Stefano Gazzella : 23 Luglio 2023 15:45
Si discute molto delle strategie di mitigazione dei rischi legali per quanto riguarda l’esportazione dei dati personali verso gli Stati Uniti. Le garanzie di tutele analoghe a quelle del GDPR sono una vicenda che si protrae da lungo tempo, ben prima della sentenza Schrems risalente a luglio 2020 e ai primi vagiti del progetto nostrano di MonitoraPA.
Prima c’era il Safe Harbor, poi è arrivato il Privacy Shield. Entrambe decisioni di adeguatezza che sono venute meno su pronuncia della Corte di Giustizia dell’Unione Europea, su ricorso dell’attivista Maximilian Schrems di noyb. Adesso la Commissione UE ha licenziato la nuova decisione di adeguatezza riguardante l’EU-US Data Privacy Framework, concludendo così l’accordo fra Stati Uniti e Unione Europea per il trasferimento di dati personali.
La situazione di stallo si è formalmente risolta, ma l’incertezza non è venuta meno. Anche perchè ogni serie fortunata diventa facilmente una trilogia. Che poi tale trilogia possa essere o meno di successo, lo decide sempre il gradimento del pubblico.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Al momento la situazione è piuttosto semplice: l’esportazione dei dati verso gli Stati Uniti è possibile, purché il destinatario sia certificato secondo il Data Privacy Framework: è possibile controllare qui la lista aggiornata. E se si rientra nell’operatività della decisione di adeguatezza di cui all’art. 45 GDPR, non sono richieste specifiche autorizzazioni né ulteriori garanzie come le clausole contrattuali tipo o le norme vincolanti d’impresa. Ciononostante, le eventuali garanzie adottate ai sensi dell’art. 46 GDPR (nella maggior parte dei casi: clausole contrattuali tipo) possono essere mantenute e anzi comportano un rafforzamento della tutela dei diritti degli interessati.
Al momento l’idea di disconnessione dai servizi US-based si è allontanata, ma per quanto? E soprattutto: quali sono gli scenari prospettabili?
Molti commentatori già parlano di un possibile Schrems III. E no, non è per qualche particolare colpo di genio o geniale intuizione, ma semplicemente perchè la stessa noyb ha immediatamente dichiarato l’intento di impugnare la decisione. Insomma: nulla che non ci potessimo (di nuovo) attendere.
Tant’è che il Commissario europeo alla giustizia Reynard ha commentato in modo piuttosto duro la possibilità che si assisterà ad un nuovo “caso” innanzi alla Corte di Giustizia, affermando che la reiterazione del ricorso segue il “business model” delle ONG. Parole che gli attivisti di noyb non hanno affatto gradito, stante la non troppo velata insinuazione circa la possibile presenza di interessi ulteriori rispetto allo scopo di difendere diritti umani nel mondo digitale.
Le alterne sorti di questa “battaglia per la privacy” vivono per lo più di narrazioni. Ma dopotutto è lo spirito stesso della democrazia: non è una norma a fondare una società, bensì è la stessa società – e dunque: i cittadini – a decidere l’assetto normativo. Tutto questo vale anche nel mondo digitale, che però è caratterizzato da alcune naturali distorsioni in ragione della presenza di quelle vere e proprie giurisdizioni indipendenti delle Big Tech. E se tutto questo già è nella percezione diffusa dei cittadini digitali, ciò è sufficiente per conferirne una carattere di effettività.
Le ONG che rivendicano una tutela di diritti e libertà che ruotano attorno all’identità digitale proseguiranno, e così faranno anche tutte le legittime operazioni di lobbying da parte dei grandi operatori di mercato. Da tutto questo deriva un’inevitabile e crescente situazione di incertezza piuttosto evidente per tutte le organizzazioni dato che sono e si troveranno sempre più immerse nella data economy.
Il contesto esterno incide significativamente sui rischi correlati alle strategie che coinvolgono dati personali, e dunque tale parametro non può essere ignorato. Vero: al momento l’UE-US Data Privacy Framework è una decisione che consente tali attività e la selezione di fornitori statunitensi, e potrà prevedibilmente arrivare almeno ad una revisione annuale se non anche ad un secondo compleanno. Ma è altrettanto vero che se si sceglie di ignorare la possibilità di una sentenza Schrems III, limitandosi all’attesa, ci si potrebbe trovare nuovamente ad operare spinti dall’emergenza al fine di non incorrere in possibili violazioni del GDPR. O anche ad essere “presi di mira” da alcune campagne degli attivisti.
Come pianificare la mitigazione di questi rischi legali?
Non esiste una risposta univoca. Tutto dipende dal contesto in cui opera l’organizzazione, la data maturity e una serie di altri fattori che devono essere specificamente analizzati. Un esempio può essere iniziare ora un riesame del processo di selezione dei fornitori. E questo significa avere il vantaggio di un lasso di tempo ragionevole per svolgere questo tipo di attività, con maggiore resistenza alle pressioni distorsive (talvolta al limite, o oltre i limiti della normativa antitrust) che alcuni operatori di mercato hanno già attuato e potrebbero attuare di nuovo. Inoltre, si può anche tenere conto che alcune aziende potrebbero essere spinte a lavorare sull’offerta di alternative EU-based di qualità. E quando non c’è senso di urgenza, sarà possibile svolgere valutazioni e scelte maggiormente ponderate.
Certo, molto altro si può dire sulla ricerca di sovranità digitale da parte dell’Unione Europea e delle istanze di alcuni cittadini. Ma questo è al di fuori della possibilità di controllo da parte delle organizzazioni. Quindi tanto vale cercare di approfittare di questo periodo di quiete dopo la tempesta per decidere e consolidare le proprie strategie.
Beninteso, è possibile optare anche per un’accettazione del rischio. Basta che sia fatto in modo consapevole. E rendicontato, come accountability richiede.
Stefano GazzellaCisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...
Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...
Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...
Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...
