Stefano Gazzella : 23 Luglio 2023 15:45
Si discute molto delle strategie di mitigazione dei rischi legali per quanto riguarda l’esportazione dei dati personali verso gli Stati Uniti. Le garanzie di tutele analoghe a quelle del GDPR sono una vicenda che si protrae da lungo tempo, ben prima della sentenza Schrems risalente a luglio 2020 e ai primi vagiti del progetto nostrano di MonitoraPA.
Prima c’era il Safe Harbor, poi è arrivato il Privacy Shield. Entrambe decisioni di adeguatezza che sono venute meno su pronuncia della Corte di Giustizia dell’Unione Europea, su ricorso dell’attivista Maximilian Schrems di noyb. Adesso la Commissione UE ha licenziato la nuova decisione di adeguatezza riguardante l’EU-US Data Privacy Framework, concludendo così l’accordo fra Stati Uniti e Unione Europea per il trasferimento di dati personali.
La situazione di stallo si è formalmente risolta, ma l’incertezza non è venuta meno. Anche perchè ogni serie fortunata diventa facilmente una trilogia. Che poi tale trilogia possa essere o meno di successo, lo decide sempre il gradimento del pubblico.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Al momento la situazione è piuttosto semplice: l’esportazione dei dati verso gli Stati Uniti è possibile, purché il destinatario sia certificato secondo il Data Privacy Framework: è possibile controllare qui la lista aggiornata. E se si rientra nell’operatività della decisione di adeguatezza di cui all’art. 45 GDPR, non sono richieste specifiche autorizzazioni né ulteriori garanzie come le clausole contrattuali tipo o le norme vincolanti d’impresa. Ciononostante, le eventuali garanzie adottate ai sensi dell’art. 46 GDPR (nella maggior parte dei casi: clausole contrattuali tipo) possono essere mantenute e anzi comportano un rafforzamento della tutela dei diritti degli interessati.
Al momento l’idea di disconnessione dai servizi US-based si è allontanata, ma per quanto? E soprattutto: quali sono gli scenari prospettabili?
Molti commentatori già parlano di un possibile Schrems III. E no, non è per qualche particolare colpo di genio o geniale intuizione, ma semplicemente perchè la stessa noyb ha immediatamente dichiarato l’intento di impugnare la decisione. Insomma: nulla che non ci potessimo (di nuovo) attendere.
Tant’è che il Commissario europeo alla giustizia Reynard ha commentato in modo piuttosto duro la possibilità che si assisterà ad un nuovo “caso” innanzi alla Corte di Giustizia, affermando che la reiterazione del ricorso segue il “business model” delle ONG. Parole che gli attivisti di noyb non hanno affatto gradito, stante la non troppo velata insinuazione circa la possibile presenza di interessi ulteriori rispetto allo scopo di difendere diritti umani nel mondo digitale.
Le alterne sorti di questa “battaglia per la privacy” vivono per lo più di narrazioni. Ma dopotutto è lo spirito stesso della democrazia: non è una norma a fondare una società, bensì è la stessa società – e dunque: i cittadini – a decidere l’assetto normativo. Tutto questo vale anche nel mondo digitale, che però è caratterizzato da alcune naturali distorsioni in ragione della presenza di quelle vere e proprie giurisdizioni indipendenti delle Big Tech. E se tutto questo già è nella percezione diffusa dei cittadini digitali, ciò è sufficiente per conferirne una carattere di effettività.
Le ONG che rivendicano una tutela di diritti e libertà che ruotano attorno all’identità digitale proseguiranno, e così faranno anche tutte le legittime operazioni di lobbying da parte dei grandi operatori di mercato. Da tutto questo deriva un’inevitabile e crescente situazione di incertezza piuttosto evidente per tutte le organizzazioni dato che sono e si troveranno sempre più immerse nella data economy.
Il contesto esterno incide significativamente sui rischi correlati alle strategie che coinvolgono dati personali, e dunque tale parametro non può essere ignorato. Vero: al momento l’UE-US Data Privacy Framework è una decisione che consente tali attività e la selezione di fornitori statunitensi, e potrà prevedibilmente arrivare almeno ad una revisione annuale se non anche ad un secondo compleanno. Ma è altrettanto vero che se si sceglie di ignorare la possibilità di una sentenza Schrems III, limitandosi all’attesa, ci si potrebbe trovare nuovamente ad operare spinti dall’emergenza al fine di non incorrere in possibili violazioni del GDPR. O anche ad essere “presi di mira” da alcune campagne degli attivisti.
Come pianificare la mitigazione di questi rischi legali?
Non esiste una risposta univoca. Tutto dipende dal contesto in cui opera l’organizzazione, la data maturity e una serie di altri fattori che devono essere specificamente analizzati. Un esempio può essere iniziare ora un riesame del processo di selezione dei fornitori. E questo significa avere il vantaggio di un lasso di tempo ragionevole per svolgere questo tipo di attività, con maggiore resistenza alle pressioni distorsive (talvolta al limite, o oltre i limiti della normativa antitrust) che alcuni operatori di mercato hanno già attuato e potrebbero attuare di nuovo. Inoltre, si può anche tenere conto che alcune aziende potrebbero essere spinte a lavorare sull’offerta di alternative EU-based di qualità. E quando non c’è senso di urgenza, sarà possibile svolgere valutazioni e scelte maggiormente ponderate.
Certo, molto altro si può dire sulla ricerca di sovranità digitale da parte dell’Unione Europea e delle istanze di alcuni cittadini. Ma questo è al di fuori della possibilità di controllo da parte delle organizzazioni. Quindi tanto vale cercare di approfittare di questo periodo di quiete dopo la tempesta per decidere e consolidare le proprie strategie.
Beninteso, è possibile optare anche per un’accettazione del rischio. Basta che sia fatto in modo consapevole. E rendicontato, come accountability richiede.
Stefano GazzellaI criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...
Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...
Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...
Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...
Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...
