Il-GDPR u l-messaġġi professjonali: għaliex il-biċċa l-kbira jiksru r-regoli mingħajr ma jafu

Id-dokument li jivvjaġġa aktar milli taħseb

Sitwazzjoni ta' kuljum: konsulent tat-taxxa tirċievi dokument b'dejta tal-klijenti permezz tal-messaġġi. Bejjiegħ jgħaddi offerta lil kollega permezz ta' chat. Tabiba taqsam bl-istess mod rapport kliniku ma' kollega. Ħadd ma jaħseb darbtejn. Huwa normali. Huwa konvenjenti. Huwa dak li jsir kuljum f'kull uffiċċju f'kull belt fl-Ewropa.

Iżda dan id-dokument, f'ħafna każijiet, għadu kemm ivvjaġġa lejn server fl-Istati Uniti. Ġie maħżun – anke jekk temporanjament, anke jekk "kriptat waqt il-mistrieħ" – fi sħaba li la l-professjonist u lanqas il-klijent tiegħu ma jikkontrollaw. Huwa għadda minn sistemi li jistgħu teknikament jindiċizzaw metadata marbuta mal-kontenut. U r-Regolament Ġenerali Ewropew dwar il-Protezzjoni tad-Dejta għandu xi jgħid pjuttost ċar dwar dan.

Dak li titlob in-norma

Il-GDPR – u b'estensjoni l-ġurisprudenza tal-Qorti tal-Ġustizzja tal-Unjoni Ewropea (b'mod partikolari s-sentenza Schrems II, C-311/18, tal-2020) – tistabbilixxi li d-dejta personali taċ-ċittadini Ewropej għandha tkun protetta b'mod adegwat. Jekk din id-dejta titlaq miż-Żona Ekonomika Ewropea, il-kontrollur tad-dejta għandu jiggarantixxi li r-riċevitur joffri livell ta' protezzjoni li huwa "essenzjalment ekwivalenti" għal dak Ewropew. Fil-prattika, dan ifisser li l-inviju ta' dejta tal-klijenti permezz ta' servizzi li s-servers tagħhom huma taħt il-ġurisdizzjoni tal-Istati Uniti, mingħajr ma tkun saret evalwazzjoni tal-impatt u mingħajr ma jkunu ġew implimentati garanziji supplimentari – klawżoli kuntrattwali standard, miżuri tekniċi addizzjonali bħal kriptaġġ verifikabbli, eċċ. – jista' jikkostitwixxi ksur tar-regolament. Anke jekk s'issa ħadd ma qal xejn.

U mhux biss dwar il-kontenut tal-messaġġi. Il-metadata – min jibgħat x'lil min, meta, kemm-il darba, minn fejn – huma wkoll dejta personali skont ir-regolamenti, skont l-interpretazzjoni ripetuta tal-Bord Ewropew għall-Protezzjoni tad-Dejta. Servizz li jiġbor metadata mill-komunikazzjoni professjonali ta' utent ikun qed jipproċessa dejta personali tal-klijenti ta' dak l-utent, mingħajr ma huma jkunu jafu jew ikunu taw xi kunsens għal tali pproċessar.

L-iskema ta' ħsieb komuni – "nuża l-app biex nikteb biss; l-app mhijiex fornitur tad-dejta tal-klijent tiegħi" – hija legalment żbaljata. Jekk id-dejta tal-klijent tgħaddi mill-infrastruttura ta' parti terza, dik il-parti terza tkun qed tipproċessa dik id-dejta. U jekk tipproċessaha, għandu jkun hemm bażi legali, kuntratt ta' pproċessar tad-dejta u garanziji adegwati.

Min hu responsabbli

Il-mistoqsija dwar min iġorr ir-responsabbiltà legali mhijiex mistoqsija akkademika. Il-GDPR jiddistingwi bejn il-kontrollur (min jiddeċiedi liema dejta tiġi pproċessata u għal liema skop) u l-proċessur (min jagħmel dan materjalment f'isem il-kontrollur). Il-professjonist li jibgħat dokumenti tal-klijenti huwa l-kontrollur. Il-fornitur tal-app tal-messaġġi huwa f'ħafna każijiet proċessur de facto. Mingħajr kuntratt ta' pproċessar – u mingħajr il-biċċa l-kbira tal-klawżoli li kuntratt bħal dan għandu jinkludi – il-kontrollur ma jkunx issodisfa l-obbligu tiegħu.

L-interpretazzjoni laxka tgħid: "il-biċċa l-kbira tal-professjonisti ma jafux dan". L-interpretazzjoni stretta tgħid: "l-injoranza tal-liġi ma tiskażax". U l-interpretazzjoni ta' kwalunkwe avukat speċjalizzat fil-protezzjoni tad-dejta li jiġi kkonsultat dwar dan hija ġeneralment dik stretta.

Għal min huwa importanti dan b'mod konkret

Għal kull professjonist jew kumpanija li anke okkażjonalment joperaw b'informazzjoni personali ta' partijiet terzi:

• Avukati li jirċievu dokumentazzjoni tal-klijenti (kuntratti, kawżi, dikjarazzjonijiet, rapporti tal-assi).
• Tobba u professjonisti oħra tas-saħħa li jaqsmu dejta dwar is-saħħa – li huma kkunsidrati skont l-Art. 9 tal-GDPR bħala kategoriji speċjali b'reġim ta' protezzjoni msaħħaħ –.
• Konsulenti tat-taxxa u maniġers amministrattivi li joperaw b'dejta ta' identifikazzjoni, taxxa u bankarja.
• Dipartimenti tar-riżorsi umani li jimmaniġġjaw dokumentazzjoni tax-xogħol u personali tal-impjegati.
• Rappreżentanti kummerċjali li jirċievu dettalji ta' kuntatt u spiss informazzjoni sensittiva dwar in-negozju minn proprospetti u klijenti.

Fil-każijiet kollha l-informazzjoni hija protetta mill-GDPR. Fil-każijiet kollha, fil-prattika tas-soltu, din l-informazzjoni tgħaddi minn kanali li l-ġurisdizzjoni tagħhom ma tippermettix li jiġu ddikjarati bħala "essenzjalment ekwivalenti" għall-qafas Ewropew mingħajr garanziji addizzjonali. Mhux minħabba malizzja. Minħabba drawwa. U minħabba infrastruttura teknoloġika li għal ħmistax-il sena poġġiet il-konvenjenza qabel il-konformità.

L-argument "kulħadd jagħmilha"

Huwa prudenti li wieħed jantiċipa l-aktar oġġezzjoni komuni: "jekk kulħadd jagħmel l-istess, ma tistax tkun problema reali". Huwa argument li jiftiehem perfettament u legalment m'għandu l-ebda saħħa. Il-fatt li prattika hija mifruxa ma jagħmilhiex konformi mar-regolament. L-awtoritajiet tal-protezzjoni tad-dejta f'dawn l-aħħar snin issanzjonaw diversi kumpaniji proprju għal modi ta' użu tal-messaġġi li kienu jidhru li ma jagħmlux ħsara sal-mument tal-ispezzjoni.

Ir-realtà operattiva attwali hija li r-riskju f'termini ta' probabbiltà huwa baxx – rari ħafna li spezzjoni mill-Awtorità tawdita l-għodod ta' messaġġi speċifiċi ta' uffiċċju ta' daqs medju – iżda għoli f'termini ta' impatt jekk iseħħ. Huwa riskju li l-biċċa l-kbira jieħdu mingħajr ma jafu li qed jieħdu. Jiġifieri, mingħajr ma evalwaw jekk l-għodda użata hijiex konformi mar-responsabbiltà legali tal-kontrollur tad-dejta.

It-traċċi diġitali huma retroattivi

Hemm it-tieni argument, kważi simetriku ma' dak ta' qabel, li ta' min jantiċipa: "li kieku din kienet problema serja, l-amministrazzjoni kienet diġà bdiet tikkontrollaha". Ir-realtà attwali osservata tagħtih raġun superfiċjali. Spezzjonijiet minħabba użu mhux xieraq tal-messaġġi f'kumpaniji żgħar u speċjalment f'persuni li jaħdmu għal rashom kważi ma jeżistux illum – mhux għax l-imġiba hija permessa, iżda għax l-amministrazzjoni f'Malta u f'parti kbira mill-UE m'għandhiex ir-riżorsi umani meħtieġa biex tawdita miljuni ta' entitajiet obbligati.

Dan huwa dak li tissuġġerixxi l-prattika osservata llum. Iżda mhux dak li tissuġġerixxi d-deċennju li ġej. Żewġ vetturi qed jikkonverġu biex ibiddlu l-bilanċ f'perjodi ta' żmien relattivament qosra.

L-ewwel: it-traċċi diġitali huma retroattivi. Kull messaġġ mibgħut permezz ta' applikazzjoni b'server ċentrali jibqa' rreġistrat – tal-inqas fil-metadata – f'infrastruttura li tippersisti. Dak li ntbagħat sitt xhur ilu teknikament għadu jista' jiġi awditjat illum. Dak li jintbagħat illum se jkun jista' jiġi awditjat f'ħames snin. In-nuqqas ta' spezzjoni fil-preżent mhuwiex garanzija ta' nuqqas ta' spezzjoni fil-futur. Huwa posponiment tal-evalwazzjoni, mhux eżenzjoni.

It-tieni: il-kapaċità ta' awditu amministrattiv se tikber b'mod aċċellerat. L-introduzzjoni ta' għodod ta' intelliġenza artifiċjali fil-proċessi ta' kontroll telimina l-ostaklu uman li sa issa pproteġa – de facto, mhux de jure – lill-kumpaniji żgħar u lil dawk li jaħdmu għal rashom. Sistema kapaċi taqsam ammonti kbar ta' metadata, dikjarazzjonijiet tat-taxxa, reġistri kummerċjali u obbligi ta' notifika ta' ksur tas-sigurtà m'għandhiex bżonn spetturi: għandha bżonn aċċess. U l-aċċess permezz ta' rekwiżiti lil fornituri bi preżenza legali fl-UE fi ħdan il-qafas normattiv attwali huwa fattibbli għal kollox.

Ma' dan jiżdied fattur inqas tekniku iżda ugwalment determinanti: l-istati Ewropej jinsabu fi proċess ta' dejn li qed jikber kontinwament u jeħtieġu, kważi mingħajr eċċezzjoni, iwessgħu l-bażi tat-taxxa tagħhom. Is-sanzjoni amministrattiva derivata minn nuqqas ta' konformità mal-GDPR hija f'termini fiskali puri sors ta' dħul li qed jikber u politikament konvenjenti. Din mhix suppożizzjoni: hija xejra osservabbli fir-rapporti annwali tal-awtoritajiet Ewropej tal-protezzjoni tad-dejta, fejn il-volum totali tas-sanzjonijiet qed jogħla għal bosta snin fiskali konsekuttivi.

Il-konklużjoni operattiva għall-kontrollur mhijiex allarmista iżda sobria: id-deċiżjoni dwar kif tiġi ġestita llum il-komunikazzjoni mal-klijenti tiġi evalwata kontra l-kapaċità ta' spezzjoni tas-sena li fiha tiġi l-ispezzjoni, mhux kontra dik attwali. U dik il-kapaċità se tkun, fi żmien raġonevoli, sostanzjalment differenti minn dik tal-lum. Min jibda jagħmel l-affarijiet sew illum mhux se jkun tajjeb biss mil-lum: it-traċċa ġġenerata minn dan il-mument 'il quddiem se tkun konformi man-norma, u dan jipproteġi retroattivament il-perjodu li ġej. Min ikompli bħal qabel se jakkumula traċċa li tista' tiġi awditjata u li l-konformità tagħha tiġi evalwata skont l-istandards – u r-riżorsi – tas-snin li ġejjin.

X'jinbidel b'arkitettura differenti

Jeżistu alternattivi tekniċi fejn id-dejta ma tiġix maħżuna fl-infrastruttura ta' partijiet terzi, minflok jivvjaġġaw direttament mill-apparat tal-mittent għal dak tar-riċevitur. F'din l-arkitettura, il-konformità mal-GDPR fir-rigward tat-trasferimenti internazzjonali ma tiddependix fuq klawżoli kuntrattwali standard, u lanqas fuq ir-rieda tajba tal-fornitur jew fuq awditi futuri. Tiddependi fuq il-fatt li m'hemm l-ebda trasferiment. U dak li ma jeżistix ma jistax jinkiser.

Din mhix soluzzjoni esklussiva u lanqas l-unika waħda possibbli. Iżda hija strutturalment differenti, u l-konformità normattiva ma tibqax tkun anness proċedurali u ssir konsegwenza diretta tad-disinn. Għal professjonist li jieħu r-responsabbiltà tiegħu bħala kontrollur bis-serjetà, dik id-differenza tagħmel differenza.

---

Il-ħarġa li jmiss ta' Cuadernos se tanalizza fid-dettall is-sentenza Schrems II u l-implikazzjonijiet prattiċi tagħha għal kumpaniji żgħar u medji li jiddependu fuq servizzi cloud tal-Istati Uniti, ħames snin wara l-pubblikazzjoni tagħha.