Kuan Hon, consulente legale presso Pinsent Mason e Senior Reseacher affronta temi di grande attualità, soffermandosi sulla protezione e la geo-localizzazione dei dati personali.
Ci troviamo in un’epoca di grandi cambiamenti e incertezza per l’Unione Europea mentre la Gran Bretagna si prepara al referendum e si rafforzano le norme sulla protezione dei dati, che dovrebbe diventare legge entro l’anno con la definizione di un nuovo “regolamento generale europeo sulla protezione dei dati” (GDPR). In questo contesto, le organizzazioni hanno bisogno di conoscere la collocazione fisica dei dati personali, sia che si tratti di dati dei dipendenti, dei clienti, dei fornitori o altri, in qualsiasi momento. Questo avviene perché le leggi UE sulla protezione dei dati non consentono alcun “trasferimento” (soprattutto interpretato come lo spostamento della posizione fisica dei dati personali al di fuori dello Spazio economico europeo (SEE) senza la cosiddetta “protezione adeguata”, “adeguate garanzie” o un’eccezione ammissibile.
Barriere linguistiche e locali in un percorso ancora complesso – La questione è molto complessa: in base alle leggi UE sulla protezione dei dati personali, il “trattamento” dei dati comprende anche la loro mera conservazione, non solo lo svolgimento di operazioni su di essi e “dati personali” è un concetto molto ampio che si estende a molti più dati di quelli che indicheremmo come “personali”.
Anche se i dati personali archiviati si trovano fisicamente nello spazio economico europeo (ad esempio in un data center in Italia), qualsiasi accesso da remoto a tali dati a partire da un Paese terzo, ad esempio per scopi di assistenza o manutenzione, potrebbe essere considerato a rischio, legandosi al concetto di “trasferimento” a un Paese terzo.
Quindi, questo significa che i dati personali italiani devono essere fisicamente trattati solo in Italia? Non necessariamente. Le leggi UE sulla protezione dei dati richiedono che tali dati rimangano nello SEE, non solo nel Paese di origine, quindi utilizzare un data center a Londra, Amsterdam o Berlino sarebbe in teoria permesso.
Tuttavia, altre leggi o policy governative (al di là di leggi sulla protezione dei dati), potrebbero richiedere che lo storage dei dati, personali o meno, avvenga a livello locale. Per esempio, molti Paesi insistono sul fatto che i dati che potrebbero essere rilevanti per la sicurezza nazionale debbano essere trattati solo sul territorio locale. Tutto questo è paradossale, dato che secondo le leggi europee sulla protezione dei dati, gli Stati membri dell’UE possono consentire il trasferimento dei dati personali verso Paesi terzi per determinati scopi, tra cui proprio la sicurezza nazionale o l’applicazione della legge.
Quindi, cosa vuol dire “protezione adeguata”? L’accordo UE-USA Safe Harbour utilizzato in passato per offrire una protezione adeguata nei trasferimenti verso alcune organizzazioni degli Stati Uniti è stato invalidato dalla corte europea nel mese di ottobre 2015.
Un nuovo accordo politico, destinato a sostituire il Safe Harbour e denominato EU-US Privacy Shield è stato annunciato a febbraio. A metà aprile 2016, le autorità UE di regolamentazione sulla privacy (il Gruppo di lavoro Articolo 29) si sono espresse sulla proposta dello Shield, non considerandola del tutto soddisfacente nel garantire una protezione “adeguata” per i trasferimenti dei dati personali negli Stati Uniti.
Tuttavia, le opinioni del Gruppo di lavoro, anche se influente, non sono determinanti. Il cosiddetto comitato Articolo 31, composto da rappresentanti degli Stati membri dell’UE, in maggio ha votato a favore della proposta dello Shield e la Commissione europea potrebbe procedere, indipendentemente dalle opinioni espresse dal Gruppo, nell’emettere un atto ufficiale di approvazione dello Shield. In questo caso, i trasferimenti potrebbero essere autorizzati verso organizzazioni statunitensi che sottoscrivono l’accordo, ma è ancora possibile, anzi probabile, che lo Shield sia messo in discussione, portando la questione fino alla corte europea, come avvenuto per il Safe Harbour.
I costi del trasferimento dei dati – In generale, i requisiti richiesti dalla GDPR nella restrizione del trasferimento dei dati sono molto più vincolanti degli attuali ed eventuali violazioni possono comportare per le aziende multe fino a 20 milioni di euro oppure pari al 4% del fatturato mondiale totale dell’ultimo esercizio.
Comprendere la complessità e i cambiamenti che questi regolamenti comportano è certamente una questione seria, che molti devono ancora mettere a fuoco, ma purtroppo il tempo stringe. Come ha mostrato una ricerca VMware, i dati di oltre un terzo delle aziende inglesi (34%) attualmente si trovano fuori dal Paese, e tre quarti delle aziende (76%) hanno qualche dato business-critical che risiede all’estero. Con così tanti dati memorizzati in mare aperto, quasi sette aziende su dieci sono interessate da questo cambiamento e potrebbero dover spostare i propri dati per motivi di compliance. Quasi tutte le aziende intervistate – il 96% – hanno ammesso che, se sarà necessario, lo spostamento dei propri dati in un luogo diverso avrà un impatto significativo in termini di costo, con una stima media di 1,6 milioni di sterline e mesi di lavoro richiesti.
Chi controlla i dati? – Il GDPR viene promosso come un tentativo di modernizzare le vecchie leggi sulla protezione dei dati che hanno oltre 20 anni. Approvato sia dal Consiglio dei ministri UE sia dal Parlamento europeo nel mese di aprile 2016, diventerà legge dopo 20 giorni dalla pubblicazione ufficiale, prevista entro luglio 2016, e le sue regole entreranno in vigore direttamente negli Stati membri dell’UE due anni dopo.
Un ulteriore cambiamento epocale che il GDPR comporta è che le organizzazioni che processano semplicemente i dati saranno anch’esse coinvolte nelle restrizioni sul trasferimento ed esposte ad altre responsabilità legali se qualsiasi aspetto nella supply chain dovesse andare storto. Questo può accadere, ad esempio, nel caso dell’outsourcing dell’elaborazione delle buste paga. La categoria di chi processa i dati comprende anche tutti gli eventuali fornitori dei servizi, come i cloud provider. Quindi, a partire da circa la metà del 2018, non solo chi è responsabile del trattamento dei dati ma anche chi li processa dovrà conoscere esattamente dove sono collocati i dati personali che sta elaborando.
Il caso UK – In questo difficile scenario, quale potrebbe essere l’impatto del Brexit, cioè dell’eventuale uscita della Gran Bretagna dall’Unione Europea?
Anche se la Gran Bretagna lascia il SEE, molte delle sue organizzazioni saranno ancora legate alla UE/SEE per il proprio business. Non avrebbero vita facile se dovessero rispettare due gruppi separati di leggi sulla protezione dei dati: uno in Inghilterra e uno per i clienti o dipendenti in UE/SEE. Pertanto, potremmo ipotizzare che in quel caso il governo britannico manterrà o approverà comunque leggi simili al GDPR. In questo modo le aziende inglesi potrebbero essere ancora autorizzate a trattare i propri dati personali sul territorio SEE. Tuttavia, al momento è impossibile prevedere le possibili implicazioni del Brexit.
I tanti aspetti del cambiamento nello scenario UE che ho affrontato comporteranno per i titolari del trattamento dei dati, e persino per chi li processa, uno sforzo enorme per monitorare e controllare la posizione fisica dei dati personali che trattano, tracciare gli accessi e controllare le location fisiche, bloccando anche la possibilità di accesso di determinati Paesi.
Personalmente, ritengo che il focalizzarsi della legge e delle regolamentazioni in modo costante sull’accesso fisico e l’insistenza sulle ispezioni dei data center fisici sia fuorviante.
La sicurezza fisica è importante, ma credo che l’obiettivo primario da tutelare non dovrebbe essere il luogo fisico dove risiedono i dati, ma l’accesso ai dati personali intelligibili, tra cui l’accesso da remoto, e, in particolare, la sicurezza logica oltre a quella fisica.
Credo anche che le leggi attuali e proposte nel campo della protezione dei dati non siano tecnologicamente neutrali, e possano essere interpretate come in qualche modo discriminanti verso il cloud. In questo ambito abbiamo bisogno di incoraggiare e riconoscere il valore di analisi dei sistemi e dei software dei cloud provider da parte di esperti di terze parti che, in base ad accordi di non divulgazione appropriati, verifichino le restrizioni di accesso logiche e altri aspetti della sicurezza logica (tra cui la sicurezza del codice). Gli esperti poi potrebbero emettere certificazioni cloud appropriate che possano essere riconosciute dal punto di vista legale come una protezione adeguata, indipendentemente dalla posizione fisica o dal contratto legale. Certo, forse per arrivare a tutto questo ci vorranno altri 20 anni!