Safe Harbour: aspettando un nuovo accordo tra USA e UE

La sentenza della corte di Giustizia Europea, che invalida l’accordo di libera circolazione dei dati tra vecchio e nuovo continente, comporta caos normativo e rischio sanzioni, ostacolando la globalizzazione dei servizi Cloud. Ma un nuovo patto potrebbe essere all’orizzonte

In materia di sicurezza dei dati, le multinazionali USA hanno deluso il mondo. Data center in apparenza più inviolabili di Fort Knox si sono rivelati permeabili tanto allo spionaggio governativo, spesso con il beneplacito degli stessi brand che garantivano privacy e sicurezza a milioni di utenti Europei, quanto ai variegati interessi di bande di hacker indipendenti.
Era naturale che, con l’accumularsi degli scandali, scricchiolassero anche accordi internazionali come il Safe Harbour, siglato quindici anni fa da circa 5000 aziende d’oltre oceano, tra cui Google, Amazon, Facebook e tutti gli altri colossi del settore, derogando alle regole sulla privacy degli stati membri in nome della semplificazione operativa. Il patto, che prevedeva la libertà di trasferimento dei dati in cambio del rispetto di rigidi protocolli di sicurezza, è stato infatti invalidato all’inizio di ottobre da una sentenza della Corte di Giustizia Europea. Il tutto è avvenuto sulla base dell’iniziativa dell’attivista austriaco Max Schrems, lo studente che, con l’aiuto dei suoi professori di diritto, ha messo in crisi i rapporti, già incrinati, tra i grandi del web e l’Unione Europea.

Naturalmente è stata in realtà la vicenda Snowden la scintilla che ha appiccato l’incendio e ora c’è chi teme, specialmente oltre oceano, un aggravio di costi per le imprese, che per continuare ad operare dovrebbero predisporre contrattualistica ad hoc per ciascun paese dell’UE. E questa non è l’unica preoccupazione. Eric Schmidt, chairman esecutivo di Alphabet, in una riunione a porte chiuse di cui Re/Code ha ottenuto una registrazione, si sarebbe detto molto preoccupato della decisione della Corte di Giustizia Europea, paventando un freno alla natura libera e globale della Rete, come già imposto dalla Russia, che obbliga a mantenere i dati sul territorio nazionale. Un rischio che, per l’attuale livello di globalizzazione di ogni business, può appare anacronistico, ma vale un approfondimento della vicenda.

Cambiano le regole ma il gioco è lo stesso

In realtà, a parte il timore di sanzioni nel periodo di incertezza, di cui nessuno sa ancora quantificare la durata, i grandi fornitori di servizi cloud a stelle e strisce non sembrano propensi a fronteggiare interruzioni, per cui stanno già approntando soluzioni ‘ponte’. La stessa Google sarebbe pronta ad adottare specifici Model Contract Clauses (MCC) per i clienti europei della sua piattaforma in cloud, la medesima strada seguita da Microsoft e altri grandi, mentre Amazon ha scelto la via di un Data Protection Agreement negoziato direttamente con le autorità dell’Unione. Il problema, semmai, potrebbero averlo aziende più piccole e meno strutturate per negoziare con i clienti e le autorità.

Per avvertire che ci sarà chi non avrà il tempo di correre ai ripari, cominciano a muoversi le autorità di garanzia dei singoli stati, il cui gruppo, in sede comunitaria, ha emesso un comunicato congiunto in cui avverte di voler intervenire con sanzioni a partire dalla fine di gennaio 2016, in ottemperanza alla sentenza della Corte. Una data quindi molto vicina, che serve a spronare alla nascita di un nuovo, auspicato da tutti, accordo tra gli stati membri entro la scadenza.

Dal canto suo, il Commissario europeo alla Giustizia Věra Jourová, ha dichiarato l’impegno della commissione per arrivare al più presto, possibilmente entro fine anno, a un compromesso che offra regole chiare e condivise con le autorità degli stati membri, tentando di conciliare il rispetto della privacy dei cittadini comunitari e il bisogno di garantire continuità al business delle aziende che operano globalmente. “Essendo il Safe Harbour una delle strade principali per il trasferimento dei dati tra Europa e Stati Uniti, è cruciale concludere le discussioni con le nostre controparti negli U.S. per un nuovo framework di regole che garantiscano un più alto livello di sicurezza nei flussi transatlantici di dati”. Così ha dichiarato ieri la Jourová, lasciando intendere che è in atto un’intensa fase di negoziazione.

E se trasferire i dati diventasse inutile?

In tutto questo discutere e negoziare norme e regolamenti, avendo sulla bilancia la libertà di fare business nel modo più efficiente e conveniente, può darsi che i futuri trend tecnologici cambino lo scenario.

In molti casi, infatti, il trasferimento dei dati tra data center, con le conseguenti richieste in termini di sicurezza e privacy, risulta superfluo, sostituibile con una più controllabile funzione di accesso alle informazioni. Questo approccio, naturalmente, richiede più delocalizzazione per i data center, il che, in qualche caso, impone costi infrastrutturali più alti. Sarà comunque difficile, per chi offre Iaas, giustificare la necessità di centralizzare tutto sul territorio degli Stati Uniti, anche quando si tratta di erogare servizi espressamente dedicati ai cittadini dell’UE.

Nuova priorità per lo storage

Intanto molti vendor che si occupano di storage, ragionano su quella che potrebbe essere l’occasione di un cambio di paradigma. Ne ha parlato anche Sheila FitzPatrick del team legale di NetApp. “La sentenza dimostra che la regolamentazione è in continua evoluzione e quanto sia importante capirne l’impatto e la portata. I fornitori di soluzioni tecnologiche possono ora dimostrare di capire ciò di cui le aziende hanno bisogno, garantendo la conformità dal punto di vista dello storage e dell’elaborazione dei dati e prevenendo i rischi connessi ad azioni legali.”

Tutti concordano sul fatto che il rispetto della privacy e delle normative internazionali sul trattamento dei dati, debba diventare un elemento base di ogni nuovo progetto per l’aggiornamento dei sistemi di storage. Anche perché, dopo i casi eclatanti degli ultimi anni, l’attenzione dell’opinione pubblica e degli organi di controllo su questo tema non è mai stata così alta, e qualunque mancanza nel rispetto delle normative, indipendentemente dal rischio di sanzioni, può ripercuotersi con conseguenze devastanti sulla reputazione delle aziende inadempienti.

Un patto internazionale per la sicurezza

Al di là degli accordi, che certamente saranno siglati, e dei timori di chiusura delle frontiere della Rete, che, francamente, appaiono poco realistici, e forse un tantino strumentali, è indubbio che sulla sicurezza c’è molto da lavorare. A partire dall’insegnamento di casi come lo scandalo NSA o la più modesta, ma non meno emblematica, vicenda Ashley-Madison.
In questo senso il problema non riguarda solo i rapporti con gli Stati Uniti, ma i processi stessi di gestione dei dati e la diffusione di cultura e standardizzazione nel controllo degli accessi. La sicurezza resta quindi un problema da affrontare a livello internazionale, definendo e diffondendo le migliori pratiche. Anche perché non sarà una regolamentazione, per quanto rigida, a fermare chi vuole rubare o spiare ad alto livello.

Aldo Ascenti
Giornalista esperto di tecnologia e divulgazione scientifica, è attivo da vent'anni nel settore dell'editoria specializzata. Ha diretto testate di carta e di bit, consumer e b2b, fondato blog di tecnologia e fotografia e progettato monografie per i tablet.