Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Stefano Gazzella : 23 Luglio 2023 15:45
Si discute molto delle strategie di mitigazione dei rischi legali per quanto riguarda l’esportazione dei dati personali verso gli Stati Uniti. Le garanzie di tutele analoghe a quelle del GDPR sono una vicenda che si protrae da lungo tempo, ben prima della sentenza Schrems risalente a luglio 2020 e ai primi vagiti del progetto nostrano di MonitoraPA.
Prima c’era il Safe Harbor, poi è arrivato il Privacy Shield. Entrambe decisioni di adeguatezza che sono venute meno su pronuncia della Corte di Giustizia dell’Unione Europea, su ricorso dell’attivista Maximilian Schrems di noyb. Adesso la Commissione UE ha licenziato la nuova decisione di adeguatezza riguardante l’EU-US Data Privacy Framework, concludendo così l’accordo fra Stati Uniti e Unione Europea per il trasferimento di dati personali.
La situazione di stallo si è formalmente risolta, ma l’incertezza non è venuta meno. Anche perchè ogni serie fortunata diventa facilmente una trilogia. Che poi tale trilogia possa essere o meno di successo, lo decide sempre il gradimento del pubblico.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Al momento la situazione è piuttosto semplice: l’esportazione dei dati verso gli Stati Uniti è possibile, purché il destinatario sia certificato secondo il Data Privacy Framework: è possibile controllare qui la lista aggiornata. E se si rientra nell’operatività della decisione di adeguatezza di cui all’art. 45 GDPR, non sono richieste specifiche autorizzazioni né ulteriori garanzie come le clausole contrattuali tipo o le norme vincolanti d’impresa. Ciononostante, le eventuali garanzie adottate ai sensi dell’art. 46 GDPR (nella maggior parte dei casi: clausole contrattuali tipo) possono essere mantenute e anzi comportano un rafforzamento della tutela dei diritti degli interessati.
Al momento l’idea di disconnessione dai servizi US-based si è allontanata, ma per quanto? E soprattutto: quali sono gli scenari prospettabili?
Molti commentatori già parlano di un possibile Schrems III. E no, non è per qualche particolare colpo di genio o geniale intuizione, ma semplicemente perchè la stessa noyb ha immediatamente dichiarato l’intento di impugnare la decisione. Insomma: nulla che non ci potessimo (di nuovo) attendere.
Tant’è che il Commissario europeo alla giustizia Reynard ha commentato in modo piuttosto duro la possibilità che si assisterà ad un nuovo “caso” innanzi alla Corte di Giustizia, affermando che la reiterazione del ricorso segue il “business model” delle ONG. Parole che gli attivisti di noyb non hanno affatto gradito, stante la non troppo velata insinuazione circa la possibile presenza di interessi ulteriori rispetto allo scopo di difendere diritti umani nel mondo digitale.
Le alterne sorti di questa “battaglia per la privacy” vivono per lo più di narrazioni. Ma dopotutto è lo spirito stesso della democrazia: non è una norma a fondare una società, bensì è la stessa società – e dunque: i cittadini – a decidere l’assetto normativo. Tutto questo vale anche nel mondo digitale, che però è caratterizzato da alcune naturali distorsioni in ragione della presenza di quelle vere e proprie giurisdizioni indipendenti delle Big Tech. E se tutto questo già è nella percezione diffusa dei cittadini digitali, ciò è sufficiente per conferirne una carattere di effettività.
Le ONG che rivendicano una tutela di diritti e libertà che ruotano attorno all’identità digitale proseguiranno, e così faranno anche tutte le legittime operazioni di lobbying da parte dei grandi operatori di mercato. Da tutto questo deriva un’inevitabile e crescente situazione di incertezza piuttosto evidente per tutte le organizzazioni dato che sono e si troveranno sempre più immerse nella data economy.
Il contesto esterno incide significativamente sui rischi correlati alle strategie che coinvolgono dati personali, e dunque tale parametro non può essere ignorato. Vero: al momento l’UE-US Data Privacy Framework è una decisione che consente tali attività e la selezione di fornitori statunitensi, e potrà prevedibilmente arrivare almeno ad una revisione annuale se non anche ad un secondo compleanno. Ma è altrettanto vero che se si sceglie di ignorare la possibilità di una sentenza Schrems III, limitandosi all’attesa, ci si potrebbe trovare nuovamente ad operare spinti dall’emergenza al fine di non incorrere in possibili violazioni del GDPR. O anche ad essere “presi di mira” da alcune campagne degli attivisti.
Come pianificare la mitigazione di questi rischi legali?
Non esiste una risposta univoca. Tutto dipende dal contesto in cui opera l’organizzazione, la data maturity e una serie di altri fattori che devono essere specificamente analizzati. Un esempio può essere iniziare ora un riesame del processo di selezione dei fornitori. E questo significa avere il vantaggio di un lasso di tempo ragionevole per svolgere questo tipo di attività, con maggiore resistenza alle pressioni distorsive (talvolta al limite, o oltre i limiti della normativa antitrust) che alcuni operatori di mercato hanno già attuato e potrebbero attuare di nuovo. Inoltre, si può anche tenere conto che alcune aziende potrebbero essere spinte a lavorare sull’offerta di alternative EU-based di qualità. E quando non c’è senso di urgenza, sarà possibile svolgere valutazioni e scelte maggiormente ponderate.
Certo, molto altro si può dire sulla ricerca di sovranità digitale da parte dell’Unione Europea e delle istanze di alcuni cittadini. Ma questo è al di fuori della possibilità di controllo da parte delle organizzazioni. Quindi tanto vale cercare di approfittare di questo periodo di quiete dopo la tempesta per decidere e consolidare le proprie strategie.
Beninteso, è possibile optare anche per un’accettazione del rischio. Basta che sia fatto in modo consapevole. E rendicontato, come accountability richiede.
Stefano GazzellaLa recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
La saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
