Siamo di fronte ad un cambiamento che potrebbe essere epocale, naturalmente ci riferiamo alla nostra epoca, molto recente, fatta di startup americane che in pochi anni hanno conquistato il globo con le loro tecnologie e i loro servizi.
La vecchia Europa però questa volta sembra faccia sul serio e non ci sta a modificare le sue rigide direttive relative alla protezione dei dati.
Non verrà ritenuto sicuro l'utilizzo, da parte delle pa e delle imprese private, di soluzioni che archiviano dati nella Silicon Valley. In attesa di conoscere le conseguenze di questa decisione leggete di seguito cosa è accaduto.
Indice:
La "cultura della sorveglianza" degli Stati Uniti ha ricevuto in questi giorni un deciso altolà dell’UE: la Corte di giustizia Europea si è pronunciata contro la legittimità delle Clausole Contrattuali Standard dell’UE, ritenendola un modo per trasferire i dati a regimi legali al di fuori dell'Unione.
Come abbiamo scritto 2 anni fa, l'austriaco Max Schrems, responsabile della precedente interruzione dell'accordo "Safe Harbor" tra Stati Uniti e UE, ha dichiarato che il suo successore “Privacy Shield” "Sarebbe stato invalidato non appena i tribunali dell'UE avessero deliberato" . E sembra che avesse ragione.
Come spiegato pochi giorni fa a Euroactiv :
"La preoccupazione di Schrems è che la Sezione 702 della Foreign Intelligence Surveillance Act degli Stati Uniti (FISA), consenta alla National Security Agency (NSA) di raccogliere informazioni all’estero su soggetti non americani situati al di fuori degli Stati Uniti, ottenendole grazie a fornitori di servizi di comunicazione elettronica, come Facebook."
In effetti, regolamenti come il Cloud Act hanno già portato le società cloud statunitensi a rinunciare alla lotta per la privacy , spingendo i giganti del cloud europei a collaborare e fornire un'alternativa .
Oggi, la sentenza della Corte di Giustizia dell’Unione Europa (CJEU) invalida "Privacy Shield" in un caso di sorveglianza degli Stati Uniti.
La prima dichiarazione dell'organizzazione NOYB di Max Schrems sulla sentenza della CJEU può essere letta qui.
Si evince come la Commissione europea avesse ceduto alle pressioni statunitensi, senza valutare approfonditamente le loro leggi sulla sorveglianza, ma approvando rapidamente il Privacy Shield per proteggere le attività delle imprese statunitensi a discapito della privacy e della sicurezza dei cittadini dell'UE.
Citando Herwig Hofmann, professore di diritto all'Università del Lussemburgo e uno degli avvocati che discutono i casi di Schrems dinanzi alla CJEU:
"La CJEU ha invalidato la seconda decisione della Commissione che viola i diritti fondamentali della protezione dei dati dell'UE.
Non può esserci trasferimento di dati in un paese con forme di sorveglianza di massa.
Fintanto che la legge degli Stati Uniti conferirà al proprio governo i poteri di impossessarsi dai dati dell'UE che transitano negli Stati Uniti, tali strumenti saranno invalidati ancora ed ancora.
L' accettazione da parte della Commissione delle leggi statunitensi sulla sorveglianza presenti nel Privacy Shield li aveva lasciati senza difesa."
Molte autorità tedesche per la protezione dei dati hanno già concluso in varie occasioni che l'uso di Office 365 nelle scuole è illegale e l'uso di servizi di chat e di comunicazione video ospitati all'estero pone problemi di conformità, raccomandando invece Nextcloud Talk.
Quelle svedesi e olandesi sono giunte alla stessa conclusione ripetutamente.
La CJEU stabilisce che le Data Protection Authority (DPA) hanno il dovere di agire e non di piegarsi alla pressione politica, come è già successo più volte.
"Distogliere lo sguardo non è una soluzione."
Le società cloud statunitensi come Microsoft hanno già mostrato di non rispettare le leggi europee sulla privacy, come è stato dimostrato di recente in una vasta valutazione dell'impatto sulla protezione dei dati di Office 365 dal governo olandese, esponendo dozzine di violazioni del GDPR.
Con quest'ultima sentenza, la Corte di giustizia europea pone un altro importante ostacolo ai servizi cloud statunitensi, sfidando la premessa di base che siano una soluzione adottabile per trattare qualsiasi dato sensibile.
Le aziende, le scuole e le organizzazioni governative che trasferiscono dati dai loro dipendenti, clienti, studenti e cittadini su Office 365, Google G Suite o una delle dozzine di altri servizi SaaS con sede negli Stati Uniti ora rischiano ingenti multe ai sensi del GDPR.
E adesso i paesi europei cosa faranno?
Si adatteranno in fretta scegliendo alternative ai vari office365, G Suite e simili o ignoreranno queste sentenze e continueranno come se nulla fosse successo?
Noi dall’inizio del 2020 ci siamo premurati di spianare la strada a coloro che desiderano tenere al sicuro i loro dati.
Come system integrator creiamo delle infrastrutture che permettono di ospitare cloud privati in sicurezza e come amministratori di sistemi proponiamo Nextcloud Enterprise a tutti coloro che vogliono una piattaforma GDPR compliant, sicura affidabile e manutenuta da professionisti che parlano la lingua del bel paese.
Essere un passo avanti per soddisfare le esigenze del mercato è uno dei nostri mantra e quando anche le corti europee ci danno ragione è una bella soddisfazione.
Ne è dimostrazione il fatto che riceviamo settimanalmente richieste da pubbliche amministrazioni e imprese di ogni dimensione e l'installato su Nextcloud comincia ad essere importante.
Ing. Alessandro Bolgia - ITServicenet
