Flaminia Cloud: e il GDPR?
A cura di Eliana Morandi
Nel workshop tenuto da Notartel in sede Congressuale, ci è stato presentato il progetto “Flaminia Cloud” in base al quale tutti i fascicoli di un notaio potrebbero/dovrebbero essere trasferiti dal server della sua softwarehouse al server di Notartel, al fine – ci viene detto – di consentire al notaio, in particolare se in pensione, di accedere liberamente ai propri dati o comunque per escludere il pericolo che, in caso di “cambio” di softwarehouse, il notaio si senta ostacolato nell’ottenere i propri dati per il necessario trasferimento.
E, ci viene detto, questo grazie alla raccolta di dati strutturati, di uso comune e leggibili da dispositivi automatici, che così Notartel ci mette a disposizione pronti per il trasferimento.
Questa operazione, a mio parere, pone il serio pericolo di violare numerose norme del GDPR, il regolamento europeo a tutela del diritto indivduale alla ridervatezza dei propri dati, come protetti dalla Carta Europea dei diritti Fondamentali (artt. 7-8): come si legge nei “considerando” 1 e 2, il GDPR considera la tutela dei dati personali non solo un diritto fondamentale ma anche una componente essenziale della dignità e della libertà individuale.
Il GDPR è in piena applicazione dal 2018, ma fino ad un paio di anni fa era ampiamente “ignorato” – a parte la compilazione di alcuni moduli ritenuti fastidiosi e di scarsa utilità. È venuto prepotentemente alla ribalta, però, con l’avvicinarsi della riforma europea della normativa antiriciclaggio, che ha posto in luce il problema del difficile contemperamento tra le due normative di alto rilievo pubblico, ed è “esploso” con l’avvento dell’Intelligenza artificiale, la cui capacità computazionale rende i dati un patrimonio inesauribile soprattutto per i malfattori.
In particolare, la Corte di Giustizia Euorpea, con la sentenza 22 novembre 2022, ha dichiarato la prevalenza della normativa GDPR (espressione degli artt. 7-8 Carta Europea dei diritti fondamentali) rispetto ai pure rilevantissimi interessi pubblici perseguiti dalla normativa antiriciclaggio.
Quindi il progetto e le finalità declinate dal progetto Flaminia Cloud non possono prescindere da una valutazione di conformità con la disciplina del GDPR.
Tralascio il profilo dell’interesse che un notaio in pensione abbia per accedere iin via digitale ai propri fascicoli: mi verrebbe istintivo pensare che, se servono, avrà i fascicoli cartacei conservati per il periodo necessario.
Quanto alle asserite difficoltà ad avere la restituzione dei dati in seguito ad un cambio di “responsabile del trattamento” (questo è il ruolo della SH) osservo, empiricamente, che pur essendo un notaio in esercizio da quasi tre decenni ed avendo cambiato softwarehouse tre volte, in nessun caso ho mai avuto problemi ad avere la trasmigrazione dei dati.
L’art. 20 GDPR, comunque, ci toglie ogni residuo dubbio al riguardo: esso, infatti, riconosce all’interessato di avere dal titolare del trattamento i suoi dati in formato strutturato in modo da consentirne il trasferimento ad altro titolare: a maggior ragione, il titolare del trattamento che decida di cambiare il Responsabile del trattamento, ai sensi dell’art. 28 GDPR, ha diritto – rigorosamente sanzionato – di “riaverli”.
Dall’altro lato, va subito precisato che la softwarehouse, come responsabile del trattamento (sempre ai sensi dell’art. 28 GDPR) gestisce i dati per conto del titolare del trattamento (il notaio) il quale, a sua volta, li gestisce nei limiti in cui lo abbia autorizzato il vero protagonista del GDPR e vero “proprietario” dei dati: l’interessato, il soggetto a cui i dati si riferiscono.
E qui le regole sono chiare: il responsabile del trattamento (softwarehouse) non può in alcun modo trasferire i dati ad un altro diverso responsabile del trattamento senza il consenso del titolare del trattamento (il notaio), come previsto dall’art. 28 GDPR.
A sua volta, però, il titolare del trattamento (il notaio) non può utilizzare i dati raccolti dall’interessato per finalità “diverse” da quelle originarie: così dispone l’art. 13 GDPR.
Il GDPR, infatti, è dominato da 7 principi fondamentali, tutti elencati dall’art. 5, tra i quali ci interessano particolarmente quello di “liceità”, di “limitazione delle finalità” e della “minimizzazione” della raccolta.
In sintesi: sono leciti i dati raccolti per finalità “determinate, esplicite e legittime”, che non possono essere indefinite o generiche (devono essere limitate) e i dati raccolti devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (minimizzazione).
Tali principi sono imperativi e inderogabili, come risulta chiaramente dalla lettura dei “considerando”, delle premesse del GDPR, che come in tutta la normativa europea esprimono con chiarezza i principi dai quali scaturisce poi, automaticamente, la normativa.
I dati raccolti dal notaio hanno la finalità di stipulazione dell ’atto e dell’attuazione dei relativi adempimenti obbligatori.
La presentazione di Notartel ha dichiarato che la sua “conservazione” (che costituisce “trattamento” in senso tecnico: vedi art. 4, 1° co. n. 2 GDPR) non sarebbe un back-up (compito già implicito nei doveri del responsabile dei dati, cioè della SH) bensì un “archivio”. Ma un “archivio” (che ugualmente costituisce un “trattamento” in senso tecnico) costituisce una “nuova finalità” incompatibile con quelle originarie (cioè una ulteriore e diversa finalità, per la quale è indispensabile un nuovo, specifico consenso informato dell’interessato), come espressamente ricavabile dall’art. 5 GDPR, che dichiara “compatibili” con le finalità originarie solo “l’archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici”.
Le sanzioni per violazione del GDPR sono molto onerose: si arriva ai 20 milioni di euro, o al 4% del fatturato globale (riferibile ai “big players”).
Quindi l’aggiunta di una ulteriore finalità di trattamento, unita con la nomina di un secondo “responsabile del trattamento” comporta necessariamente la raccolta di un nuovo consenso informato (sempre ai sensi dell’art. 4 , n. 11 GDPR) da parte dell’interessato: del resto, questo raddoppia anche il rischio di “perdita” dei dati, di hackeraggio, di accessi abusivi, di cui purtroppo sono piene le cronache degli ultimi tempi.
Ultimo, ma non meno importante: il GDPR prevede che il “responsabile del trattamento” (la SH e, nel caso, Notartel) deve presentare garanzie sufficienti, in particolare “in termini di conoscenza specialistica, affidabilità e risorse” per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento stesso, anche per la sicurezza del trattamento”: quanto viene a costare, soprattutto in termini di sicurezza, garantire tutto questo, anche alla luce dei quotidiani furti di dati informatici anche a banche dati strategiche istituzionali? Il bilancio costi-benefici è positivo per il notariato? A questa domanda stiamo aspettando una risposta precisa.
L’articolo Flaminia Cloud: e il GDPR? sembra essere il primo su Federnotizie.
