Le aziende si interessano mediamente poco alle questioni legali internazionali che riguardano la privacy dei dati e l'applicazione del GDPR in nazioni non UE. Questioni che spesso appaiono remote e poco collegate ai principali obblighi di compliance a livello locale. È importante però seguirle se si gestiscono dati particolarmente sensibili utilizzando servizi cloud. Perché ci sono ancora diverse aree indefinite che possono, inconsapevolmente, portare a situazioni impreviste di non conformità.

Una di queste "aree indefinite", e particolarmente importante, è la tutela dei dati da parte dei cloud service provider non europei. In attesa del multi-cloud europeo, le aziende oggi si servono principalmente di provider statunitensi. E il passaggio di dati tra le due sponde dell'Atlantico è da tempo una questione parecchio dibattuta. Da quando il Privacy Shield è stato invalidato - lo scorso luglio - e se vogliamo ancora prima, da quando è decaduto l'approccio del Safe Harbor.

La Corte di Giustizia Europea ha stabilito che il Privacy Shield di fatto non tutela le aziende e i cittadini europei di fronte a irregolarità nella gestione dei loro dati da pare di aziende statunitensi (ma non solo quelle). Il rischio del blocco del flusso di informazioni tra Europa e USA è stato evitato con l'approccio delle Standard Contractual Clauses, clausole contrattuali specifiche che le aziende USA definiscono proprio per questo ambito.
Queste clausole devono prevedere misure specifiche - contrattuali, tecniche, organizzative - per la tutela della privacy dei dati. La grandissima parte dei cloud provider ha puntato sulla cifratura delle informazioni come garanzia di tutela. Se l'azienda che porta i dati sensibili in cloud li cifra e gestisce in proprio le chiavi di cifratura, i rischi di gestione impropria di quei dati sono azzerati.

Non è del tutto vero, ha invece spiegato l'EDPB. Nell'allegato 2 di un lungo documento spiega il modo corretto per implementare alcune misure tecniche a tutela della privacy. Qui si indica in modo specifico che nell'utilizzo di sistemi di cifratura le chiavi di encryption devono essere direttamente e unicamente controllate da chi esporta i dati (o da un'altra entità a cui è stato affidato questo compito) e risiedere nell'Area Economica Europea o in una nazione considerata affidabile.

Conseguenza: secondo l'EDPB non è compliant al GDPR cifrare i dati localizzati presso un provider statunitense usando un servizio per cui le chiavi di cifratura risiedono presso quel provider. O comunque non restano localizzate in nazioni "trusted". Questo perché quel provider potrebbe, per legge, essere forzato a cedere le chiavi di cifratura a qualche autorità locale, vanificando il senso della cifratura a scopo di tutela della privacy.

Un'azienda dovrebbe quindi organizzarsi per gestire in proprio le chiavi di cifratura. Oppure usare un servizio esterno che però sia del tutto "localizzato", idealmente, entro i confini dell'Unione.