Le aziende si interessano mediamente poco alle
questioni legali internazionali che riguardano la privacy dei dati e l'applicazione del GDPR in nazioni non UE. Questioni che spesso appaiono remote e poco collegate ai principali obblighi di compliance a livello locale. È importante però seguirle se si gestiscono dati particolarmente sensibili
utilizzando servizi cloud. Perché ci sono ancora diverse aree indefinite che possono, inconsapevolmente, portare a situazioni impreviste di non conformità.
Una di queste "aree indefinite", e particolarmente importante, è la tutela dei dati da parte dei
cloud service provider non europei. In attesa del multi-cloud europeo, le aziende oggi si servono principalmente di provider statunitensi. E il passaggio di dati tra le due sponde dell'Atlantico è da tempo una questione parecchio dibattuta. Da quando il
Privacy Shield è stato
invalidato - lo scorso luglio - e se vogliamo ancora prima, da quando è decaduto l'approccio del Safe Harbor.
La Corte di Giustizia Europea ha stabilito che il Privacy Shield di fatto
non tutela le aziende e i cittadini europei di fronte a irregolarità nella gestione dei loro dati da pare di aziende statunitensi (ma non solo quelle). Il rischio del blocco del flusso di informazioni tra Europa e USA è stato
evitato con l'approccio delle
Standard Contractual Clauses, clausole contrattuali specifiche che le aziende USA definiscono proprio per questo ambito.
Queste clausole devono prevedere
misure specifiche - contrattuali, tecniche, organizzative - per la tutela della privacy dei dati. La grandissima parte dei cloud provider ha puntato sulla
cifratura delle informazioni come garanzia di tutela. Se l'azienda che porta i dati sensibili in cloud li cifra e gestisce in proprio le chiavi di cifratura, i rischi di gestione impropria di quei dati sono azzerati.
Non è del tutto vero, ha invece spiegato l'EDPB. Nell'allegato 2 di un
lungo documento spiega il modo corretto per implementare alcune misure tecniche a tutela della privacy. Qui si indica in modo specifico che nell'utilizzo di sistemi di cifratura le chiavi di encryption devono essere
direttamente e unicamente controllate da chi esporta i dati (o da un'altra entità a cui è stato affidato questo compito) e
risiedere nell'Area Economica Europea o in una nazione considerata affidabile.
Conseguenza: secondo l'EDPB non è compliant al GDPR cifrare i dati localizzati presso un provider statunitense usando un servizio per cui le chiavi di cifratura
risiedono presso quel provider. O comunque non restano localizzate in nazioni "trusted". Questo perché quel provider potrebbe, per legge, essere
forzato a cedere le chiavi di cifratura a qualche autorità locale, vanificando il senso della cifratura a scopo di tutela della privacy.
Un'azienda dovrebbe quindi organizzarsi per
gestire in proprio le chiavi di cifratura. Oppure usare un servizio esterno che però sia del tutto "localizzato", idealmente, entro i confini dell'Unione.