Guida al GDPR per chi non ne vuol sapere: ma quante carrozze ha questo treno?


Ho appena finito di parlarvi amabilmente degli articoli 1 e 2 del primo capitolo di quell’avvincente romanzo che è il GDPR che già siamo arrivati all’articolo 3, e sembrava solo ieri che stavamo leggendo il titolo….

Beh torniamo quindi a noi.

Articolo 3

L’articolo 3 introduce, in un legalese da paura, l’ambito territoriale di pertinenza del GDPR che, tradotto in italiano, significa dove deve risiedere un soggetto per finire invischiato in tutto questo.

La lettura puntuale dell’articolo è un esercizio semantico interessante e non banale. Come a dire che è scritto in maniera abbastanza incomprensibile.

Cerchiamo di tirare un sospiro e capiamo cosa questo articolo ci porta, perché, purtroppo, è interessante.

Se leggiamo i 3 punti che compongono l’articolo capiamo che il regolamento si applica a coloro che “processano” i dati di persone fisiche residenti in Europa sia che siano in EU o meno. In particolare:

Se sei un soggetto in EU devi rispettare il GDPR anche se fai il trattamento dei dati all’estero, quindi se sei una società con ragione sociale in EU e stai raccogliendo dati di residenti europei ma hai i server in “Cina” o in “USA” devi rispettare il GDPR.

Se non sei un soggetto in EU ma lavori con dati di europei (cittadini o residenti) in Europa allora sei vincolato al GDPR, e non importa se il trattamento ha fini commerciali o meno. Questo significa, ad esempio, che Linkedin o Facebook o Google devono rispettare il GDPR per raccogliere i dati in EU.

La domanda che sicuramente tutti si pongono è: ma allora posso mettere i miei dati su Baidu? E Baidu è vincolato al rispetto del GDPR?

Ora a parte che non è detto che tutti sappiano chi è questo Baidu, il punto è interessante. Leggendo l’articolo 3 mi verrebbe da dire che si, anche Baidu (il Google cinese, vi aiuto) dovrebbe conformarsi. Il punto è, eventualmente, come esercitare il diritto di controllo e quindi le eventuali multe se il soggetto che raccoglie i dati europei risiede completamente al di fuori dell’UE senza avere in UE una rappresentanza legale.

Considerando la natura di Internet la domanda non è peregrina, andare a batter cassa o chieder conto del rispetto delle regole in Cina o USA non è decisamente un esercizio di facile applicazione.

Almeno l’articolo 3 ci definisce il perimetro territoriale cui fare riferimento: se hai a che fare con dati personali di cittadini eo residenti dell’Unione Europea anche se non sei una entità EU dovresti rispettare le regole.

Diciamo, per contro, che se un cittadino europeo va al di fuori dell’unione e lascia i suoi dati a aziende che niente hanno a che fare con l’unione europea non è coperto dal GDPR, il che non ci dovrebbe stupire… In teoria quando siamo, ad esempio, in un paese extra UE dobbiamo seguire le leggi del paese che ci ospita. Ad esempio, se ti mandano andiamo a quel paese, diciamo in UK, e guidi come in Italia poi non stupirti se questi ti dicono che stavi guidando contromano … a meno che guidi regolarmente contromano anche in Italia, allora sei il proprietario della Ford Focus bianca che tutte le mattine mi sorpassa e si fa un paio di km contromano per evitare la coda sulla statale della val Tidone 😊.

Ma torniamo al GDPR che, come al solito, ho divagato. Per finire la comprensione dell’articolo al solito vi suggerisco la lettura dei seguenti “recitals”:

22232425

In particolare ci viene comodo leggere il numero 22

(22) Qualsiasi trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del trattamento o responsabile del trattamento nel territorio dell’Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il trattamento avvenga all’interno dell’Unione. Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.

In cui si specifica al di la di qualsiasi ragionevole dubbio (ma quelli irragionevoli sono sempre accetti) che lo stabilimento (non balneare)

Dopo l’articolo 3 troviamo, incredibile a dirsi:

Articolo 4

Commovente a dirsi, le definizioni di quanto troviamo dopo arrivano con l’articolo 4.

Le varie definizioni possono essere accompagnate da i relativi “recitals” in particolare:

262728293031323334353637, 38, , 424348, 67, 8586868788, 91, 124, 150

Ovviamente i 26 punti fanno riferimento a diversi capitoli, quindi lacune definizione non le abbiamo incontrate ancora ma arriveranno solo dopo.

Attenzione attenzione, sapete cosa c’è dopo l’articolo 4?

Ovvio l’articolo 5 ma sopratutto:

Il capitolo 2, dove si parlerà dei principi su cui si basa il GDPR. 7 articoli che ci definiranno il bi ed il ba

Articolo 5 – Principi applicabili al trattamento di dati personali (39)
Articolo 6 – Liceità del trattamento (4041424344454647484950)
Articolo 7 – Condizioni per il consenso (32334243)
Articolo 8 – Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione (38)
Articolo 9 – Trattamento di categorie particolari di dati personali (515253545556)
Articolo 10 – Trattamento dei dati personali relativi a condanne penali e reati
Articolo 11 – Trattamento che non richiede l’identificazione (57)

Che dite li dobbiamo vedere tutti uno per uno o possiamo solo saltare la dove ci sono coe interessanti da capire?

Buona lettura…. 😊

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

Guida al GDPR per chi non ne vuol sapere: ma quante carrozze ha questo treno? was originally published on The Puchi Herald Magazine

Advertisements

Privacy Shield just born already dead


The new move coming form the other side of the Ocean (and yes I mean USA) is aligned with Mr. Trump approach to international agreements.

After Paris climate agreement Donald Trump presidency is shining again in its confrontation with old europe.

The target now is the Privacy Shield Agreement, the agreement that has been reached between USA and EU in order to protect the privacy of EU citizen whose data are collected by USA company.

It should not comes out as a surprise, historically the to side of the ocean have had a deep different approach to personal data protection.

Now accordingly to section 14 of the just signed Trump’s executive order “Executive Order on Public Safety”, USA law enforcement agencies have to explicitly strip out from their privacy policies all non US citizen and Resident.

In other words no protection is assured to the data associated to EU citizen stored in USA datacenters.

Under the Privacy Shield, EU citizens have rights to redress – including judicial redress – for improper disclosure of their data. The Judicial Redress Act (JRA) of 2015, which extended to EU citizens the protections of the Privacy Act of 1974, was critical to European acceptance of the Privacy Shield.

Last month, with a stroke of the pen that could unsettle EU privacy watchdogs, President Trump issued an executive order directing that federal agencies craft their privacy policies to exclude non-US citizens from Privacy Act protections.

This clearly broke the Privacy Shield agreement. For the few of you that remember the story this agreement comes out after the crashing of the previous SafeHarbour agreement.

Safe Harbour was declared ineffective by european supreme court of justice after the Prism activity form USA government was exposed. Now while europe is moving towards GDPR adoption and a strict set of rules in order to protect the privacy of EU citizen and resident, USA has loosen once again the rules exposing, as a matter of fact, EU citizen’s data to risk.

Considering the amount of data (from Facebook to Google, from Microsoft to Apple) that are under this protection act the magnitude of this is enormous, basically this unilateral USA decision put at stake most of the digital economy.

And just to be clear Privacy Shield was not perfect even from an European point of view: in September, an advocacy group known as Digital Rights Ireland asked the second highest European Court to annul the agreement on the grounds that it doesn’t provide enough privacy protection for EU data. Shortly thereafter, a French civil liberties group filed a similar suit. So the new Trump’s administration moves hardly will encounter an easy acceptance in EU.

Now to be fair the impact of the new Executive Order against the Privacy Shield is not clear, someone in Trump administration is suggesting that eventual access to EU citizen data would be not due to mass surveillance and therefore the agreement is not in jeopardy, but considering precedents and the current relationships between USA and EU those sound more like empty words to address the internal USA electoral base (see us EU fault, we’re doing right) than a clear and honest analysis.

Some legal experts, however, have downplayed that concern by pointing out that the order seems to include an exception for Privacy Shield. But given the recent skittishness of European regulators about U.S. surveillance, calls are mounting for the White House to publicly reassure Europeans the order doesn’t affect their data.

We will see what will happen.

For sure the distance between USA and EU have not been bigger, and at the moment (but i am in the EU side) we are in the side for protect our planet from climate change, protect privacy and freedom of citizen from unwanted access.

 

Dataprotection #EU-U.S. #Privacy Shield  #TrumpPrivacyAct #GDPR

 

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

Privacy Shield just born already dead was originally published on The Puchi Herald Magazine