmente significare che un tecnico Australiano o Algerino che guarda i log aiuta un utente a risolvere un problema… anche in questo caso si stanno trasferendo dei dati.

Se le cose stanno così, cioè se ogni trasferimento di dati fuori dall’Europa fosse vietato, allora non si dovrebbe più avere rapporti con niente e nessuno che stia fuori dall’Europa, il che è impossibile.

E infatti il legislatore è consapevole di questa cosa, per cui tu puoi avere tutti i rapporti con chi vuoi a condizione che ci sia la garanzia della protezione dei dati secondo le indicazioni del GDPR.

 

Che fine ha fatto il Safe Harbour con gli americani?

 
Il Framework Safe Harbour fra USA e Europa circa il trasferimento dei dati è stato allungato, stirato, messo da parte, bistrattato e, mi sembra ma non lo posso garantire, ufficialmente dismesso il 6 ottobre 2015, diciamo che il suo posto è stato preso dal framework Privacy Shield fra Europa e USA.

Questo framework permette alle aziende statunitensi di autocertificarsi secondo una serie di principi e sottoporsi a determinati meccanismi di applicazione di questi principi.

Le aziende che aderiscono a questo framework sono considerate “sicure” per il trasferimento di dati dall’Europa.

Come fai sapere se un’azienda american aderisce al Privacy Shield?

Semplice: basta che visiti questo sito e verifichi se c’è l’azienda che ti interessa.

 

Quindi?

 
Il GDPR parla diffusamente di dati e protezione dei dati: come devi gestirli e che diritto hai di usarli.

Tuttavia non pone nessun vero vincolo insormontabile su dove debbano risiedere i dati.

L’utilizzo di standard accettati (come il Privacy Shield) o l’adesione a specifiche clausole contrattuali ti lasciano libero di mettere i tuoi dati dove ti pare.
 
P.S.: Io non sono un legale, questo è noto, ma non credo serva un legale per capire che i dati possono risiedere anche fuori dalla UE.

Autore
Gabriele Palumbo
Nasco a Bologna ma ho vissuto l’infanzia in Piemonte, l’adolescenza in Puglia e la maturità tra Umbria, Toscana, Puglia, Emilia-Romagna e Lombardia (e non è ancora finita). Ho avuto quindi modo di entrare in contatto con diversi ambienti e contesti sociali. Una formazione umanistica (Sociologia della devianza a Perugia e Relazioni Internazionali a Pisa), passione per la scrittura e decine di corsi sul mondo digital sono state ottime basi per entrare nel campo del marketing e della comunicazione. Nel 2015 pubblico il romanzo breve “Ci siamo solo persi di vista” e, a inizio 2019, pubblico la biografia della rock band “Ministri”, entrata in poche ore nei Top Sellers di Amazon. Un romanzo è in fase di scrittura. Terminati gli studi entro attivamente nel mondo della musica, organizzando svariati concerti e un festival, e della comunicazione digitale, gestendo la linea editoriale di blog e social e ricoprendo ruoli di copywriter e content editor. Nel 2017 entro nel collettivo Dischirotti. occupandomi dei contenuti web, mentre il 2018 mi vede prima nell’agenzia FLOOR concerti come booking agent per svariati artisti e poi in VOX concerti come direttore di produzione. Tornato a Bologna inizio a collaborare con l’etichetta discografica Manita Dischi come project manager e svolgo un tirocinio presso l’agenzia di marketing e comunicazione digitale Engine Lab, nel ruolo di content editor. Dal 2020 al 2023 ho collaborato, sia come editor che come contributor, con Fantastico.esclamativo, newsletter letteraria e rivista culturale creata da Alberto Guidetti de Lo Stato Sociale. Ogni due sabati invio “Capibara”, una newsletter che tratta di attualità e meme in un progetto che, occasionalmente, porto anche dal vivo sotto forma di Stand-Up. Attualmente ricopro il ruolo di Channel Marketing Manager in Achab, con particolare focus su contenuti editoriali, analytics, marketing automation e CMS.
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti