Il Prof Pierluigi Perri sulla sentenza Schrems II a 6 mesi dalla sua adozione

La sentenza Schrems II ha un notevole impatto sul trasferimento dei dati fuori dello SEE e a 6 mesi di distanza ne discutiamo con il Prof Perri dell’Università di Milano.

Potete ascoltare una breve analisi dell’argomento nel podcast “Diritto al Digitale” di seguito e su 📲 Apple Podcast, 🤖 Google Podcast, 🎧 Spotify e 🛒 Audible.

Pierluigi Perri è professore di Information security, privacy and protection of special categories of data all’Università di Milano di cui è anche DPO. Quindi Pierluigi Perri ha certamente una posizione privilegiata nel comprendere gli effetti della sentenza della Corte di Giustizia europea sul caso Schrems II relativo al trasferimento dei dati personali al di fuori dello Spazio economico europeo e di come le aziende stanno reagendo a questo cambiamento.

Ne ha discusso in questo podcast con Giulio Coraggio e Tommaso Ricci di DLA Piper con un approccio decisamente aperto e spontaneo, condito dalla sua simpatia che rende ogni discussione sempre molto piacevole.

Sulla sentenza Schrems II, è possibile leggere l’articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?” e potete iscrivervi alla nostra newsletter “Innovation Law Insights”, scrivendo a eventi@dlapiper.com

La trascrizione del podcast è disponibile di seguito:

Giulio Coraggio: Buongiorno a tutti, sono Giulio Coraggio, responsabile del settore Technology dello studio legale DLA Piper e sono qui oggi con il mio collega, Tommaso Ricci, e con un ospite d’eccezione, il professor Pierluigi Perri, Professore di sicurezza informatica privacy e protezione dei dati sensibili all’Università di Milano. Pierluigi grazie di aver accettato il nostro invito.

Pierluigi Perri: Grazie a voi veramente per l’invito e grazie per la generosa presentazione, è davvero un piacere essere con voi.

Giulio Coraggio: Ti ringraziamo per averci invitato a fare delle presentazioni durante i corsi che sono sempre innovativi. Ne parlavamo prima di iniziare questo podcast, un corso in privacy e protezione della sicurezza informatica quando noi facevamo l’Università non esisteva e forse neanche ai tempi in cui la faceva Tommaso. Quindi siete degli innovatori comunque in un epoca in cui il cambiamento è veloce.
Ecco qui ci siamo qui per discutere con te la famosissima sentenza Schrems II che in qualche modo ci ha rovinato l’estate perché era il 16 luglio 2020, il compleanno di mia figlia.

Schrems dopo aver invalidato per fatti invalidare il Safe Harbour nel 2015 ha attaccato una cosa più grossa perché non solo ha affatto invalidare dalla Corte di Giustizia europea il Privacy Shield, ma la corte di giustizia europea ha anche detto che le cosiddette Standard Contractual Clauses potrebbero non essere sempre un idoneo strumento di trasferimento dei dati verso Paesi terzi in primis verso gli Stati Uniti perché richiedono una valutazione caso per caso in quanto la normativa del Paese che riceve i dati potrebbe porre nella situazione in cui il data importar non è in grado di conformarsi agli obblighi di cui alle Clausole Contrattuali Standard.

La prima domanda che ti farei è se ti aspettavi una sentenza con una portata così ampia forse l’invalidazione del privacy shield ce l’aspettavamo, ma un’estensione alle Clausole Contrattuali Standard te l’aspettavi?

Pierluigi Perri: Ma guarda, è facile innanzitutto fare il profeta dopo che i fatti sono avvenuti. Quindi non voglio arrogarmi delle capacità vaticinatorie che non posseggo. Per cui diciamo che in realtà non ci avevo pensato, ragionando ex post mi verrebbe da dire che però è coerente con tutto quello che stiamo vedendo e con tutto quello che stiamo vedendo. Intendo le linee guida, le opinion dello European Data Protection Board, le chiavi di lettura fornite da molte autorità garanti e anche da alcune corti nazionali che vanno a privilegiare un principio di effettività nella data protection. Quindi si va un po’ a scalzare una visione più formalistica più fatta di adempimenti che molte volte, poi diciamocelo francamente, alcuni facevano meccanicamente. Poi lì stava veramente alla bravura del consulente nel far emergere che dietro quel adempimento ci doveva anche essere la sostanza e che non si trattava solo di di carta che veniva poi messa in un cassetto pronta per essere ostentata magari dopo una richiesta di informazioni o magari una visita ispettiva. Quindi si spinge ancora di più verso quello che un principio fondamentale dell’effettività delle scelte, dell’accountability del titolare. E in questo senso sono anche le Clausole Contrattuali Standard che rischiavano di diventare uno strumento automatico, cioè adottato senza particolari riflessioni. Giustamente richiedono questa verifica di concreta protezione dei dati personali, cioè cosa c’è dietro questa scambio di intenti se vogliamo chiamarlo così. Gli impegni che l’esportatore e l’importatore assumevano e soprattutto se l’importatore è in grado di adempiere a questi impegni che stava assumendo contrattualmente. Che poi è proprio il punto sul quale la Corte di Giustizia si è interrogata perché sappiamo che andava a toccare un tema molto delicato quale la national security e i poteri dati a determinate agenzie federali di intromissione in alcuni database di alcuni soggetti soprattutto provider.

Giulio Coraggio: E assolutamente poi se guardiamo alle FAQs che ha pubblicato il Board che ha esteso la portata della decisione addirittura alle Binding Corpore Rules, se non ti trovi in un Paese che ha avuto una decisione di adeguatezza. Questa valutazione caso per caso la devi necessariamente fare. Quindi è interessante quello che dicevi tu sull’approccio automatico che si applicava prima. Io firmavo un altro pezzo di carta, ma non cambiamo la mia operatività perché facevo quello che facevo prima sperando che non emergessero delle contestazioni. Quindi è un qualcosa che un po’ responsabilizza tutte le parti coinvolte secondo te.

Pierluigi Perri: Il messaggio è passato, ma siamo a sei mesi della sentenza, forse è troppo presto ancora secondo me, è un po’ difficile scalzare questo modo di pensare. Se tu ci pensi anche l’oggetto diciamo il punto di partenza della discordia cioè la risposta che ha dato l’autorità garante irlandese alle prime istanze avanzate dal ricorrente è proprio frutto di questi automatismi. L’autorità garante irlandese in maniera molto tecnica ha detto “guarda c’è questo strumento, questo strumento è stato approvato quindi per me va bene tendenzialmente come modalità di trattamento dei dati personali”. Per cui credo che sia ancora presto per parlare di una rivoluzione culturale profonda perché se se c’è un qualcosa che è difficile da modificare sono determinati abitudini o determinati workflow che erano stati ormai digeriti in un certo modo anche perché è una modifica che richiede necessariamente una incontro di volontà, cioè non basta che modifichi i propri atteggiamenti e le proprie modalità di lavoro semplicemente l’esportatore, ma ovviamente bisogna trovare un importatore che sia ricettivo rispetto a queste modifiche e che soprattutto possa dare quelle garanzie che vengono sempre richieste affinché dietro questa nuova, se vogliamo regolamentazione, dell’esportazione dei dati ci sia della sostanza cioè ci sia un’effettiva possibilità di proteggere questi dati in qualche modo.

Giulio Coraggio: Pierluigi, proprio collegandomi a questa tua risposta e quindi in relazione a queste nuove indicazioni contenute nella sentenza, qual è la tua sensazione in relazione alle raccomandazioni dello European Data Protection Board e anche ai vari effetti e alle indicazioni che sono state fornite dagli altri garanti, cioè non trovi che sia un approccio forse un po’ distaccato dalla realtà, una realtà in cui la stragrande maggioranza dei fornitori è effettivamente basata fuori dello Spazio Economico Europeo (SEE).

Pierluigi Perri: Ecco diciamo che io affronterei le questioni separatamente nel senso che da un lato mettere lo European Data Protection Board che forse, con una affermazione che rischia di rendermi impopolare, direi che non mi è dispiaciuto il suo intervento e dall’altro lato metterei quella che è stata un po’ l’avanzare se vogliamo caotico che almeno alcune autorità garanti nazionali hanno avuto per cui abbiamo avuto veramente delle pronunce di senso opposto. Da chi diceva da oggi dovete smettere di trattare dati personali verso Paesi terzi a chi invece diceva basta se avete già iniziato i trasferimenti in essere continuate, ma pensateci bene prima di attivarne di nuovi. A chi invece ha detto la vediamo cosa succede e un po’ in questo atteggiamento delle varie autorità garanti secondo me si è andato un po’ a tradire lo spirito del regolamento che vuole che l’Europa si muova in maniera compatta.

Ci sono adesso gli strumenti, ci sono le sedi dove le autorità garanti si possono confrontare e quindi probabilmente era meglio non dare questo tipo di segnali contrastanti. Lo European Data Protection Board ha ripreso se vogliamo un concetto che era espresso molto bene nella direttive che secondo me è prezioso, ovverosia che ogni misura che noi prendiamo in considerazione non la possiamo mai considerare solo da un punto di vista puramente legale, nel senso che non può mai risolversi in una mera clausola contrattuale. Con tutto il rispetto che che bisogna portare a delle clausole contrattuali che sono frutto di negoziazioni e di notti insonni però molte volte rischiano di fermarsi a quello che è la carta. E invece lo European Data Protection Board spinge verso quelle che sono delle misure tecniche, delle misure organizzative che devono essere adottate a corredo di quelle che possono essere poi le misure più strettamente legali. Se ci pensiamo secondo me questa probabilmente è l’unica strada perché il tema che è stato sollevato è che magari non è stato sufficientemente dibattuto nella sentenza, anche perché sarebbe diventata poi una sentenza se vogliamo politica, è però un tema politico più che tecnico e giuridico.

Nel senso che noi andiamo a toccare determinati aspetti dove la sovranità degli stati ovviamente deve essere lasciata ampia e nessuno Stato andrebbe a rinunciare a una sovranità su come va a gestire la sua national security. Del resto, perdonatemi questo spero che sia l’unico accenno polemico che farò in questa nostra chiacchierata, anche l’Europa non è che sia scevra o alcuni Paesi europei non è che siano scevri da programmi intercettazioni e di controllo dei dati dei non solo dei cittadini, ma diciamo di tutti quelli che transitano sui loro provider e sulle loro reti non molto diversi da quelli che sono adottati negli Stati Uniti d’America. La stessa Inghilterra diverse volte è stata bastonata dalla Corte Europea dei Diritti dell’Uomo e dalla Corte Europea di Giustizia proprio per determinati programmi di diciamo raccolta di informazioni particolarmente invasivi che venivano adottati.

Quindi secondo me la strada che ha cominciato quantomeno a delineare lo European Data Protection Board è l’unica strada che rende fattibile qualcosa dal punto di vista dell’esportatore, fatto salvo quello che giustamente rilevavi cioè il potere dell’esportatore di chiedere a un importatore che paradossalmente è la parte forte del contratto perché ti eroga quel servizio che solo lui tipo erogare o che solo lui ti può erogare con quella determinato livello di costo che magari collima perfettamente con quello che può essere il tuo budget oppure con quel tipo di prodotto che è quello che serve esattamente per le tue esigenze e qui andiamo incontro a un altro tema molto centrale che quello della parità delle armi tra esportatore e importatore che molte volte non c’è, anche se devo dire in linea di massima una certa ragionevolezza da parte degli importatori comincia a vedersi però secondo me, come fu per i social media, c’è un tema di negoziazione che deve essere affrontato più chiuso una dinamica europea verso gli Stati Uniti in particolare non dal singolo verso il fornitore.

Giulio Coraggio: Allora sono d’accordo con te che il board non aveva moltissime opzioni sul tavolo con una sentenza da parte della Corte di Giustizia così netta. E’ anche vero che ti dò ragione sul punto che non ci sono molte alternative per fornitori di grandi dimensioni rispetto a soluzioni europee. Cioè forse il board manca di un’analisi della realtà concreta dove certi servizi, come dici tu, li spartiscono soltanto fornitori americani. Chiedere le misure di sicurezza richieste dal Board comporta una lievitazione dei costi e tutto sta avvenendo in un periodo di difficoltà economica dovuta al covid-19.

Cioè noi stiamo assistendo soggetti di grandi dimensioni che possono imporre alla propria controparte la criptazione con la “bring your own key”, cioè la criptazione tale che la chiave di decriptazione l’abbia soltanto il cliente, ma si trova anche in difficoltà a imporre delle modifiche contrattuali a queste grandi controparti americani e in generale internazionali e se dicono che queste sono le nostre condizioni di generali se non gli va bene vanne da un altro, ma con l’altro incontreranno gli stessi problemi e comunque secondo me dire allora che ti trovi in quello scenario dove devi sospende il trattamento processi è difficile.

Tommaso Ricci: Secondo me anzi il punto di vista delle aziende è che c’è oggi una situazione di incertezza e che si possono prendere in considerazione delle alternative che ad oggi purtroppo non ci sono di pari livello, anche perché non ci dimentichiamo che queste sono raccomandazioni del Board e non hanno forza di legge e quindi anche come strumento per facilitare la negoziazione non equivale avere un ordini prescrittivo della legge.

Pierluigi Perri: purtroppo se vi aspettavate una persona che andasse contro quello che avete detto, io sono invece assolutamente d’accordo con quello che avete detto e da diverso tempo dico che quello che manca proprio l’alternativa concreta. Finora si è sempre si è sempre stati molto bravi e questo è un appunto che faccio sulla pars destruens, mentre pochissimo è stato fatto poi sull’apache costruens nonostante e questa è una cosa che va anche ma detta dal mio punto di vista di osservatore anche del settore ricerca nonostante i fondi europei per creare delle alternative siano stati distribuiti in questi anni diversi programmi quadro avevano come obiettivo proprio quello di poterci dare degli strumenti alternativi e riguadagnare un minimo di indipendenza tecnologica. Però sappiamo che l’innovazione è molte volte legata a una serie di circostanze di cui la disponibilità economiche di fondi costituisce solo una delle circostanze che si deve venire a verificare affinché ci sia ci sia innovazione quindi a fronte di alcuni strumenti che adesso timidamente cominciano a farsi vedere anche in Europa e potrebbero essere adottati in una dinamica europea concordo con voi che ci sono delle soluzioni degli strumenti che non sono assolutamente sostituibili, almeno non sono sostituibili con quei livelli di efficienza quindi se alla fine questa sentenza si risolvesse nella opportunità di aprire un confronto serio e di decidere anche le politiche che devono muovere questo recupero dell’innovazione dell’offerta di servizi all’interno dell’Europa. Mi va benissimo, però ovviamente questo non deve diventare poi un incubo per i titolari del trattamento che nell’attesa che venga risolta ancora una volta una tematica prettamente politica loro si trovano in mezzo al guado a non saper come gestire dei problemi concreti con il timore di una possibile ricorso da parte di un interessato o di ispezione da parte di un’autorità garante particolarmente solerte.

Giulio Coraggio: Questo è interessante. Prima di iniziare le registrazioni, parlavamo di come la privacy divenisse uno strumento che a volte viene abusato dalle persone per finalità che da un punto di vista etico sono contrarie all’interesse collettivo. Sono assolutamente d’accordo con te, l’avevi accennato prima, secondo te qualcosa è cambiato nell’approccio delle aziende in sei mesi, anche prima delle raccomandazioni del board, ma sarà un pochino la sensazione che avrebbero emanato delle nuove Clausole Contrattuali Standard che avrebbero risolto tutto, che si doveva firmare un altro contrattino e avevo risolto tutto. Poi le raccomandazioni sono state pubblicate, poi sono state pubblicate le nuove Clausole Contrattuali Standard che dicono, guardate non è che queste sono sostitutive della valutazione di idoneità del trasferimento, è un po’ le aziende sono rimaste spaesate. E’ vero che quello che diceva Tommaso che si tratta solo di raccomandazioni, ma quantomeno devi dimostrare di esser ti conformato ai principi definiti dal GDPR e dalla sentenza della Corte di Giustizia. C’è questa presa di consapevolezza dal tuo punto di vista o è ancora troppo presto perchè sei mesi non sono abbastanza.

Pierluigi Perri: Sì sei mesi sono tanti però temo che ci sia ancora della strada da fare da parte delle aziende, nel senso che come sempre qui poi la differenza la fa la sensibilità del titolare e la bravura di chi assiste il titolare e gli fa capire quali sono le motivazioni che potrebbero giustificare determinati tipi di interventi e soprattutto che riesca ad inserirsi in maniera non troppo disruptive, se vogliamo, su quelli che sono i normali flussi di lavoro. Quindi mi ricollego a quello che diceva Tommaso io personalmente sono contento che lo European Data Protection Board abbia fatto delle raccomandazioni, non abbia utilizzato degli strumenti più prescrittivi perché a un certo punto dobbiamo scegliere una strada. Se la strada è quella dell’accountability, allora il titolare deve essere lasciato libero, in linea di massima, di dover seguire dei principi, ma per il resto io a seconda del singolo trattamento che devo andare a fare potrò fare delle decisioni che si conformeranno in maniera più o meno forte a quelle determinate raccomandazioni. Quello che hanno fatto le aziende fino ad ora per quella che è la mia che la mia visione poi magari voi avete anche una visione più ampia per carità è che al momento siamo ancora in quella fase che definirei di preparazione, sono stati fatti diversi censimenti, sono state fatte alcune valutazioni, sappiamo che ormai tutto quanto deve essere soggetto a una valutazione di impatto, ogni tema che diventa un po controverso in ambito data protection vabbè fai una valutazione di impatto. Poi più avanti non vorrei che tornassimo al punto del compitino delle Clausole Contrattuali Standard di mano ferma ma perché la validazione del trasferimento deve essere convincente. Deve essere convincente, deve essere mantenuta aggiornata e deve tener conto di tutte quelle che sono le modifiche che possono intervenire in una determinata ipotesi di trattamento quindi non è un documento che compilo magari anche bene la prima volta e poi ancora una volta finisce nel cassetto a prender polvere. Quindi quello che ho visto fino ad ora c’è tutta questa fase di preparazione perché gli stessi titolari sono un po disorientati nel senso che percepiscono questo effetto diciamo, poco gestito, se vogliamo dallo European Data Protection Board stesso e dalle autorità garanti dove una linea precisa non è stata ancora tracciata e quindi c’è chi addirittura sfrutta questa situazione di incertezza, dice va bene continuiamo così finché poi non arriva il precetto da dover seguire in qualche modo ci organizzeremo. C’è chi invece magari in maniera più seria vorrebbe fare qualche cosa, ma al momento per quella che è la mia percezione siamo appunto in fase di censimento e di rinegoziazione di determinate clausole per vedere se si riescono ad inserire quantomeno le misure tecniche previste dalla raccomandazione dello European Data Protection Board. Voi avete magari più casi da poter da poter portare per aumentare la statistica.

Tommaso Ricci: Sì infatti la mia prossima domanda è proprio relativa a uno degli adempimenti che tu hai menzionato e che è stato richiamato sia dalle raccomandazioni del board che dalle stesse nuove Standard Contractual Clauses pubblicate in bozza che richiamano la necessità di effettuare questa valutazione di adeguatezza. Rispetto ad altre valutazioni di adeguatezza questa volta abbiamo un grosso elemento di novità, abbiamo meno indicazioni, quindi non abbiamo molti precedenti. Possiamo costruire su quello che di buono è stato fatto, però diciamo che le aziende un po’ brancolano ancora nel buio. Tu credi che abbiano realmente compreso la necessità di effettuare questa valutazione, anche perché è un adempimento che non è banale per esempio richiede la mappatura, richiede l’esecuzione di una valutazione del rischio, di prende in considerazione misure tecniche organizzative, è un nuovo processo che comporta un effort non da poco. Per cui noi ad esempio che assistiamo molti clienti che hanno la necessità di fare questa valutazione e per cui abbiamo dovuto realizzare un tool di legal tech per permettergli di effettuarla, anche in maniera efficiente. Perché ovviamente per un’azienda che ha 100/200 contratti da gestire questo nuovo flusso vuol dire anche far fronte a nuove nuove problematiche di risorse.

Pierluigi Perri: Certo, sono assolutamente accordo, quello che ho potuto vedere sempre io è un pò una diffidenza che se vogliamo è una diffidenza anche culturale. Ci sono soggetti più strutturati dove se vogliamo c’è una maggiore cultura di quella che è la compliance, una maggiore anche percezione del valore aggiunto che dalla mappatura dei processi al governo dei processi su quel tipo di aziende. Lì si riesce ad avere una penetrazione migliore proprio perché ripeto si va a toccare dei temi sui quali loro hanno già avuto una percezione di efficientamento delle procedure. Non dimentichiamo per esempio che l’inquadramento dei trattamenti se i trattamenti comportano il trasferimento verso Paesi terzi quali sono le garanzie adeguate, rientra tra gli elementi che vanno inseriti nel registro del trattamento. Quindi se vogliamo si dovrebbe partire già da quello strumento come se fatto bene come primo strumento da utilizzare per fare questo tipo di mappatura. Quando invece si va su realtà meno strutturate dove bisogna iniziare con l’operazione di convinzione con l’operazione di illustrazione di quelli che potrebbero essere i vantaggi che vanno anche oltre il rispetto di una sentenza e la necessità di prevenire magari possibili futuri ispezioni o addirittura sanzioni da parte delle autorità garanti e lì si fa ovviamente più fatica quindi la la protezione dei dati come diceva l’OCSE del resto tutto quello che riguarda la gestione in generale del rischio e del rischio digitale deve partire da una base culturale del management.

Giulio Coraggio: Prima di scendere poi nel dettaglio degli adempimenti che devono esserci, è assolutamente interessante che le raccomandazioni dello European Data Protection Board menzionano una procedura in sei step per fare la valutazione di idoneità. Noi l’abbiamo trasfusa nella nostra metodologia e il legal tech tool che ha sviluppato Tommaso con il contributo dei colleghi delle varie giurisdizioni. Cerchiamo di dare un supporto utile alle aziende ma riscontriamo ancora che alcune aziende pensano che sia un problema che possono mettere in secondo ordine nell’attuale situazione di incertezza, dove secondo me quanto meno una presa d’atto della situazione nell’ottica della accountability, il fatto che hai provato a rinegoziare le condizioni tecniche contrattuali con il tuo fornitore, che fate una valutazione interna delle misure e che stai prendendo in considerazione di adottare certe misure, lo devi dimostrare per proteggerti da una possibile contestazione.

Mi ricordo al tempo dell’invalidazione del Safe Harbour dove, dopo tre mesi, avevamo già le prime decisioni dei garanti tedeschi. Qui abbiamo i famosi 101 reclami della associazione no profit dietro a Schrems che devono essere oggetto di decisione nel senso che i garanti europei sono delle autorità pubbliche quindi non possono mettere in second’ordine una decisione su una questione che è evidentemente scottante e allo stesso tempo quello che dicevamo prima tu stai dando un argomento in più all’individuo per contestare un trattamento dei dati in un contesto in cui le possibili sanzioni sono enormi. Non so come lo percepisci questa situazione.

Pierluigi Perri: sì certamente una situazione che contribuisce ad alimentare questo clima di incertezza che non fa bene né per quella che è una precondizione secondo me è fondamentale che la serenità negli scambi e negli scambi di dati si sente tanto parlare in questo periodo del tema della valorizzazione del dato e il dato segue tutto sommato le dinamiche che hanno sempre seguito i beni che devono generare valore cioè devono circolare affinché possano generare effettivamente valore. Quindi è un tema che ripeto se lo andiamo a vedere da un punto di vista strettamente tecnico e per tecnico intendo giuridico fa bene a presentare questi ricorsi perché hanno trovato questo, chiamiamolo, grimaldello che giustamente fa presa nel senso che obiettivamente le carenze ci sono. Se lo vediamo invece in una dinamica più politica dobbiamo capire che cosa perdiamo con questa forma di protezionismo europea perché se ripeto deve essere l’occasione anche per rimettere sul tavolo una discussione in merito a processi innovativi presenti in Europa in termini di forniture simili, allora ben venga perché ne abbiamo bisogno obiettivamente, anche perchè si parla sempre dell’Europa che si deve frapporre come terzo polo tra gli Stati Uniti e la Cina e quindi dobbiamo cominciare anche a crearlo questo terzo polo perché se continuiamo solo a dirlo, ma non facciamo nulla resteremo il possibile terzo polo che però non si esprime mai. E dall’altro lato non rendere la vita impossibile a chi tutto sommato i dati li utilizza per svolgere il proprio lavoro e per erogare anche determinati servizi agli interessati che sarebbero allo stato attuale insostituibile. Mi piace questa visione un po fantastica se vogliamo che ha avuto la Corte di Giustizia nel senso che da un lato mi sembra che il dato digitale continui ad essere trattato un po come il dato materiale nel senso che va beh lo stai mandando là, interrompiamo non lo mandi più e basta e come sia semplice è fatto e come sia semplice fare lo switch di tecnologie no. Quello non va bene da lunedì ritrovati su un altro fornitore con tutti il tuo patrimonio con tutte le tue elaborazioni con tutto quello che serve per essere conforme alla norma alla sentenza più che alla normativa. Quindi diciamo che sono visioni un po’ oniriche perdonatevi l’appunto polemico.

Giulio Coraggio: No assolutamente, sono decisioni un po’ polemiche, ci sono stati anche alcuni interventi di alcuni rappresentanti del Garante che dicevano che ci doveva essere una presa di posizione politica, è anche vero che avere un accordo internazionale sul trasferimento dei dati con tutto il mondo la vedo difficile oltretutto, come dicevi  precedentemente, anche le norme europee prevedono alcuni casi di sorveglianza. Questo la Corte di Giustizia l’ha riconosciuto. In alcuni casi la normativa di Paesi stranieri permette questi poteri sorveglianza ma anche la possibilità di esercitarlo senza alcun controllo senza la possibilità da parte del soggetto interessato di far valere eventuali contestazioni in caso di accesso di sorveglianza illecita dei propri dati. Ecco qui proprio secondo me sta la linea di confine. Nella valutazione, un altro appunto che ci hanno fatto alcuni clienti è come assicurare che le autorità straniere non facciano un attacco hacker per accedere ai dati che sono conservati negli Stati Uniti, ma quello che noi dobbiamo tutelare è che legalmente le autorità straniere non possano fare attività di sorveglianza che siano in contrasto con i limiti della normativa europea. Poi se c’è un attacco hacker che va oltre non il limite di legge, non deve essere parte della valutazione.

Secondo me è stata una chiacchierata veramente interessante, ti disturberemo in altre occasioni per altri argomenti stimolanti forse una cosa che con cui ci possiamo lasciare è che questa sentenza come tempistica non è stata perfetta in un momento di crisi economica perchè comporta per le aziende evidentemente un costo notevole ulteriore, ma è anche vero che mi sembra che condividiamo che le aziende non possono stare lì e aspettare che il problema si risolva da solo.