Dopo il Safe Harbour molto cambia per le imprese che devono gestire il flusso di dati secondo le regole della privacy europee

A cura di Michele Zunino, CEO di Netalia

Ormai è assodato, la Corte Europea di Giustizia ha bocciato il Safe Harbour stabilendo che l’accordo internazionale non tutela a sufficienza i dati dei cittadini dell’Unione Europea. La decisione è stata ratificata in Italia dal Garante per la privacy che, il 6 novembre scorso, ha dichiarato decaduta l’autorizzazione emanata a suo tempo. Questa decisione storica ha già iniziato a delineare un effetto a catena nel mondo della gestione e del trasferimento dei dati.

Per circa 15 anni – dal 2000 fino al mese scorso – il Safe Harbour ha rappresentato la soluzione di compromesso, un accordo estremamente utile che ha permesso alle aziende statunitensi di trasferire i dati dei cittadini europei nei Data Center in tutti gli Stati Uniti, dove le leggi sulla privacy sono più permissive, rispettando soltanto degli “standard sulla privacy” indicati dell’Unione Europea.

Le aziende che desideravano spostare una quantità maggiore di dati dovevano semplicemente dichiarare di sottoscrivere sette principi guida su come i dati venivano trattati, ma la sentenza della Corte di Giustizia Europea ha inviato un messaggio forte in base al quale i diritti di privacy degli utenti devono essere sanciti dalla legge e non abbandonati a una sorta di “autocertificazione”.

Che cosa vuol dire tutto questo per il mondo del Cloud?

Oggi le aziende che si affidano al libero trasferimento dei dati tra la EU e gli USA si trovano in una posizione difficile.

Da subito si è pensato che l’impatto maggiore avrebbe riguardato i vari social media basati in US ma, in realtà, organizzazioni come Facebook e Google hanno reagito rapidamente e hanno già affrontato la questione all’interno delle proprie organizzazioni.

Le ripercussioni sono in realtà maggiori e coinvolgono un numero consistente di imprese di piccole, medie e grandi dimensioni: dai servizi di file sharing nel Cloud come Dropbox, ai vari Cloud service provider, ai retailer che operano a livello globale e a qualsiasi altro business basato negli Stati Uniti che in qualche modo gestisca, archivi o abbia a che fare con i dati dei cittadini europei.

Se già le aziende guardavano con diffidenza all’utilizzo di servizi Cloud per paura di falle nella sicurezza e inadempienze nel rispetto delle normative, in questo periodo di transizione è indispensabile correre ai ripari. Da fine gennaio 2016, infatti, le aziende che continueranno a trattare dati italiani o europei secondo le regole del Safe Harbour incorreranno nelle sanzioni.

Mentre Stati Uniti e UE lavorano intensamente a un nuovo framework che offra maggiori salvaguardie per i dati europei e che comprenda, tra l’altro, la revisione dell’accordo su base annua, le aziende devono controllare attentamente le garanzie offerte dai propri fornitori Cloud o riorganizzarsi per assicurare la permanenza dei dati sul territorio europeo.

Un dato è certo, la decisione della Corte EU ha portato di nuovo alla ribalta il problema del controllo sull’ubicazione dei dati e ha implicato un aumento della complessità della gestione della sicurezza digitale su scala globale, con le imprese – in particolare le PMI – che non potranno, da sole, sostenere il peso di questi cambiamenti.

In uno scenario IT che diviene ogni giorno sempre più “liquido” è estremamente complesso definire con esattezza quali siano i dati sensibili da tutelare e comprendere in ogni attimo dove si trovano esattamente, come recuperarli, come sono gestiti, da chi e cosa possono rivelare o meno.

Per questo la cautela nella scelta del fornitore del servizio è sempre più rilevante, insieme alla necessità di definire livelli di servizio adeguati in termini di sicurezza e regole chiare e condivise.