dizionario | 2023-01-30 · NEW: Appunta · Stampa · Cita: 'Doc 96287' · pdf |
Trasferimento dei dati |
abstract:
analisi:
index:
testo:
Quando si parla di Trasferimento dei dati si omette la nozione di dato personale.
Di fatto nel GDPR qualsiasi dato e' personale: se non lo e' direttamente, lo e' anche il dato che possa diventare personale in un secondo momento o quello correlato ad un dato personale.
Si parla di metadati, per riferirsi a dati associabili ad un singolo, anche con un id univoco temporaneo.
L'anonimizzazione e' possibile solo per i dati veramente aggregati, dove l'aggregazione impedisce anche in via ipotetica di attribuire un comportamento a singoli. Negli altri casi si parla di pseudonimizzazione.
Tra i Dati personali rientra espressamente l'ip address, indicato nei considerando e nelle linee guida SEMPRE come dato personale, perche' in un secondo momento puo' identificare qualcuno, anche non avendo gli ulteriori dati necessari.
L'idea e' che un dato e' personale anche se lo puo' diventare. Per il gestore di un piccolo sito l'ip address non serve quasi a nulla, ma se il gestore lo vendesse per profilare, sarebbe evidentemente un Trattamento di dati personali.
Che non tratti l'ip address per venderlo e per non identificarlo non significa che, per il GDPR, sia ugualmente personale. Potremo sicuramente sottolineare che non e' il Trattamento principale, e' secondario, ma questa valutazione fondata sul testo del GDPR Art. 37 attualmente non e' condivisa.
L'effetto dirompente e' sulla eprivacy e la profilazione: qualsiasi connessione a servizi negli USA, in pendenza di Schrems II, e' da considerarsi illecito e sanzionato se non viene dato il Consenso prima di iniziare. Indispensabile, per scaricare la responsabilità, e' anche indicare il link alla privacy policy del fornitore Terzo che riceve l'ip address del visitatore.
Per inciso: i servizi gratuiti offerti a terzi sono remunerati grandemente con questa modalità.
Da notare che framework, software e sistemi operativi tracciano ogni attività mandandola negli USA, dovrebbero richiedere un Consenso specifico e preventivo.
In poche parole il trasferimento dati extra UE, senza accordi internazionali validi, e' veramente difficile. Nel caso di sentenza che condanna lo shield, e' impossibile.
Testo del 2023-01-30
Dizionario Altre chiavi solo per gli iscritti