# Il-GDPR u l-messaġġi professjonali: għaliex il-biċċa l-kbira jiksru r-regoli mingħajr ma jafu > Cuadernos Lacre · Analiżi · 16 ta' Mejju 2026 > https://solo2.net/mt/pitazzi/articulos/gdpr-u-messaggi-professjonali.html Kważi kull uffiċċju, klinika jew kumpanija ta' konsulenza tibgħat dokumenti tal-klijenti permezz ta' aipep li s-server tagħhom jinsab barra ż-Żona Ekonomika Ewropea. Mingħajr malizzja, iżda f'ħafna każijiet billi jinkiser ir-regolament, mingħajr ma ħadd iwissihom. --- ## Id-dokument li jivvjaġġa aktar milli taħseb Sitwazzjoni ta' kuljum: konsulent tat-taxxa tirċievi dokument b'dejta tal-klijenti permezz tal-messaġġi. Bejjiegħ jgħaddi offerta lil kollega permezz ta' chat. Tabiba taqsam bl-istess mod rapport kliniku ma' kollega. Ħadd ma jaħseb darbtejn. Huwa normali. Huwa konvenjenti. Huwa dak li jsir kuljum f'kull uffiċċju f'kull belt fl-Ewropa. Iżda dan id-dokument, f'ħafna każijiet, għadu kemm ivvjaġġa lejn server fl-Istati Uniti. Ġie maħżun – anke jekk temporanjament, anke jekk "kriptat waqt il-mistrieħ" – fi sħaba li la l-professjonist u lanqas il-klijent tiegħu ma jikkontrollaw. Huwa għadda minn sistemi li jistgħu teknikament jindiċizzaw metadata marbuta mal-kontenut. U r-Regolament Ġenerali Ewropew dwar il-Protezzjoni tad-Dejta għandu xi jgħid pjuttost ċar dwar dan. ## Dak li titlob in-norma Il-GDPR – u b'estensjoni l-ġurisprudenza tal-Qorti tal-Ġustizzja tal-Unjoni Ewropea (b'mod partikolari s-sentenza Schrems II, C-311/18, tal-2020) – tistabbilixxi li d-dejta personali taċ-ċittadini Ewropej għandha tkun protetta b'mod adegwat. Jekk din id-dejta titlaq miż-Żona Ekonomika Ewropea, il-kontrollur tad-dejta għandu jiggarantixxi li r-riċevitur joffri livell ta' protezzjoni li huwa "essenzjalment ekwivalenti" għal dak Ewropew. Fil-prattika, dan ifisser li l-inviju ta' dejta tal-klijenti permezz ta' servizzi li s-servers tagħhom huma taħt il-ġurisdizzjoni tal-Istati Uniti, mingħajr ma tkun saret evalwazzjoni tal-impatt u mingħajr ma jkunu ġew implimentati garanziji supplimentari – klawżoli kuntrattwali standard, miżuri tekniċi addizzjonali bħal kriptaġġ verifikabbli, eċċ. – jista' jikkostitwixxi ksur tar-regolament. Anke jekk s'issa ħadd ma qal xejn. U mhux biss dwar il-kontenut tal-messaġġi. Il-metadata – min jibgħat x'lil min, meta, kemm-il darba, minn fejn – huma wkoll dejta personali skont ir-regolamenti, skont l-interpretazzjoni ripetuta tal-Bord Ewropew għall-Protezzjoni tad-Dejta. Servizz li jiġbor metadata mill-komunikazzjoni professjonali ta' utent ikun qed jipproċessa dejta personali tal-klijenti ta' dak l-utent, mingħajr ma huma jkunu jafu jew ikunu taw xi kunsens għal tali pproċessar. L-iskema ta' ħsieb komuni – "nuża l-app biex nikteb biss; l-app mhijiex fornitur tad-dejta tal-klijent tiegħi" – hija legalment żbaljata. Jekk id-dejta tal-klijent tgħaddi mill-infrastruttura ta' parti terza, dik il-parti terza tkun qed tipproċessa dik id-dejta. U jekk tipproċessaha, għandu jkun hemm bażi legali, kuntratt ta' pproċessar tad-dejta u garanziji adegwati. ## Min hu responsabbli Il-mistoqsija dwar min iġorr ir-responsabbiltà legali mhijiex mistoqsija akkademika. Il-GDPR jiddistingwi bejn il-*kontrollur* (min jiddeċiedi liema dejta tiġi pproċessata u għal liema skop) u l-*proċessur* (min jagħmel dan materjalment f'isem il-kontrollur). Il-professjonist li jibgħat dokumenti tal-klijenti huwa l-kontrollur. Il-fornitur tal-app tal-messaġġi huwa f'ħafna każijiet proċessur de facto. Mingħajr kuntratt ta' pproċessar – u mingħajr il-biċċa l-kbira tal-klawżoli li kuntratt bħal dan għandu jinkludi – il-kontrollur ma jkunx issodisfa l-obbligu tiegħu. L-interpretazzjoni laxka tgħid: "il-biċċa l-kbira tal-professjonisti ma jafux dan". L-interpretazzjoni stretta tgħid: "l-injoranza tal-liġi ma tiskażax". U l-interpretazzjoni ta' kwalunkwe avukat speċjalizzat fil-protezzjoni tad-dejta li jiġi kkonsultat dwar dan hija ġeneralment dik stretta. ## Għal min huwa importanti dan b'mod konkret Għal kull professjonist jew kumpanija li anke okkażjonalment joperaw b'informazzjoni personali ta' partijiet terzi: - Avukati li jirċievu dokumentazzjoni tal-klijenti (kuntratti, kawżi, dikjarazzjonijiet, rapporti tal-assi). - Tobba u professjonisti oħra tas-saħħa li jaqsmu dejta dwar is-saħħa – li huma kkunsidrati skont l-Art. 9 tal-GDPR bħala *kategoriji speċjali* b'reġim ta' protezzjoni msaħħaħ –. - Konsulenti tat-taxxa u maniġers amministrattivi li joperaw b'dejta ta' identifikazzjoni, taxxa u bankarja. - Dipartimenti tar-riżorsi umani li jimmaniġġjaw dokumentazzjoni tax-xogħol u personali tal-impjegati. - Rappreżentanti kummerċjali li jirċievu dettalji ta' kuntatt u spiss informazzjoni sensittiva dwar in-negozju minn proprospetti u klijenti. Fil-każijiet kollha l-informazzjoni hija protetta mill-GDPR. Fil-każijiet kollha, fil-prattika tas-soltu, din l-informazzjoni tgħaddi minn kanali li l-ġurisdizzjoni tagħhom ma tippermettix li jiġu ddikjarati bħala "essenzjalment ekwivalenti" għall-qafas Ewropew mingħajr garanziji addizzjonali. Mhux minħabba malizzja. Minħabba drawwa. U minħabba infrastruttura teknoloġika li għal ħmistax-il sena poġġiet il-konvenjenza qabel il-konformità. ## L-argument "kulħadd jagħmilha" Huwa prudenti li wieħed jantiċipa l-aktar oġġezzjoni komuni: "jekk kulħadd jagħmel l-istess, ma tistax tkun problema reali". Huwa argument li jiftiehem perfettament u legalment m'għandu l-ebda saħħa. Il-fatt li prattika hija mifruxa ma jagħmilhiex konformi mar-regolament. L-awtoritajiet tal-protezzjoni tad-dejta f'dawn l-aħħar snin issanzjonaw diversi kumpaniji proprju għal modi ta' użu tal-messaġġi li kienu jidhru li ma jagħmlux ħsara sal-mument tal-ispezzjoni. Ir-realtà operattiva attwali hija li r-riskju f'termini ta' probabbiltà huwa baxx – rari ħafna li spezzjoni mill-Awtorità tawdita l-għodod ta' messaġġi speċifiċi ta' uffiċċju ta' daqs medju – iżda għoli f'termini ta' impatt jekk iseħħ. Huwa riskju li l-biċċa l-kbira jieħdu mingħajr ma jafu li qed jieħdu. Jiġifieri, mingħajr ma evalwaw jekk l-għodda użata hijiex konformi mar-responsabbiltà legali tal-kontrollur tad-dejta. ## It-traċċi diġitali huma retroattivi Hemm it-tieni argument, kważi simetriku ma' dak ta' qabel, li ta' min jantiċipa: *"li kieku din kienet problema serja, l-amministrazzjoni kienet diġà bdiet tikkontrollaha"*. Ir-realtà attwali osservata tagħtih raġun superfiċjali. Spezzjonijiet minħabba użu mhux xieraq tal-messaġġi f'kumpaniji żgħar u speċjalment f'persuni li jaħdmu għal rashom kważi ma jeżistux illum – mhux għax l-imġiba hija permessa, iżda għax l-amministrazzjoni f'Malta u f'parti kbira mill-UE m'għandhiex ir-riżorsi umani meħtieġa biex tawdita miljuni ta' entitajiet obbligati. Dan huwa dak li tissuġġerixxi l-prattika osservata llum. Iżda mhux dak li tissuġġerixxi d-deċennju li ġej. Żewġ vetturi qed jikkonverġu biex ibiddlu l-bilanċ f'perjodi ta' żmien relattivament qosra. L-ewwel: it-traċċi diġitali huma retroattivi. Kull messaġġ mibgħut permezz ta' applikazzjoni b'server ċentrali jibqa' rreġistrat – tal-inqas fil-metadata – f'infrastruttura li tippersisti. Dak li ntbagħat sitt xhur ilu teknikament għadu jista' jiġi awditjat illum. Dak li jintbagħat illum se jkun jista' jiġi awditjat f'ħames snin. In-nuqqas ta' spezzjoni fil-preżent mhuwiex garanzija ta' nuqqas ta' spezzjoni fil-futur. Huwa posponiment tal-evalwazzjoni, mhux eżenzjoni. It-tieni: il-kapaċità ta' awditu amministrattiv se tikber b'mod aċċellerat. L-introduzzjoni ta' għodod ta' intelliġenza artifiċjali fil-proċessi ta' kontroll telimina l-ostaklu uman li sa issa pproteġa – de facto, mhux de jure – lill-kumpaniji żgħar u lil dawk li jaħdmu għal rashom. Sistema kapaċi taqsam ammonti kbar ta' metadata, dikjarazzjonijiet tat-taxxa, reġistri kummerċjali u obbligi ta' notifika ta' ksur tas-sigurtà m'għandhiex bżonn spetturi: għandha bżonn aċċess. U l-aċċess permezz ta' rekwiżiti lil fornituri bi preżenza legali fl-UE fi ħdan il-qafas normattiv attwali huwa fattibbli għal kollox. Ma' dan jiżdied fattur inqas tekniku iżda ugwalment determinanti: l-istati Ewropej jinsabu fi proċess ta' dejn li qed jikber kontinwament u jeħtieġu, kważi mingħajr eċċezzjoni, iwessgħu l-bażi tat-taxxa tagħhom. Is-sanzjoni amministrattiva derivata minn nuqqas ta' konformità mal-GDPR hija f'termini fiskali puri sors ta' dħul li qed jikber u politikament konvenjenti. Din mhix suppożizzjoni: hija xejra osservabbli fir-rapporti annwali tal-awtoritajiet Ewropej tal-protezzjoni tad-dejta, fejn il-volum totali tas-sanzjonijiet qed jogħla għal bosta snin fiskali konsekuttivi. Il-konklużjoni operattiva għall-kontrollur mhijiex allarmista iżda sobria: id-deċiżjoni dwar kif tiġi ġestita llum il-komunikazzjoni mal-klijenti tiġi evalwata kontra l-kapaċità ta' spezzjoni tas-sena li fiha tiġi l-ispezzjoni, mhux kontra dik attwali. U dik il-kapaċità se tkun, fi żmien raġonevoli, sostanzjalment differenti minn dik tal-lum. Min jibda jagħmel l-affarijiet sew illum mhux se jkun tajjeb biss mil-lum: it-traċċa ġġenerata minn dan il-mument 'il quddiem se tkun konformi man-norma, u dan jipproteġi retroattivament il-perjodu li ġej. Min ikompli bħal qabel se jakkumula traċċa li tista' tiġi awditjata u li l-konformità tagħha tiġi evalwata skont l-istandards – u r-riżorsi – tas-snin li ġejjin. ## X'jinbidel b'arkitettura differenti Jeżistu alternattivi tekniċi fejn id-dejta ma tiġix maħżuna fl-infrastruttura ta' partijiet terzi, minflok jivvjaġġaw direttament mill-apparat tal-mittent għal dak tar-riċevitur. F'din l-arkitettura, il-konformità mal-GDPR fir-rigward tat-trasferimenti internazzjonali ma tiddependix fuq klawżoli kuntrattwali standard, u lanqas fuq ir-rieda tajba tal-fornitur jew fuq awditi futuri. Tiddependi fuq il-fatt li *m'hemm l-ebda trasferiment*. U dak li ma jeżistix ma jistax jinkiser. Din mhix soluzzjoni esklussiva u lanqas l-unika waħda possibbli. Iżda hija strutturalment differenti, u l-konformità normattiva ma tibqax tkun anness proċedurali u ssir konsegwenza diretta tad-disinn. Għal professjonist li jieħu r-responsabbiltà tiegħu bħala kontrollur bis-serjetà, dik id-differenza tagħmel differenza. --- *Il-ħarġa li jmiss ta' Cuadernos se tanalizza fid-dettall is-sentenza Schrems II u l-implikazzjonijiet prattiċi tagħha għal kumpaniji żgħar u medji li jiddependu fuq servizzi cloud tal-Istati Uniti, ħames snin wara l-pubblikazzjoni tagħha.* ## Sorsi u qafas normattiv - Regolament (UE) 2016/679 (GDPR), b'mod partikolari l-Kapitolu V dwar trasferimenti internazzjonali. - CJUE C-311/18 ("Schrems II"), 16 ta' Lulju 2020. - EDPB – Rakkomandazzjonijiet 01/2020 dwar miżuri li jissupplimentaw għodod ta' trasferiment. - Awtoritajiet tal-Protezzjoni tad-Dejta – Rapporti annwali b'każuistika ta' sanzjonijiet minħabba użu mhux xieraq ta' messaġġi instantanji f'ambjenti professjonali. --- *Cuadernos Lacre · Pubblikazzjoni ta' Menzuri Gestión S.L. · miktuba minn R.Eugenio · editjata mit-tim ta' Solo2.* *https://solo2.net/mt/pitazzi/*