CLOUD ILLEGALE?

Forse non tutti hanno recepito la notizia che i servizi di repository online più comuni sono diventati praticamente “illegali” grazie ad una sentenza della Corte di Giustizia Europea.

Spieghiamo meglio (come scritto anche nel sito del Privacy shield qui).

Innanzitutto ricordiamo che il Privacy Shield è un trattato commerciale tra L’unione Europea, la Svizzera e gli Stati Uniti per permettere la circolazione di dati “con protezione privacy” garantita dalle rispettiva normative che riconoscono (o meglio riconoscevano) l’adeguatezza delle soluzioni previste.

Ma una delibera del 16 luglio ha dichiarato “non valida” la decisione (UE) 2016/1250 della Commissione europea del 12 luglio 2016 sull’adeguatezza della protezione fornita dal Privacy Shield UE-USA (già conosciuto in ambito GDPR come “Scudo Privacy”).

A seguito di tale decisione il Privacy Shield Framework non è più un fattore valido per i requisiti di protezione dei dati personali trasferiti dall’UE agli Stati Uniti.

Cosa significa?

Se conoscete (ed usate) servizi come Google Drive, Dropbox, OneDrive di sicuro siete interessati dal problema.

Questi contenitori infatti possono permettersi di conservare le informazioni che registrate sui loro “dischi” sia all’interno della Comunità Europea che negli USA (dove normalmente hanno la sede e quindi la maggior parte delle loro infrastrutture).

Il decadere della precedente decisione pertanto rende “illegale” il trasferimento verso questi “contenitori” proprio perché non esiste più un’adeguata protezione della Privacy.

Ovviamente riguarda solamente quelle informazioni che sono classificabili sotto la dicitura di “dati personali”, ma fate un check veloce, ci vuole veramente poco, pensando a quello che salvate su quei dispositivi:

• salvate documenti contengono i dati personali e di consumo? (fatture, rubriche, preventivi, offerte…)
• salvate documenti che contengono informazioni sui clienti o dipendenti? (estratti conto per gli agenti, pratiche legali, buste paga…)
• salvate dati che contengono informazioni “particolari” o un qualunque tipo di informazione riservata? (piantine, mappe, schemi tecnici, ricette mediche o diagnosi…)

In ciascuno di questi casi potreste violare un diritto, o almeno, non comunicando il trasferimento all’estero, o pensandolo protetto dal Privecy Shield, commettete un illecito sanzionabile. Nell’ultimo caso addirittura potreste violare il segreto d’impresa o la sicurezza delle persone (se capitano piantine in mano a malintenzionati ad esempio).

Privacy fino a che punto

Probabilmente la decisione è stata presa per tutti gli episodi recenti di violazione, o forse perché il Governo americano, in virtù della “sicurezza nazionale” si può permettere, anzi obbliga, di poter decriptare i dati presenti su qualunque rete privata. Oppure per certe clausole “criptiche” che si possono leggere in contratti come quelli per Google Drive

Di sicuro lo zampino di Facebook, dato che la Causa C311/18 è quella intentata nel 2018 per il trasferimento di dati da Facebook Ireland a Facebook USA, dal Commissario per la Protezione dei Dati.

Fatto sta che ad oggi nessuno dei servizi ha apportato modifiche per potersi rendere “compliant” (adeguato) al GDPR. I contratti in vigore (sotto l’esempio di Dropbox) non hanno ancora recepito le modifiche apportate.

Questo vuol dire che continuando ad utilizzare questi servizi cloud violiamo la legge che ci regolamenta, oltre a tutelarci. Ricordiamo infatti, come scritto proprio nella pagina del Privacy Shield, che tale “accordo” è frutto della Camera di Commercio Americana, non di uno stato o di un ente legislatore… ma di un Ente Economico che ha tutti gli interessi a fare business, non a proteggere i dati.

Se dunque la Corte di Giustizia Europea (ente giuridico preposto) ha dichiarato inadeguato un Contratto fatto da delle entità “economiche”, probabilmente ha trovato qualcosa di non regolare, ed è inutile cercare di forzare l’utilizzo di questi strumenti, almeno non fino a quando potranno garantire la conservazione dei dati su territorio europeo.

La soluzione per i cloud

Esiste già, da tempo anche, si chiama Cloud Privato.

In pratica questi contenitori sono semplicemente delle macchine posizionate su internet, con adeguate protezioni, che forniscono dello spazio su disco su cui registrare, e tenere aggiornato, il contenuto di una specifica cartella (il termine tecnico è “mirroring”). Su questa cartella si può operare direttamente con una interfaccia web, con un “agent” (un programma che permette di leggere/scrivere direttamente) o semplicemente copiando nella cartella del disco che abbiamo sincronizzato.

Beh, realizzando una struttura simile, con software anche opensource, o acquistandola da un provider italiano (o perlomeno europeo), abbiamo lo stesso servizio cloud senza la preoccupazione che i nostri dati vadano in mano a curiosi (primi tra tutti i fornitori di servizi stessi).

Ovviamente il disco deve poter essere criptato e decriptato, deve essere Resiliente (per resistere a guasti e perdite di dati) e quindi possedere una serie di caratteristiche tecniche, ma è possibile, e non eccessivamente costoso, il che lo posiziona in uno dei metodi di mitigazione attuabili e pertanto “vincolanti” per la compliance.

Cosa fare subito?

Sicuramente verificare la precedente definizione/dichiarazione messa nel Registro dei Trattamenti, in quanto non potrebbe essere più valida, dopodiché, una volta attrezzata la soluzione tecnica sostitutiva, definire nel Registro l’avvenuto aggiornamento per adeguamento alla pronuncia della Corte di Giustizia Europea (che potete leggere qui)

Per qualunque informazione sulla gestione del Registro, o sulle soluzioni alternative potete contattarci ai nostri riferimenti info@consulente-gdpr.it.

Photo Credit: G. Fessy