Risale ormai a luglio scorso la sentenza della Corte di Giustizia Europea che ha invalidato il Privacy Shield, il meccanismo di protezione USA sull’export dei dati personali dei cittadini europei.
Da più di sei mesi si sente parlare di proposte e lavori preparatori per arrivare a nuove Standard Contractual Clauses (SCCs), strumenti che consentirebbero il trasferimento sicuro e protetto dei dati in paesi al di fuori dell’Unione.
A causa di un vuoto normativo, sempre più difficile da colmare, i dati dei cittadini europei rischiano di essere esposti a numerosi pericoli. E così le aziende.
Le multinazionali soprattutto, quelle presenti sul territorio dell’Unione Europea che, nella loro quotidiana operatività, si confrontano con problemi legati al trasferimento extra-UE di dati appartenenti a cittadini comunitari.
Le organizzazioni realmente corse ai ripari, e che si sono rese compliant alle sopravvenienze giurisprudenziali sono poche. Troppo poche, soprattutto in relazione all’esponenziale volume di attività online che è derivato dall’emergenza sanitaria. Didattica a distanza e riorganizzazione del lavoro in “smartworking” hanno fatto diventare le piattaforme di comunicazione strumenti di uso quotidiano. Zoom, Meet, Teams... la collaborazione si è trasferita online e si basa spesso su server siti in territori extraeuropei.
Negli Stati Uniti, ad esempio, ci sono leggi federali che possono imporre a un’organizzazione di cedere tutti i dati di cui è in possesso relativi ai propri clienti, indipendentemente dal fatto che questi si trovano in un altro continente. Ci sono anche paesi dove sono in vigore normative in grado di tutelare i dati provenienti dall’Europa, come ad esempio il Giappone o il Brasile, ma ne esistono altri in cui completi set di dati personali sono venduti e scambiati come qualsiasi bene materiale.
Tuttavia, in attesa del framework normativo che sostituirà il Privacy Shield, l’Unione Europea ha già rilasciato una serie di linee guida per l’interscambio dati UE-USA. Una serie di misure di protezione alternative che dovrebbero sempre essere all’attenzione di tutti coloro che sono coinvolti in questo scenario. Tra queste: anonimizzare o pseudonimizzare i dati quando possibile, per esempio. O adottare policy interne per la condivisione protetta delle informazioni tra i diversi dipartimenti dell’azienda, utilizzare solo strumenti certificati dagli enti accreditati, fare una completa analisi del rischio interno e avviare una formazione quanto più specifica possibile per i propri dipendenti.
Tutti principi che dovrebbero corrispondere a una prassi standard me che appaiono irrinunciabile nel momento in cui si confronta con paesi sprovvisti di tutele normative comparabili a quelle europee.
Photo by FLY:D on Unsplash