Scudo per la privacy 2.0: fare a meno degli scudi bucati

Il Regolamento generale sulla protezione dei dati (GDPR) è in vigore dal 25 maggio 2020. Anche se la sua introduzione è costata molti nervi ai responsabili, può essere considerata una storia di successo. Ad esempio, ha portato a risultati estremamente positivi: ha aumentato la consapevolezza generale sulle questioni relative alla protezione dei dati. Ciò è stato garantito non da ultimo dai numerosi titoli dei giornali sulle pesanti multe imposte per le violazioni del GDPR. Persino i potenti operatori statunitensi sono costretti a tremare di fronte ad esso. Lo ha fatto di recente anche Meta Group, a cui è stato imposto il pagamento di una multa record di 1,2 miliardi di euro per aver trasmesso agli Stati Uniti i dati degli utenti europei di Facebook.

Molti imitatori hanno trovato

Il fatto che il GDPR sia una storia di successo è dimostrato anche dal fatto che ha trovato molti imitatori in tutto il mondo. Australia, Brasile, Corea del Sud, Tailandia e persino Stati americani come la California lo hanno preso a modello per le loro leggi sulla protezione dei dati. Il 1° settembre 2023, inoltre, entrerà in vigore in Svizzera la nuova legge sulla protezione dei dati (nDSG) (cfr. qui). Rafforzerà i diritti dei cittadini svizzeri nell'era digitale e porterà la protezione dei dati nella Confederazione a un livello paragonabile a quello degli Stati dell'UE, orientandosi anche al GDPR.

È praticamente scontato che le aziende debbano conformarsi ai requisiti del Regolamento generale europeo sulla protezione dei dati. Oltre alle numerose buone ragioni morali, legali e finanziarie, ora, dopo cinque anni, c'è un'altra buona ragione: in futuro, le aziende dovranno essere preparate anche a richieste di risarcimento per danni morali in caso di violazioni. In una sentenza storica, emessa all'inizio di maggio 2023, la Corte di giustizia europea ha confermato che le persone colpite da violazioni possono chiedere un risarcimento per danni immateriali come l'esposizione, simile al risarcimento per dolore e sofferenza in caso di lesioni fisiche. È quindi più importante che mai che le aziende implementino processi puliti per adempiere ai loro obblighi.

Richiesta di un accordo "No Spy

Per la Commissione europea, il quinto anniversario sarebbe l'occasione ideale per fare un esame di coscienza. Attualmente sta per commettere lo stesso errore per la terza volta. Negli ultimi anni, la Corte di giustizia europea ha già annullato due accordi tra la Commissione e gli Stati Uniti. Il primo "Porto sicuro" e poi "Scudo per la privacy"I giudici europei hanno tirato il freno d'emergenza in entrambe le occasioni. A causa degli ampi diritti di accesso dei servizi segreti americani, hanno sostenuto che i dati personali dei cittadini europei presso le aziende statunitensi non erano sufficientemente protetti ai sensi del GDPR.

Recentemente, la Commissione europea e il governo degli Stati Uniti hanno concordato un nuovo regolamento che rischia di fare la stessa fine. In effetti, nulla fa pensare che le leggi americane sulla sorveglianza - e quindi il problema di fondo - cambieranno. Gli attivisti per la protezione dei dati ipotizzano quindi che la Corte di giustizia europea annullerà anche questo accordo "Privacy Shield 2.0". Le aziende saranno quindi minacciate da ulteriori anni di incertezza giuridica nell'utilizzo di soluzioni cloud statunitensi. Per evitare che ciò accada, la Commissione europea, in occasione dell'anniversario del DSGVO, dovrebbe riflettere su ciò di cui ha veramente bisogno: un accordo "no spy" con gli USA che garantisca la rinuncia alle attività di intelligence. Fino a quando non sarà raggiunto un accordo di questo tipo, le nuvole dei fornitori statunitensi di dati personali non potranno essere utilizzate in modo legalmente sicuro. È bene che esistano soluzioni alternative sovrane digitali.

Autore: Holger Dyroff, cofondatore e COO di ownCloud