Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Si discute molto delle strategie di mitigazione dei rischi legali per quanto riguarda l’esportazione dei dati personali verso gli Stati Uniti. Le garanzie di tutele analoghe a quelle del GDPR sono una vicenda che si protrae da lungo tempo, ben prima della sentenza Schrems risalente a luglio 2020 e ai primi vagiti del progetto nostrano di MonitoraPA.
Prima c’era il Safe Harbor, poi è arrivato il Privacy Shield. Entrambe decisioni di adeguatezza che sono venute meno su pronuncia della Corte di Giustizia dell’Unione Europea, su ricorso dell’attivista Maximilian Schrems di noyb. Adesso la Commissione UE ha licenziato la nuova decisione di adeguatezza riguardante l’EU-US Data Privacy Framework, concludendo così l’accordo fra Stati Uniti e Unione Europea per il trasferimento di dati personali.
La situazione di stallo si è formalmente risolta, ma l’incertezza non è venuta meno. Anche perchè ogni serie fortunata diventa facilmente una trilogia. Che poi tale trilogia possa essere o meno di successo, lo decide sempre il gradimento del pubblico.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Al momento la situazione è piuttosto semplice: l’esportazione dei dati verso gli Stati Uniti è possibile, purché il destinatario sia certificato secondo il Data Privacy Framework: è possibile controllare qui la lista aggiornata. E se si rientra nell’operatività della decisione di adeguatezza di cui all’art. 45 GDPR, non sono richieste specifiche autorizzazioni né ulteriori garanzie come le clausole contrattuali tipo o le norme vincolanti d’impresa. Ciononostante, le eventuali garanzie adottate ai sensi dell’art. 46 GDPR (nella maggior parte dei casi: clausole contrattuali tipo) possono essere mantenute e anzi comportano un rafforzamento della tutela dei diritti degli interessati.
Al momento l’idea di disconnessione dai servizi US-based si è allontanata, ma per quanto? E soprattutto: quali sono gli scenari prospettabili?
Molti commentatori già parlano di un possibile Schrems III. E no, non è per qualche particolare colpo di genio o geniale intuizione, ma semplicemente perchè la stessa noyb ha immediatamente dichiarato l’intento di impugnare la decisione. Insomma: nulla che non ci potessimo (di nuovo) attendere.
Tant’è che il Commissario europeo alla giustizia Reynard ha commentato in modo piuttosto duro la possibilità che si assisterà ad un nuovo “caso” innanzi alla Corte di Giustizia, affermando che la reiterazione del ricorso segue il “business model” delle ONG. Parole che gli attivisti di noyb non hanno affatto gradito, stante la non troppo velata insinuazione circa la possibile presenza di interessi ulteriori rispetto allo scopo di difendere diritti umani nel mondo digitale.
Le alterne sorti di questa “battaglia per la privacy” vivono per lo più di narrazioni. Ma dopotutto è lo spirito stesso della democrazia: non è una norma a fondare una società, bensì è la stessa società – e dunque: i cittadini – a decidere l’assetto normativo. Tutto questo vale anche nel mondo digitale, che però è caratterizzato da alcune naturali distorsioni in ragione della presenza di quelle vere e proprie giurisdizioni indipendenti delle Big Tech. E se tutto questo già è nella percezione diffusa dei cittadini digitali, ciò è sufficiente per conferirne una carattere di effettività.
Le ONG che rivendicano una tutela di diritti e libertà che ruotano attorno all’identità digitale proseguiranno, e così faranno anche tutte le legittime operazioni di lobbying da parte dei grandi operatori di mercato. Da tutto questo deriva un’inevitabile e crescente situazione di incertezza piuttosto evidente per tutte le organizzazioni dato che sono e si troveranno sempre più immerse nella data economy.
Il contesto esterno incide significativamente sui rischi correlati alle strategie che coinvolgono dati personali, e dunque tale parametro non può essere ignorato. Vero: al momento l’UE-US Data Privacy Framework è una decisione che consente tali attività e la selezione di fornitori statunitensi, e potrà prevedibilmente arrivare almeno ad una revisione annuale se non anche ad un secondo compleanno. Ma è altrettanto vero che se si sceglie di ignorare la possibilità di una sentenza Schrems III, limitandosi all’attesa, ci si potrebbe trovare nuovamente ad operare spinti dall’emergenza al fine di non incorrere in possibili violazioni del GDPR. O anche ad essere “presi di mira” da alcune campagne degli attivisti.
Come pianificare la mitigazione di questi rischi legali?
Non esiste una risposta univoca. Tutto dipende dal contesto in cui opera l’organizzazione, la data maturity e una serie di altri fattori che devono essere specificamente analizzati. Un esempio può essere iniziare ora un riesame del processo di selezione dei fornitori. E questo significa avere il vantaggio di un lasso di tempo ragionevole per svolgere questo tipo di attività, con maggiore resistenza alle pressioni distorsive (talvolta al limite, o oltre i limiti della normativa antitrust) che alcuni operatori di mercato hanno già attuato e potrebbero attuare di nuovo. Inoltre, si può anche tenere conto che alcune aziende potrebbero essere spinte a lavorare sull’offerta di alternative EU-based di qualità. E quando non c’è senso di urgenza, sarà possibile svolgere valutazioni e scelte maggiormente ponderate.
Certo, molto altro si può dire sulla ricerca di sovranità digitale da parte dell’Unione Europea e delle istanze di alcuni cittadini. Ma questo è al di fuori della possibilità di controllo da parte delle organizzazioni. Quindi tanto vale cercare di approfittare di questo periodo di quiete dopo la tempesta per decidere e consolidare le proprie strategie.
Beninteso, è possibile optare anche per un’accettazione del rischio. Basta che sia fatto in modo consapevole. E rendicontato, come accountability richiede.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Solo un anno fa, i medici non potevano dire con certezza se KJ Muldoon sarebbe sopravvissuto al suo primo anno di vita. Oggi sta muovendo i primi passi a casa, con la sua famiglia al suo fianco. Quest...
Una nuova vulnerabilità nei componenti FreeBSD responsabili della configurazione IPv6 consente l’esecuzione remota di codice arbitrario su un dispositivo situato sulla stessa rete locale dell’agg...
Dopo aver approfondito i delicati equilibri che vincolano gli operatori di Cyber Threat Intelligence(CTI) tra il GDPR e il rischio di Ricettazione, è fondamentale rivolgere l’attenzione a chiunque,...
Il mondo della tecnologia è un vero e proprio campo di battaglia, dove i geni del coding sfidano ogni giorno i malintenzionati a colpi di exploit e patch di sicurezza. Ecco perché la recente scopert...
Questa notizia ci arriva dal feed News & Research di Recorded Future (Insikt Group): Check Point Research ha documentato una nuova ondata di attività attribuita al threat actor China-linked Ink D...
