In assenza di un quadro comune che definisca come proteggere le informazioni personali attraverso l'Atlantico, le aziende statunitensi potrebbero essere costrette a investire in nuove tecnologie per silo di dati sui clienti europei.
Il dipartimento del commercio degli Stati Uniti e il commissario europeo di giustizia si sono impegnati la scorsa settimana a elaborare un nuovo standard per sostituire lo scudo per la privacy, che un tribunale europeo ha invalidato il mese scorso senza alcun periodo di grazia per la conformità. In una dichiarazione congiunta, il Segretario al Commercio Wilbur Ross e la Commissione Giustizia Didier Reynders hanno riconosciuto "l'importanza vitale della protezione dei dati e l'importanza dei trasferimenti transfrontalieri di dati per i nostri cittadini ed economie".
Ma tali affermazioni non garantiscono il mantenimento di un nuovo patto. L' ormai defunto Privacy Shield , che dettagliava i requisiti di protezione dei dati durante il trasferimento di dati personali dall'Unione Europea e dalla Svizzera agli Stati Uniti, ha richiesto mesi di negoziati prima di essere infine approvato nel luglio 2016. Ma il framework ha ceduto nel suo primo test legale, dopo che l'avvocato austriaco per la privacy Max Schrems ha affermato che il patto sulla privacy non proteggeva i cittadini dell'UE dall'essere spiati dal governo. A luglio, la decisione della Corte di giustizia europea (CGUE) nel caso Schrems II ha lasciato alle aziende una protezione molto limitata oltre le clausole contrattuali standard (SCC) per i trasferimenti di dati tra paesi dell'UE e non UE. E anche quelli erano visti come inadeguati e problematici.
"Ci sarà la demistificazione necessaria nelle prossime settimane in modo che le aziende inizino a rendersi conto che mentre in teoria gli SCC sono ancora lì, quando si tratta di paesi che hanno leggi di sorveglianza di vasta portata, potrebbero non essere sufficienti", ha affermato Tom de Cordier, partner presso CMS.
Gli SCC "implicano che i processi di trasferimento e archiviazione dei dati siano stati valutati in modo proattivo", ha dichiarato a SC Media Brittany Roush, direttore di The Crypsis Group. Ma questo lascia troppo spazio all'interpretazione. "Considerando che i tribunali dell'UE hanno già affermato che gli SCC non sono al sicuro dal controllo legale, le organizzazioni preferirebbero quasi sicuramente una guida più specifica".
Le aziende sono rimaste vulnerabili
Senza Privacy Shield per la protezione, "le aziende devono affrontare una posizione rischiosa che può essere contestata in qualsiasi momento dai tribunali", ha detto Roush, osservando che le società tecnologiche statunitensi, in particolare, potrebbero trovarsi in una posizione precaria.
"Non è inconcepibile che i tribunali possano testare la validità degli SCC assumendo uno dei giganti tecnologici statunitensi, in particolare alla luce della recente attenzione del Congresso e del mondo sulla privacy dei dati e della posizione del tribunale dell'UE secondo le leggi sulla sorveglianza degli Stati Uniti. in contrasto con i principi del GDPR ", ha affermato.
Questa è una delle ragioni per cui de Cordier ritiene che le grandi aziende tecnologiche presenteranno "soluzioni solo per l'UE destinate ai clienti europei per conservare i propri dati sul territorio europeo nel cloud", il che, ha affermato, rifletterà un'accelerazione di una tendenza che si è sviluppata negli ultimi anni.
Senza "un insieme comune di regole condivise per consentire alle aziende di operare attraverso le linee statali e nazionali", il mondo probabilmente "diventerà un mosaico di normative, rendendolo un luogo estremamente impegnativo per fare affari", ha affermato Danny Allan, CTO di Veeam.
Elaborare un nuovo accordo rappresenta una sfida. È probabile che i negoziatori si imbattano negli stessi problemi che hanno affondato il primo scudo per la privacy e l'atto di approdo sicuro prima di esso: le leggi sulla sorveglianza degli Stati Uniti che non soddisfano lo standard di protezione fornito dalle leggi dell'UE.
"Senza una drastica riforma degli standard sulla privacy dei dati negli Stati Uniti e la portata di agenzie come la NSA, qualsiasi potenziale nuovo accordo sullo Scudo per la privacy sarà molto probabilmente chiuso rapidamente dallo stesso tribunale dell'UE", ha affermato Dan Piazza, responsabile tecnico del prodotto presso Stealthbits Technologies.
Ecco il problema, come affermato da Saryu Nayyar, CEO di Gurucul: L'Unione europea mette al primo posto la privacy dei dati per i suoi cittadini, prima delle forze dell'ordine e delle esigenze statali. Gli Stati Uniti, tuttavia, antepongono gli interessi della sicurezza nazionale e delle forze dell'ordine alla privacy personale. Questa è una differenza fondamentale di prospettiva.
Lo scudo per la privacy è stato visto dall'opinione pubblica come un mezzo per spingere "gli Stati Uniti a prendere parte alla riforma della sorveglianza, nonché una spinta per gli interessi commerciali a fare lo stesso", ha affermato Chloé Messdaghi, vice presidente della strategia di Point3 Security. In cambio, la situazione offre agli Stati Uniti due opzioni: modificare gli standard di sorveglianza o lasciare alle aziende nessun'altra opzione se non quella di spostare le loro operazioni in Europa e dividere i sistemi in due parti.
Forzare un compromesso
In termini reali, l'UE non sembrava aver spinto per il cambiamento o addirittura essere vista dall'opinione pubblica come se avesse cercato di forzare il cambiamento. Poiché gli Stati Uniti hanno "le mani nel profondo delle piattaforme tecnologiche", l'UE si piega alla volontà degli Stati Uniti, come evidenziato dai principi dello scudo per la privacy UE-USA, ha detto Messdaghi.
È quel potere e il controllo che stanno spingendo USA e UE a raggiungere un nuovo accordo. "Ma chiunque controlli la tecnologia ha la capacità di fare ciò che vuole – e poiché sono gli Stati Uniti, impedisce all'UE di imporre qualsiasi cosa perché non hanno la stessa posizione", ha detto Messdaghi. "A meno che entrambe le parti non abbiano lo stesso peso durante i colloqui, chi ha il controllo può continuare a vedere soddisfatte le proprie richieste più della parte più debole".
Nelle parole di Nayyar, "i dati devono fluire".
Tuttavia, nonostante la promessa da parte dell'UE e degli Stati Uniti di elaborare un nuovo accordo, Piazza rimane scettico, definendolo nient'altro che "mano che saluta a questo punto".
Il risultato delle elezioni presidenziali di novembre influenzerà se gli Stati Uniti adotteranno una legge federale sulla protezione dei dati che alla fine allevierà le preoccupazioni dei regolatori europei. Allo stesso tempo, la rapida uscita del Regno Unito dall'UE sta dando un senso di urgenza agli sforzi di quel paese per garantire che le proprie leggi di sorveglianza non siano in conflitto con i requisiti dell'UE.
"Se il Regno Unito vuole ottenere una constatazione di adeguatezza dall'UE entro la fine dell'attuale periodo di transizione nel gennaio 2021, dovrà assicurarsi che le leggi sulla sorveglianza del Regno Unito abbiano i giusti controlli ed equilibri integrati, che non è il caso oggi ", ha detto de Cordier.
Al posto di una legge nazionale degli Stati Uniti e, in definitiva, anche con l'impegno dichiarato UE-USA a una soluzione, "le aziende dovrebbero prepararsi a mesi, se non anni, di incertezza quando si tratta di trasferimenti transfrontalieri e iniziare a valutare in modo proattivo la loro rischio ", ha detto Roush. "Se un'organizzazione ha fatto affidamento sullo Scudo per la privacy, è fondamentale che valuti se soddisfa o meno un" livello di protezione adeguato ", come richiesto dalla legislazione dell'UE".
Ci sono alcune altre misure che le aziende possono adottare nel frattempo, come fare affidamento su regole aziendali vincolanti (BCR), che sono politiche di protezione dei dati a livello aziendale "che si rendono vincolanti, quindi si ottiene l'ok dalle normative", ha affermato de Cordier. Ma anche con le BCR in atto, le aziende "potrebbero incorrere nello stesso problema dello scudo per la privacy per quanto riguarda la sorveglianza", ha spiegato.
"Forse puoi destreggiarti, navigare tra i tuoi fornitori … smettere di lavorare con loro [e invece trovare] un fornitore europeo più adeguato", ha detto.
Ma questo è un sacco di possibilità, con pochissime garanzie di un risultato affidabile.
Disse de Cordier: "Non esiste una soluzione d'oro".
Il post che le aziende hanno lasciato penzoloni fino a quando le differenze di protezione dei dati da parte degli Stati Uniti e dell'UE sono apparse per la prima volta su SC Media .