Perchè affidare i tuoi dati ad un operatore che si impegna a mantenerli in Italia può essere un grande vantaggio ?

La risposta è molto semplice ed altrettanto complessa: la materia “gestione dei dati in stati esteri” è parecchio controversa e potresti rischiare di perdere tempo e risorse a rincorrere norme in continua evoluzione, verificarne l’applicazione da parte del fornitore oltre ad esporti a qualche brutta figura con clienti ed amministratori.

In altre parole diventa molto più difficile ottenere ciò che ogni Azienda dovrebbe chiedere al proprio fornitore di servizi Cloud (siano essi posta elettronica, backup, sync & share o altro).

Questo per via di due fattori principali :

  • Per l’Unione Europea gli USA non rispettano la privacy dei tuoi dati
  • Gli altri paesi UE hanno norme sulle privacy diverse da quelle italiane.

Entriamo meglio in argomento e vediamo di capirne di più.

Privacy nel Cloud : a chi interessano i miei dati ?

Attenzione… se per “i miei dati” intendi le foto su Facebook, le mail personali oppure i video delle vacanze salvati su Dropbox, probabilmente nessuno potrà mai avere interesse ad accedervi in modo non controllato.

Ma cosa succede se un tuo cliente ti chiede conto di come e dove vengono conservate le mail che ti invia ?

Oppure se il tuo amministratore delegato ti chiede le modalità di data rentention che applica il tuo fornitore di posta elettronica o altri servizi cloud ?

Ecco che allora diventa fondamentale avere le idee chiare in materia, anche se la tua Azienda non opera in ambiti “sensibili” come difesa, farmaceutica, ricerca o altro.

Dati negli USA? non sono più un “safe harbor”.

Ti riporto un estratto dal sito del garante della Privacy :

Il trasferimento di dati personali da paesi appartenenti all’UE verso Paesi “terzi” (non appartenenti all’UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è vietato, in linea di principio (articolo 25, comma 1, della Direttiva 95/46/CE), a meno che il Paese in questione garantisca un livello di protezione “adeguato”; la Commissione ha il potere di stabilire tale adeguatezza attraverso una specifica decisione (articolo 25, comma 6, della Direttiva 95/46/CE).

Ha fatto molto clamore la recente sentenza delle Corte UE che rende nullo l’accordo “Safe Harbor” (letteralmente “porto sicuro”), con la quale Commissione Europea sanciva che gli USA garantiscono il livello di protezione adeguato di cui si accenna sopra.

Il Safe Harbor risale al Luglio 2000 (nota bene : si tratta dell’era pre-cloud), ora a fronte dei problemi di privacy sollevati dai recenti scandali internazionali, questo accordo non è più valido, quindi per i cittadini e per le Aziende italiane ed europee è di fatto vietato trasferire i propri dati negli USA.

safe harbor cloud

La sentenza accoglie il ricorso di un cittadino austriaco che ha richiesto di vietare a Facebook di trasferire oltreoceano i propri dati personali, ma se parliamo di business la questione interessa sopratutto  altri player, in primis Microsoft e Google.

Ecco le parole del garante Antonello Soro che, commentando la sentenza, ha detto che l’accordo non è più valido in quanto:

compromesso dall’esistenza di forme di sorveglianza e accesso del tutto indiscriminate da parte di autorità di Paesi terzi, che peraltro non rispettano l’ordinamento europeo sulla protezione dei dati.

Non potrebbe essere più chiaro : il governo USA non rispetta l’ordinamento europeo in materia di privacy, essendo infatti dimostrato che accede tranquillamente ai dati di cittadini ed aziende anche quando non vi sono ragioni stringenti di sicurezza per farlo.

Ovviamente quando si parla di diritto, c’è sempre il cavillo, la scappatoia o la deroga…, ed in questo caso ci sono le condizioni contrattuali standard che un fornitore propone.

Le condizioni contrattuali standard.

Riporto sempre dal sito del Garante della Privacy :

La Commissione europea, ai sensi dell’articolo 26(4) della Direttiva 95/46/CE, può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi. Si tratta di una delle deroghe (stabilite nel comma 2 dell’articolo 26 della Direttiva 95/46/CE) al divieto di effettuare il trasferimento verso Paesi che non offrono garanzie “adeguate” ai sensi della Direttiva 95/46/CE.

In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo di destinazione.

Quindi un fornitore può ancora trasferire dati negli USA, ma deve assicurare contrattualmente che sui quei dati vale la legislazione italiana ed Europea.

Si tratta del classico compromesso di facciata: il fornitore garantisce qualcosa che difficilmente potrà mantenere, essendo le leggi da applicare in controtendenza con le leggi del Paese che ospita i tuoi dati.

Inoltre, come riporta un interessante articolo de “il Foglio Quotidiano”, una legge americana in vigore dal 1986 prescrive alle aziende tecnologiche di cedere i file conservati in America solo in risposta all’ordine di un giudice americano, e mediamente le richieste vengono evase nel giro di un anno: puoi immaginarti il livello di complessità e di costi per la tua Azienda in caso tu dovessi ricorrere a tale procedura !

E la privacy in altri stati europei ?

Microsoft utilizza Datacenter situati in Irlanda, Olanda, Austria e Finlandia per ospitare i dati dei clienti europei di Office365, mentre Amazon, per il proprio servizio Amazon AWS, eroga da Datacenter in Irlanda e Germania, e si impegna, a quanto pare, a non duplicare i tuoi dati altrove, a meno che tu non ne faccia espressa richiesta (ad esempio per tue particolari esigenze di ridondanza).

Se stai pensando di utilizzare Office 365, Gmail piuttosto che altri servizi Cloud come ad esempio Dropbox for Business e vuoi tutelare la privacy delle tue mail e dei tuoi files, è meglio rivolgersi ad un bravo legale esperto di diritto comunitario che saprà dirti se le clausole contrattuali sono in linea con le direttive europee.

Inoltre, come ulteriore complicazione, i dati mantenuti in altri Paesi UE sono soggetti alle leggi di quel Paese : purtroppo ogni Paese ha leggi sulle privacy diversi da quelle italiane.

Ogni eventuale controversia verrà quindi trattata in quel Paese, con ulteriore aggravio di costi e tempistiche di gestione. (non credo sia semplice trovare un legale esperto di leggi irlandesi, tedesche o finlandesi…).

Conclusioni…

Avere un fornitore che trasferisce i tuoi dati all’estero, pur essendo a determinate condizioni legalmente possibile, può portare dispiego di tempo e costi aggiuntivi per verifica delle condizioni contrattuale e dell’effettivo rispetto delle stesse.

Anche mantenere i dati all’interno di altri Paesi UE può risultare di non facile gestione, mancando un completo allineamento delle legge sulla privacy nelle diverse nazioni.

Affidare i tuoi dati ad un fornitore che li mantenga in Italia ti mette al riparo da tutto ciò.

Se vuoi capirne di più contattami qui.