studio tarantelli, consulenza informatica, SEO e reti informatiche

Studio Tarantelli > Articoli Informatica > Sicurezza > In quale Paese devono essere conservati i dati personali per il GDPR?

In quale Paese devono essere conservati i dati personali per il GDPR?

Paese devono essere conservati i dati personali

Hai mai pensato dove vengono conservati i dati delle tue e-mail, chat WhatsAPP, cloud come Google Drive o iCloud, backup del telefono, etc?

In questi ultimi giorni si parla della condivisione dei dati di WhatsAPP e della relativa modifica della Privacy Policy che ha fatto preoccupare tutto il mondo per un possibile utilizzo dei dati da parte di altre aziende tra cui Facebook.

Una chiara delucidazione su cosa avverrà in merito a questo aggiornamento arriva da una agenzia ANSA del 11 gennaio 2021 che richiama un Tweet di Niamh Sweeny, Director of Policy for WhatsApp che sembrerebbe rassicurare gli utenti europei che sono tutelati dal famoso GDPR, spesso odiato da molti sin dalla sua introduzione, ma che ora è risultato prezioso come scudo contro l’utilizzo "indiscriminato" dei dati personali.

In questo articolo però vogliamo far luce su un particolare aspetto che quasi nessuno valuta nella tutela dei dati personali ed aziendali, ovvero dell’importanza del luogo dove vengono conservati i dati dei dispositivi elettronici, come smartphone con le relative applicazioni come WhatsAPP, Telegram, Facebook, Google Drive, etc.

Dalle conclusioni che trarremo in questo testo, capirai che è fondamentale una corretta valutazione nella scelta del cloud, server, etc. in ottica di dove vengono salvati ed archiviati i tuoi dati.


Cosa dice il GDPR sul trasferimento dei dati

Innanzitutto è bene comprendere dove si applica il Regolamento Generale per la Protezione dei Dati (UE) 2016/679. Oltre a normare i dati trattati in Europa, come indicato all’art. 3 comma 2: "Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione."

L’art. 15 al comma 2 afferma: "Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate ai sensi dell'articolo 46 relative al trasferimento".

Nell’articolo citato 46 e 47 sono indicate le garanzie ritenute adeguate per il trasferimento dei dati e le norme vincolanti da rispettare.

Senza entrare nei dettagli giuridici propri dei professionisti accreditati alla Privacy, è importante sottolineare che anche se le società fornitrici di servizi informatici e di archiviazione si trovano in un territorio extra europeo sono tenute a rispettare il Regolamento europeo.

La sentenza della Corte di Giustizia Europea del 16 luglio 2020, il cosiddetto Privacy Shield ha sancito l’inadeguatezza della procedura adottata nel 2016 per il trasferimento dei dati tra l’Unione Europea e gli Stati Uniti, dove la maggior parte di aziende produttrici di applicazioni mobili, cloud, archiviazione, etc risiedono.

Con quanto sopra esposto ora hai più delineata l’importanza di dove sono localizzati i tuoi dati personali, con l’obiettivo di cercare soluzioni che risiedano nell’Unione Europea al fine di tutelarli ed avere garanzie di accesso, conservazione, etc che sono incluse nel Regolamento Europeo della Privacy.


L’integrazione dei servizi non è sempre un vantaggio

E’ facile per tutti noi utenti ricercare servizi inclusi integrati in pacchetti spesso offerti gratuitamente, ma che vengono effettivamente distribuiti con un diverso scopo, visto che il dato personale rappresenta una fonte di reddito per tutte le imprese che oggi hanno capacità e conoscenze per acquisire dati per poi rivenderli ad aziende esterne o utilizzarli per i propri fini di marketing mediante anche uso di profilazione.

Molti servizi cloud dei due leader di sistemi operativi degli smartphone Android e iOS come Google Drive e iCloud sono utilissimi e nonostante siano in linea per sicurezza visto che sono crittografati ed accessibili mediante credenziali, pongono seri dubbi sul luogo di conservazione dei dati sia per quanto indicato nel GPDR che alla luce della sentenza del Privacy Shield sopra menzionata.

Stesso discorso vale per WhatsAPP che ad oggi è l’applicazione più utilizzata, oltre alle email (vedi Gmail).

Non sarebbe preferibile utilizzare servizi "nostrani"? Certamente, oltre a valorizzare le imprese italiane, si hanno una serie di controlli che altrimenti sarebbero quasi nulli. Un esempio? Pensate di essere avvisati se nella società entra una azienda di un altro Paese (esempio Cina) e che magari possano anch’essi trattare i vostri dati personali per il proprio business?


Come scegliere il luogo di conservazione dei dati

Il principio cardine è quello di scegliere una soluzione informatica che sia congrua alle proprie necessità e prossimamente verrà dedicato un articolo sulle caratteristiche tecniche informatiche e di sicurezza, ma per quanto concerne il Paese di conservazione dei dati personali è sempre preferibile scegliere l’Italia in primis e poi l’Europa.

Certamente è noto che il costo dei servizi delle società europee sono più bassi rispetto a quelle italiane, ma il prezzo nella tutela del dato personale non deve essere un parametro di riferimento, bensì dovrebbe essere basato sulla sicurezza e sulla corretta fruizione.

Non ti interessa tutelare i tuoi dati personali e quindi preferisci scegliere i servizi gratuiti offerti dalle multinazionali? Ricorda che i dati personali non sono solamente della tua persona, ma sono inclusi anche quelli di altri, come quelli che hai nella rubrica del telefono, nelle email e chat che scambi quotidianamente o dei backup dei tuoi files, foto, etc.

In Italia sono presenti molte società valide che offrono servizi innovativi ed è più semplice anche la nomina a Responsabile Esterno del trattamento e proprio perché sono situate nel nostro territorio sono aderenti anche alle norme di fatturazione elettronica.

Un modo "furbo" di risolvere la questione è una attenta valutazione del tipo di dato trattato, delle finalità e l’uso che se ne fa se nella sfera personale o aziendale. Partendo da questo concetto è possibile suddividere le applicazioni e quindi scegliere in base al tipo di dato la soluzione da utilizzare valutando i rischi di ciascuna.

Se hai una azienda e non hai mai affrontato l’adeguamento Privacy è importante analizzare e circoscrivere tutte le tue necessità e su questo partire verso una conformità che ti aiuta tra l’altro nella valutazione del dato e nella scelta da compiere.

Se hai già fatto l’adeguamento è importante un controllo periodico perché gli applicativi e le soluzioni sono spesso in evoluzione e porre attenzione ad eventuali cambiamenti può risultare fondamentale per la sicurezza dei tuoi dati e quelli dei tuoi clienti.

Se vuoi saperne di più contattami!


Se pensi che questo articolo sia utile ai tuoi amici, condividilo sui social network.

condividi su facebookcondividi su linkedincondividi su twitter


14-01-2021

Autore: Mirko Tarantelli - consulente informatico e SEO - Data Scientist

© Tutti i diritti sono riservati. È vietato qualsiasi utilizzo, totale o parziale dei contenuti qui pubblicati.