Man mano che le organizzazioni diventano sempre più globali e interconnesse, le questioni relative alla privacy dei dati si fanno più complesse.
Una società può avere sede in Italia, ma può sfruttare gli strumenti di aziende con sede negli Stati Uniti come Google o Amazon per gestire dati sensibili. Se la società con sede in Italia archivia le informazioni sui clienti su un server che si trova negli Stati Uniti, dove risiedono realmente quei dati? Chi ne è il proprietario? Quali sono le normative che devono rispettare?
Molti paesi stanno prendendo una posizione ferma per creare delle linee guida che forniscano risposte concrete a tali domande. Per le aziende è più importante che mai salvaguardare in modo proattivo i dati sensibili di clienti e dipendenti, ovunque siano archiviati e condivisi.
La definizione di Data Sovereignty
La sovranità dei dati è il concetto che si basa sul presupposto che le informazioni convertite e archiviate in forma digitale binaria siano soggette alle leggi del paese in cui si trovano i dati. Data sovereignty significa, di fatto, mantenere l’autorità ed il controllo dei dati all’interno dei confini giurisdizionali.
Molte delle attuali preoccupazioni relative alla sovranità dei dati riguardano l’applicazione delle normative sulla privacy. La ratio è di impedire che i dati archiviati in un paese straniero vengano citati in giudizio dal governo del paese ospitante.
L’adozione diffusa dei servizi di cloud computing, così come i nuovi approcci all’archiviazione dei dati, hanno abbattuto le tradizionali barriere geopolitiche. La sovranità dei dati è diventata, dunque, un’importante questione legale per le aziende di tutte le dimensioni.
Per soddisfare i requisiti di privacy e sovranità dei dati, molte aziende utilizzano la crittografia end-to-end, semplicemente limitando la posizione in cui è possibile archiviare o accedere alle proprie chiavi crittografiche.
Inoltre, molti paesi hanno regolamentato i nuovi requisiti di conformità modificando le leggi vigenti o emanando una nuova legislazione che richiede che i dati dei clienti siano conservati all’interno del paese in cui risiede il cliente.
Quanto è importante per le aziende?
Per le aziende, la questione della corretta gestione dei dati va considerata una priorità assoluta. Non è più accettabile nascondersi dietro lo scudo dell’ignoranza. Sebbene i consumatori siano spesso coloro che beneficiano dei requisiti di sovranità dei dati, le aziende devono trovare il modo di conformarsi alle leggi sulla privacy e sulla sicurezza dei dati di ciascuna nazione.
Le aziende hanno l’obbligo legale di sapere esattamente dove siano archiviati i loro dati e i dati dei clienti e quindi di adottare le misure necessarie per garantire il rispetto delle leggi vigenti.
Inoltre, devono garantire che la loro infrastruttura cloud offra una sicurezza rigorosa e disponga di specifici protocolli da seguire in caso di violazione dei dati.
Pertanto, oltre a conoscere le leggi sulla privacy dei dati locali, regionali e internazionali, le organizzazioni sono chiamate a sviluppare una nuova infrastruttura o utilizzare un’infrastruttura esistente per la raccolta, l’elaborazione e l’archiviazione dei dati che sia in linea con i requisiti di data sovereignty.
Data Sovereignty e GDPR
Il regolamento più famoso relativo alla sovranità dei dati è il GDPR, che ha fatto scalpore quando, nel 2018, è entrato in vigore. Il GDPR regola l’uso dei dati privati di un cittadino europeo e la sovranità dei dati può avere un impatto sul modo in cui tale regolamento viene applicato.
Per essere conformi al GDPR, le organizzazioni devono implementare procedure basate sul concetto di “sicurezza ragionevole” per proteggere i dati privati dei cittadini e dei residenti dell’UE.
Il concetto di data sovereignty si intreccia con l’argomento GDPR nel momento in cui i dati vengono raccolti, elaborati o archiviati al di fuori del paese o della giurisdizione dei consumatori protetti da questa legge.
Nel caso del GDPR, i dati privati dei cittadini dell’UE e dei residenti sono protetti dalle stesse normative, indipendentemente da dove si trova tale azienda che raccoglie o archivia tali dati. Le società con sede negli Stati Uniti, in Cina o in India sono soggette agli stessi requisiti di conformità e, in caso di non conformità, alle stesse conseguenze delle organizzazioni la cui sede si trova in Unione Europea.
Crittografando i dati sensibili, le organizzazioni possono garantire che le informazioni private dei propri clienti rimangano protette, ovunque siano condivise o archiviate. La crittografia end-to-end garantisce che questi dati sensibili siano protetti durante l’intero ciclo di vita, in conformità con il concetto di data sovereignty.