La decisione era attesa, e da molti auspicata, da tempo. La diffusione del cloud e dei servizi relativi è apparsa sin dall'inizio avere un vulnus non da poco: quello della diversità di legislazioni tra le due parti dell'Atlantico, per non dire nei confronti di questi con altre aree mondiali del Far East . La situazione, dopo essersi trascinata per anni ha infine preso una svolta.
Il 6 ottobre la Corte europea di giustizia ha stabilito che i dati dei cittadini dell'Unione europea tutelati dall'accordo Safe Harbour del 2000 non sono adeguatamente protetti a causa delle azioni di controllo e sorveglianza globale promosse negli Stati Uniti. Per la Corte "una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata".
Tale sentenza storica comporterà un effetto a catena che, evidenzia Elizabeth Maxwell, Technical Director EMEA di Compuware, coinvolgerà circa 4.500 aziende americane che attualmente utilizzano il Safe Harbour e la relativa certificazione per effettuare le proprie azioni commerciali nello spazio economico europeo. Da fine gennaio 2016, le aziende Usa che continueranno a importare dati europei secondo le regole del Safe Harbour incorreranno nelle sanzioni a meno che entro quella data non venga rinegoziato un nuovo accordo.
Un pronunciamento chiaro della Corte
Il pronunciamento della Corte europea dà in tal senso un messaggio molto preciso: la privacy dei dati è una questione seria e altrettanto serie saranno le conseguenze nel caso non venga rispettata.
In questo senso va interpretata anche la nuova legislazione sulla protezione dei dati che secondo il calendario ufficiale dell'Unione europea dovrebbe essere approvata entro dicembre, anche se sarà probabilmente posticipata a giugno 2016, e che fin da ora comporta per le aziende la necessità di attivarsi.
Il 'Safe Harbour' è stato un accordo fondamentale , rimarca Compuware, che ha permesso di definire lo scenario di business transoceanico, ma oggi le aziende – considerate non in regola – saranno chiamate a riflettere su molti aspetti, non solo su dove dovranno risiedere e come saranno trasferiti i dati personali, ma a tenere anche ben presente che ogni eventuale deviazione dalla normativa vigente, o dalla nuova regolamentazione una volta entrata in vigore, avrà conseguenze gravi per il proprio business.
A rischio anche il data testing
Ma non è solo questione di dove si realizza lo storage dei dati. L'attuale normativa e quella futura riguardano infatti tutti gli aspetti della rappresentazione elettronica dei dati personali, comprendendo quindi i sistemi di produzione, i siti di disaster recovery e i sistemi di sviluppo, solo per citare alcuni esempi – e implicando obblighi per la persona e per l'azienda che lavora con i dati personali, siano essi locati all'interno o all'esterno dello spazio economico europeo.
Di fatto, la nuova normativa avrà particolari conseguenze per chiunque scelga di rivolgersi a un outsourcer e per gli outsourcer stessi.
Un aspetto importante che si tende ancora a trascurare è poi legato alle applicazioni complesse, come quelle sviluppate per il mainframe, per le quali spesso si richiede l'utilizzo di copie di dati di produzione per ricreare durante i test i livelli delle prestazioni effettive nel mondo reale. Approccio che, in realtà, evidenzia la società, non è indispensabile.
La regolazione che entrerà in vigore il prossimo anno includerà certamente il principio del ‘consenso esplicito' negli statement sulla privacy, in modo da informare preventivamente il cittadino europeo su come saranno utilizzati i suoi dati personali e ottenerne il consenso.
Tutto questo avrà conseguenze importanti per quei sistemi IT che effettuano test con copie di dati personali di produzione. Se mi venisse chiesto il consenso a utilizzare i miei dati personali per testare le applicazioni che fornisce un service provider, personalmente direi di no e probabilmente sceglierei di spostare le mie attività di business su un provider che abbia già sviluppato una maggiore comprensione dei test applicativi e della tutela dei dati personali!
Le aziende, suggerisce Maxwell, devono quindi iniziare a valutare attentamente quali pratiche di test hanno in atto e verificare che i dati utilizzati siano correttamente protetti – cosa che dovrebbe già accadere visto la normativa in vigore dal 1998.
Certo, analizzare ogni aspetto richiederà tempo e fatica, ma è un obiettivo realizzabile adottando la tecnologia giusta e avvalendosi di personale preparato. In pratica, non ci sono più scuse per continuare a utilizzare i dati personali non mascherati per i test applicativi e chi continuerà a farlo non potrà più nascondersi una volta che la nuova regolamentazione europea entrerà in vigore.