Business

GDPR e Brexit: ma chi l’ha detto che i dati non possono stare fuori dall’Europa?

26 Marzo 2019

In questi giorni di discussioni e voti sulla Brexit ho letto post e sentito pareri circa una imminente catastrofe planetaria: se il Regno Unito dovesse uscire effettivamente dall’Europa, stando ad alcuni, sarebbe necessario spostare tutti i server e i data center a causa del GDPR, che richiede che i dati stiano all’interno dei confini europei.

Niente di più falso.

E ora ti spiego perché.

Sempre più spesso parlando con clienti e fornitori mi sento rivolgere la domanda “ma dove tenete i dati? Dov'è che le tue applicazioni li memorizzano?”

Magari anche tu che leggi hai sviluppato o vendi un servizio o una app che non memorizza i dati all’interno dell’Unione Europea. E la sola idea che tu debba riscrivere la app o smettere di vendere un servizio magari ti fa venire voglia di cambiare mestiere.

Purtroppo ci sono molti falsi miti, ignoranza e disinformazione sul tema. Benché in molti dicano, o ti vogliano far credere, che i dati non possono lasciare l’Europa, questo è semplicemente falso.

Fin dall’inizio uno degli obiettivi dell’Europa era la libera circolazione di denaro, persone e merci all’interno dell’Unione Europea. Ma l’Europa lavora anche per rendere libera la circolazione al di fuori dell’Unione.

Se si pensa all’importanza che rivestono i dati nell’economia di oggi, sarebbe quasi un controsenso per l’Europa bloccarli all’interno del suo perimetro.

E infatti nessun paese civile oggi impedisce ai propri cittadini di portare i dati all’estero.

Ma quest’ultimo è un mio pensiero. Cosa dice in proposito il regolamento?

 

Lente di ingrandimento e bandiera europea

 

Cosa dice di preciso il GDPR circa il trasferimento di dati al di fuori dell’Unione Europea?

 
Il Capo V del GDPR è intitolato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” e va dall’articolo 44 all’articolo 50.

Ora va bene tutto, ma se davvero ci fosse una direttiva che impedisce il trasferimento di dati fuori dalla UE era necessario scrivere 7 articoli sul tema?

Il principio generale che governa il trasferimento di dati all’estero è ben spiegato nell’articolo 44 che può essere sinteticamente riassunto come segue.

Se trasferisci “dati europei” al di fuori della UE devi accertarti che abbiano un livello di protezione paragonabile a quello che avrebbero sotto il GDPR.

In poche parole l’azienda o l’entità a cui tu affidi i dati deve essere in grado di proteggerli in conformità al GDPR o secondo principi equivalenti. E se ci pensi, a differenza di impedire il trasferimento di dati fuori UE, questo ha completamente senso.

Questo vincolo a trattare i dati “secondo il GDPR” potrebbe avere diverse incarnazioni, come per esempio:
 

  • l’entità a cui tu trasferisci i dati si trova in un paese che ha leggi, in tema di protezione dei dati, vincolati come il GDPR;
  • l’entità a cui tu trasferisci i dati accetta di proteggere i dati secondo i vincoli imposti dal GDPR;
  • l’entità a cui tu trasferisci i dati ha approvato e aderisce a un codice di condotta circa la protezione dei dati.

E a ben pensarci non è che il GDPR abbia rivoluzionato e legiferato circa il trasferimento di dati all’estero; diciamo che ha messo in un punto unico e armonizzato tante leggi e direttive che già erano in essere in diversi paesi europei.

 

Cosa significa, tecnicamente, il trasferimento?

 
Un trasferimento può avvenire quando i dati fisicamente lasciano un macchina europea e risiedono su un sistema fuori dall’Europa.

Ma potrebbe anche banalmente significare che un tecnico Australiano o Algerino che guarda i log aiuta un utente a risolvere un problema… anche in questo caso si stanno trasferendo dei dati.

Se le cose stanno così, cioè se ogni trasferimento di dati fuori dall’Europa fosse vietato, allora non si dovrebbe più avere rapporti con niente e nessuno che stia fuori dall’Europa, il che è impossibile.

E infatti il legislatore è consapevole di questa cosa, per cui tu puoi avere tutti i rapporti con chi vuoi a condizione che ci sia la garanzia della protezione dei dati secondo le indicazioni del GDPR.

 

Che fine ha fatto il Safe Harbour con gli americani?

 
Il Framework Safe Harbour fra USA e Europa circa il trasferimento dei dati è stato allungato, stirato, messo da parte, bistrattato e, mi sembra ma non lo posso garantire, ufficialmente dismesso il 6 ottobre 2015, diciamo che il suo posto è stato preso dal framework Privacy Shield fra Europa e USA.

Questo framework permette alle aziende statunitensi di autocertificarsi secondo una serie di principi e sottoporsi a determinati meccanismi di applicazione di questi principi.

Le aziende che aderiscono a questo framework sono considerate “sicure” per il trasferimento di dati dall’Europa.

Come fai sapere se un’azienda american aderisce al Privacy Shield?

Semplice: basta che visiti questo sito e verifichi se c’è l’azienda che ti interessa.

 

Quindi?

 
Il GDPR parla diffusamente di dati e protezione dei dati: come devi gestirli e che diritto hai di usarli.

Tuttavia non pone nessun vero vincolo insormontabile su dove debbano risiedere i dati.

L’utilizzo di standard accettati (come il Privacy Shield) o l’adesione a specifiche clausole contrattuali ti lasciano libero di mettere i tuoi dati dove ti pare.
 
P.S.: Io non sono un legale, questo è noto, ma non credo serva un legale per capire che i dati possono risiedere anche fuori dalla UE.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.