Dopo il privacy shield

“Le Big Tech dopo la sentenza Schrems II non possono rispettare il GDPR, anche se dicono di farlo”. Cosa fare?

di |

Intervista a Walter Vannini, consulente e auditor GDPR: “I GAFAM, con il Privacy Shield invalidato, non possono rispettare il GDPR, perché alcune leggi USA (FISA 702 e EO 12333) li possono obbligare a violarlo e a mantenere segreta la violazione. Cosa fare? Spostare tutti i servizi aziendali ospitati da società USA presso fornitori Ue o di Stati che abbiano ricevuto una Decisione di Adeguatezza”.

Dopo la storica sentenza della Corte di Giustizia dell’Ue, che ha dichiarato invalido il Privacy Shield, non c’è stato il blocco immediato dei flussi dei dati degli utenti dell’Unione europea verso gli Stati Uniti. Infatti Google, Amazon, Facebook, AppleMicrosoft&Co. continuano a trasferire i dati degli europei nei server in Usa. Ma lo fanno rispettando o violando le norme europee? Lo abbiamo chiesto a Walter Vannini, informatico, consulente e auditor GDPR.

Key4biz. Che cosa ha stabilito la Corte di Giustizia UE? 

Walter Vannini. Gli Stati Uniti non garantiscono una protezione dei dati personali che sia essenzialmente analoga a quella garantita dalla UE. 

Key4biz. Che cosa significa? 

Walter Vannini. Significa che tutti i “provider di servizi di comunicazione elettronica” statunitensi e le loro controllate non possono rispettare il GDPR, anche se dicono di farlo. 

Key4biz. Da quando? 

Walter Vannini. Dal giorno in cui la sentenza è stata pubblicata, il 16 luglio 2020. 

Key4biz. Cioè i provider USA mentono? 

Walter Vannini. Non letteralmente. I provider di servizi di comunicazione elettronica possono anche dire di rispettare i dettami del GDPR, ma alcune leggi USA (FISA 702 e EO 12333) li possono obbligare a violarlo e a mantenere segreta la cosa. 

Key4biz. Chi riguarda la sentenza? 

Walter Vannini. In primis, le aziende UE che si servono di “provider di servizi di comunicazione elettronica” USA per gestire dati personali dei propri clienti. 

Key4biz. Ma se un’azienda non gestisce dati personali?

Walter Vannini. Le fatture, le email,le informazioni di contatto, le valutazioni di rischio del credito, i fascicoli dei dipendenti, e pressoché ogni informazione che un’azienda conserva nel proprio gestionale e nel CRM sono informazioni personali soggette al GDPR. 

Key4biz. Di quali aziende stiamo parlando? 

Walter Vannini. Google, Amazon, Microsoft, Apple, Facebook, e praticamente qualsiasi azienda provider di servizi di comunicazione elettronica statunitense o controllata da aziende statunitensi. 

Key4biz. Ma se un utente business ha scelto i server di (fornitore USA) in Olanda?

Walter Vannini. La legge americana concede al governo USA il diritto di richiedere i dati in possesso delle aziende USA e delle loro controllate, ovunque siano fisicamente collocati, nonché di vincolare le aziende al segreto circa queste richieste. 

Key4biz. Lo prevede il Cloud Act. Ma le aziende possono scegliere liberamente dove far fare lo storage dei dati 

Walter Vannini. I dati dell’azienda sì. I dati delle persone, no. Le aziende UE hanno l’obbligo di garantire la protezione dei dati personali quale parte dei diritti e delle libertà fondamentali dell’individuo. Io individualmente posso anche scegliere di non volere questa protezione, ma qualsiasi dei miei clienti ne ha diritto, e io ne rispondo. 

Key4biz. Molti cittadini pensano: i dati vengono usati dagli Usa nell’ambito di indagini antiterrorismo…

Walter Vannini. Il Cardinale Richelieu disse: “Datemi sei righe scritte dall’uomo più probo di Francia, e vi troverò una qualche cosa sufficiente a farlo impiccare.” 

Non è mai una buona strategia contare sul fatto che qualcun altro non sia abbastanza furbo o abbastanza determinato per causarci danni. 

Key4biz. Tre giorni fa Google ha inviato quest’email agli utenti europei…

Walter Vannini. Google scrive di adottare delle Clausole Contrattuali Standard per assicurare per contratto tutta una serie di cose. Sta di fatto che alcune leggiUSA possono richiedere a Google (e Microsoft, e Amazon, ecc.) di fare tutt’altro e Google deve sottostare. Questa non è una prerogativa USA, qualsiasi legge dello Stato ha rango superiore alle disposizioni contrattuali; se non fosse così potrei scrivere per contratto che se la consegna è in ritardo il forntore dovrà cedermi i figli come schiavi, ma essendo la schiavitù proibita per legge, quel contratto non ha alcun valore. 

Key4biz. Ma allora a cosa servono le Clausole Contrattuali Standard? La Corte di Giustizia UE le avrà dichiarate valide per un motivo?

Walter Vannini. Servono a richiedere per contratto determinate condizioni quando ci si è assicurati che il Paese di destinazione dei dati personali non ha una legislazione che vìoli i diritti che per legge dobbiamo garantire sui dati personali. 

Key4biz. E come me ne assicuro? 

Walter Vannini. O scegliendo un provider in un Paese che ha già ricevuto una Decisione di Adeguatezza, o facendo verificare formalmente la cosa da un avvocato specializzato. 

Key4biz. E il Regno Unito? 

Walter Vannini. Dipende. Se al 31 dicembre il Regno Unito facesse una Brexit senza accordo, come è sempre più verosimile, finirebbe fuori dalla EEA senza una Decisione di Adeguatezza, e sarebbe quindi Paese terzo ai sensi del GDPR. Quindi, per conservare in UK dati personali dovrei assicurarmi che la legislazione UK garantisca lo stesso livello di protezione dei dati della UE. Ciò non sarà però possibile, per via di alcune leggi sulla sicurezza nazionale che UK ha potuto varare senza conseguenza solo in quanto già membro della UE, ma che non consentirebbero a Paesi terzi di essere considerati adeguati dal punto di vista della protezione dei dati personali. 

Key4biz. E quindi cosa dovrei fare? 

Walter Vannini. La cosa più semplice è spostare tutti i servizi aziendali ospitati da aziende USA presso fornitori dell’Unione Europea o di Stati che abbiano ricevuto una Decisione di Adeguatezza. 

Key4biz. Ma non ci sono alternative ai servizi e prodotti di Google-Microsoft-Amazon&Co.? 

Walter Vannini. Risposta breve? Non è vero. 

Key4biz. E risposta lunga? 

Walter Vannini. Quello che è vero è che tramite un marketing molto sapiente siamo stati indotti a credere che senza Google/Amazon/Microsoft/… non sia possibile avere server di posta, siti web, server virtuali e infrastrutture in cloud. Ma esistono molti fornitori europei perfettamente in grado di fornire questi servizi. Per non aggiungere due ovvietà: che i giganti di Internet ven- dono perlopiù servizi basati su software open source (ad eccezione di Microsoft) e che qualsiasi software proprietario in cloud ha alternative open source che sono equivalenti quando non decisamente migliori dal punto di vista delle funzionalità. 

Key4biz. Qualche esempio da consigliare?

Walter Vannini. Un esempio è il Politecnico di Torino che in pieno lockdown ha potenziato un’infrastruttura di formazione in cloud con Jitsi e BigBlueButton, software open source per teleconferenze e didattica che non hanno nulla da invidiare alle soluzioni Google, Microsoft e Zoom; BigBlueButton peraltro ha il vantaggio di non ridurre gli studenti ad automi e i docenti a controllatori di crocette. 

Key4biz. Non solo gli italiani, ma anche il Governo nei fatti preferisce affidare i dati della Pa alle Big Tech?

Walter Vannini. Gli italiani preferiscono sempre le americanate e la nostra ministra dell’Innovazione in outsourcing è pronta a svendere il Paese per trecento milioni in buoni sconto di Google; la nostra ministra dell’Istruzione manco sa che esiste, ma in Italia l’Internet pubblica sta in piedi grazie al GARR, talenti che gestivano infrastrutture di rete prima che i fondatori di Google entrassero alle elementari. 

Parliamo di una eccellenza italiana di assoluto livello, che avrebbe il sacrosanto diritto di ricevere i fondi che ministri incompetenti sperperano in fornitori USA (è il caso delle 30mila email di dirigenti scolastici e degli istituti affidati a Microsoft), fornitori che la Corte Europea di Giustizia ha stabilito non possono garantire una adeguata protezione dei dati personali, checché dica il loro marketing. E comunque non ci vuole un genio per pensare che forse le mail di un Ministero non dovrebbero andare in mano a un fornitore straniero. Che ne è del perimetro di cibersicurezza? 

Key4biz. Non si può avere l’indipendenza tecnologica nella Pa o almeno nelle scuole italiane?

Walter Vannini. Assolutamente sì. Perché la PA ha già Sogei, che archivia in sicurezza i dati fiscali e tributari degli italiani e imprese, e può benissimo fare da spalla al GARR. Ma certo, si tratterebbe di lavorare sul serio per l’autonomia tecnologica e la sovranità digitale. Invece la nostra ministra dell’Innovazione, per modo di dire insiste che autonomia e sovranità digitale si ottengono andando a bracetto con Big Tech, il cui intero business model dipende proprio dal fatto che autonomia e sovranità non ci siano. Con dei ministri così, chi ha bisogno di concorrenti? 

Key4biz. Qual è il suo giudizio sull’affidare i dati ai cloud delle big tech?

Walter Vannini. Il cloud è solo il computer di qualcun altro. Quello che agli italiani, pubblici e privati, è piaciuto del cloud è che illudeva dirigenti incompetenti di poter fare a meno degli informatici. Risultato? La perdita assoluta del controllo sui propri dati. Dati personali (aziende e scuole con Google Apps o Office 365) e dati aziendali nei VPS di Microsoft o di Amazon. Perdere il controllo sui dati significa perdere il controllo della propria attività e, in breve tempo, significa non avere più un’attività. 

Da una parte leggo di accordi strategici di Enel, Eni, Unicredit per mettere le loro infrastrutture IT nelle mani di Google e Amazon e mi dico che se questo è il rispetto che hanno per le loro informazioni aziendali, non meritano di averne. Ci sono articoli e studi che dimostrano come questi giganti usano l’analisi dei dati che gestiscono per creare prodotti e servizi che vadano in concorrena ai propri clienti. 

Dall’altra parte vedo tutto un mondo di mini e microimprese a cui basterebbe cominciare a capire che nel XXI secolo l’azienda è i suoi dati e la cultura per analizzarli e gestirli, e che invece paga i giganti del Web per far finta di no e via così, che l’importante non è guadagnare molto, ma spendere poco, specialmente in dipendenti. 

Io spero che questo stop della Corte di Giustizia Europea faccia risvegliare qualcuno. Gli altri passeranno dal sonno alla morte nel giro di pochissimi anni e finiremo con il diventare il Messico d’Europa. 

GDPR_fallimento

Key4biz. Ma alla fine cosa si rischia? 

Walter Vannini. Le multe per violazione del GDPR vanno fino a un massimo di 20 milioni o il 4% del fatturato annuo di gruppo, a insindacabile giudizio del Garante. E il GDPR stabilisce che la sanzione debba essere “effettiva, efficace e dissuasiva”, in altre parole se ti multano te ne devi ricordare. Con questi chiari di luna non so quante aziende possano permet- tersi di rischiare anche solo qualche centinaio di migliaia di euro di sanzione. 

garante_privacy_presidente_agcom

Key4biz. Ma tanto il Garante non avrà tempo di multare tutti, si pensa erroneamente…

Walter Vannini. A parte che il Garante si appoggia per le indagini al Gruppo Anti Frodi Telematiche e Privacy della GdF, che ha personale, mezzi e competenze, le ispezioni possono anche avvenire dietro segnalazione. E una segnalazione la può fare chiunque, il che significa che si è alla mercé di qualsiasi cliente, come di qualsiasi concorrente. 

Key4biz. Ma quanto tempo si ha per mettersi in regola? 

Walter Vannini. La rispondenza al GDPR è un obbligo di legge da due anni. Rispetto al Privacy Shield, è decaduto e basta, senza un grace period. Ma siccome lo scopo del Garante non è fare la multe (altrimenti avremmo già pareggiato il deficit dello Stato) ma far crescere una cultura di protezione dei dati personali, può bastare avere un piano di lavoro ragionevole. Nessuno si aspetta che migrare un’intera infrastruttura si faccia in un pomeriggio. Ci possono volere anche mesi, a patto che il piano di lavoro abbia senso e sia documentato. 

Key4biz. E chi paga per tutto questo? 

Walter Vannini. La colpa del Privacy Shield è della precedente Commissione Europea, che lo ha passato facendo la fotocopia del Safe Harbor appena cassato dalla Corte. Le imprese che si sono appoggiate sul Privacy Shield non hanno colpa, anche se non era difficile capire che non sarebbe durato, bastava chiedere a chi è del settore. Comunque, nulla impedisce di citare la Commissione per avere avallato un accordo, il Privacy Shield, fallato dall’inizio, obbligando poi le imprese a sostenere costi aggiuntivi per migrare le proprie infrastrutture quando il Privacy Shield è stato riconosciuto illecito.