La decisione di adeguamento e l’introduzione del Trans-Atlantic Data Privacy Framework da parte della Commissione Europea pone fine ad anni di incertezza per l’economia digitale europea e statunitense, ampiamente basata sul trasferimento dei dati. Nonostante questo sviluppo fosse atteso e necessario, i problemi e le preoccupazioni legati a questo nuovo accordo ci costringono a interrogarci sulla sua effettiva sostenibilità.
Mentre sia i funzionari UE che quelli statunitensi lodano la qualità del patto, l’attivista Max Schrems ha già, infatti, annunciato che noyb lo contesterà in tribunale in quanto le questioni critiche non sono ancora state risolte. Quindi, sebbene al momento tutto appaia deciso, le organizzazioni che si basano sul trasferimento transatlantico dei dati dovrebbero tenere in considerazione la possibilità del verificarsi di uno “Schrems III”.
Il fatto che il terzo tentativo di regolare questa parte così vitale dell’economia digitale non ci faccia compiere passi avanti e continui, invece, a riproporre le stesse problematiche degli accordi precedenti è piuttosto sconcertante. Affinché la digital economy possa prosperare sono necessarie regole chiare, ma quello che sta succedendo dimostra una mancanza di responsabilità da parte degli enti governativi e minaccia la crescita delle aziende europee.
L’introduzione di un meccanismo di data transfer sostenibile è un elemento cruciale per evitare il ripetersi del caos del passato. L’invalidazione del Privacy Shield, l’accordo precedente, ci aveva già insegnato che varie e popolari tecnologie proposte dalle Big Tech statunitensi, specialmente in ambito marketing e digital analytics, potevano rappresentare un rischio per la conformità e portare a multe salate. Lo scorso 3 luglio l’autorità svedese per la protezione della privacy ha diffuso una dichiarazione in cui ordinava a quattro aziende di cessare l’utilizzo di Google Analytics, sanzionandone due per l’equivalente di 25mila (CDON) e 1 milione (Tele2) di euro.
Aggiornare lo stack tecnologico e le procedure delle aziende per renderle a prova di Schrems III, perciò, è una strategia preziosa. Le nostre raccomandazioni:
- Eseguire un audit tecnologico per mappare tutti i flussi di dati e identificare i sistemi che si basano su trasferimenti di dati verso gli Stati Uniti.
- Ove possibile, passare a un provider europeo con hosting all’interno dell’Unione. Questo permetterà di eliminare completamente il problema del trasferimento dei dati e di rendere i sistemi completamente a prova di Schrems III.
- Laddove lo switch non fosse possibile, collaborare con i team legali e tecnici per introdurre ulteriori misure di sicurezza che consentano di mitigare i potenziali rischi futuri.