CLOUD Act: perché scegliere un archivio cloud conforme al GDPR
Download
Condividi
Mathias Brenner
CTO presso Sherpany

CLOUD Act: Che importanza ha l’archivio cloud conforme al GDPR?

A partire dal Patriot Act del 2001, le società statunitensi sono state obbligate a divulgare i dati su richiesta delle autorità statunitensi. Con il CLOUD Act del 2018, le autorità possono anche richiedere l'accesso a server stranieri. Dal punto di vista della conformità, questo è un problema grave. Le aziende che si affidano a server gestiti da società statunitensi si trovano ad affrontare un delicato rischio per la privacy: il potenziale accesso a dati riservati e strategici da parte delle autorità statunitensi.

In tempi di trasformazione digitale, i dati sono uno dei beni più importanti di cui dispone un'azienda. In questo articolo potete leggere cosa comporta il CLOUD Act per le aziende. Verrà spiegato il dilemma del CLOUD Act rispetto al regolamento generale dell'UE sulla protezione dei dati (GDPR) e saranno chiarite le ragioni per cui scegliere un’archiviazione cloud conforme al GDPR.

Cos'è il CLOUD Act?

US CLOUD Act è l'abbreviazione per "Clarifying Lawful Use of Overseas Data Act", altrimenti noto come CLOUD Act. Questo conferisce alle autorità statunitensi il diritto di accedere ai dati conservati all'estero. Fino al marzo 2018, l'unico modo per il governo americano di accedere ai dati all'estero era un accordo tra due paesi, noto come “Mutual Legal-Assistance Treaty” (trattato di mutua assistenza legale). L'accordo permetteva di condividere informazioni e di collaborare per risolvere un'indagine legale.

Tuttavia, con il CLOUD Act tutte le aziende con sede negli Stati Uniti devono fornire dati su richiesta, indipendentemente dal fatto che i loro server siano in territorio americano o straniero. Poiché il CLOUD Act si applica a tutti i grandi fornitori di servizi cloud con sede negli USA - Microsoft, Google o Adobe -, questo ha portato a una controversia legale tra le autorità statunitensi e Microsoft. La società non ha voluto consegnare i dati dei clienti memorizzati in un server situato in Irlanda.

Il dilemma CLOUD Act vs GDPR

Per molte aziende che devono rispettare il GDPR, la legislazione statunitense solleva ulteriori problemi di conformità. Il CLOUD Act crea un conflitto internazionale di leggi applicabili, che a sua volta può portare a controversie legali e a gravi conseguenze. Le aziende dovrebbero essere a conoscenza del CLOUD Act e dei suoi effetti.

Nel 2019, il Regno Unito e gli Stati Uniti hanno firmato un accordo bilaterale sull'accesso ai dati elettronici. L'accordo specifica i casi in cui i governi possono richiedere i dati ai fornitori di servizi, senza avere permesso dai proprietari dei dati. Secondo gli organi dedicati della Commissione europea, questo tipo di accordo è l'unica opzione per consentire il rispetto della protezione dei dati, come dichiarato in una risposta congiunta tra EDPB (European Data Protection Board) e EDPS (European Data Protection Supervisor) sul Cloud Act. Ma questo accordo non è applicabile ad altri paesi europei. La doppia legislazione viola le disposizioni GDPR sulla legittimità e la protezione dei dati, poiché i requisiti del CLOUD Act non sono accettabili ai sensi dell'art. GDPR. 6 e dell'art. 49. Di conseguenza, molte aziende continuano ad affrontare il dilemma del CLOUD Act in contrapposizione al GDPR dell'UE.

Poco alla volta, il CLOUD Act statunitense, in contrapposizione al GDPR dell'UE, si è imposto in cima alla lunga lista delle questioni relative alla sicurezza dei dati e alle sfide della trasformazione digitale.

Perché optare per un archivio cloud conforme al GDPR?

Nel 2018, sulla prima pagina di Die Welt era scritto: "L'azienda statunitense acquista la banca dati delle Dax corporations".1 Molte aziende europee che si affidano alla soluzione della software house di Monaco di Baviera per lo scambio di informazioni sensibili si è trovata in una situazione delicata. L'acquisizione ha garantito l'accesso potenziale ai dati da parte delle autorità statunitensi.

L'acquisizione ha causato stupore e nervosismo nel mercato. Il fornitore tedesco Brainloop si è fuso con il fornitore di software statunitense Diligent, e l'azienda ha perso la sua autorità in materia di protezione dei dati.2 La vendita ha creato una situazione delicata in Europa, facendo sì che le aziende mettessero in dubbio la necessità di optare per fornitori di archiviazione cloud conformi alla GDPR. Secondo uno studio dell' EY sulle competenze di digitalizzazione del consiglio di amministrazione, circa la metà dei partecipanti si occupa regolarmente di argomenti relativi alla sicurezza, alla fuga, protezione e alla sovranità dei dati.

A seguito della fusione, i clienti di Brainloop sono stati costretti a esaminare la nuova struttura e a considerare le sfide derivanti dall'avere un proprietario americano. Anche se Brainloop promuove senza sosta il messaggio secondo cui i suoi server si trovano in Germania e in Svizzera, ciò non garantisce che essi offrano ai propri clienti un'archiviazione cloud conforme al GDPR. Vale la pena ancora oggi domandarsi quale fornitore possieda i dati e chi vi abbia accesso per la gestione.

Diligent ha ammesso l’adempimento alla legge statunitense CLOUD Act che concede alle autorità statunitensi l'accesso ai dati sensibili senza notificare i proprietari dei dati. Quindi, in caso di difficoltà, il CLOUD Act "Clarifying Lawful Overseas Use of Data Act" può essere utilizzato per accedere ai dati su server stranieri, di proprietà sia di Diligent che delle sue società associate.

Sherpany: un archivio cloud conforme al GDPR

È chiaro che i fornitori di Cloud statunitensi operano in un quadro giuridico diverso. Il più delle volte questo è in conflitto con il GDPR dell'UE e con i requisiti di sicurezza dei dati. La controversia è cruciale soprattutto quando si tratta di informazioni sensibili, come i dati personali o i contenuti della Borsa. Per questo motivo, le aziende dovrebbero optare per un archivio cloud conforme alla GDPR ed evitare l'incertezza di dover affidare i propri dati a organizzazioni che rispettano entrambe le legislazioni.

Ad esempio, la Svizzera è una delle migliori sedi di server al mondo:

  • Ha un ambiente politico stabile
  • Forti leggi sulla protezione dei dati
  • Un'infrastruttura altamente funzionale.

Questo rende il paese un luogo ideale per molte aziende. Secondo la legge svizzera, i dati delocalizzati all'estero sono sottoposti a un meticoloso controllo. La delocalizzazione per le banche e gli assicuratori è regolata in dettaglio dalla FINMA, la Swiss Financial Market Supervisory Authority. Ciò significa che i dati possono essere trasferiti all'estero solo se la società garantisce che la sua società di revisione e la FINMA possono esercitare e far valere i loro diritti di controllo e di revisione.3

Questo è un buon motivo perché un numero sempre maggiore di aziende trasferisca i propri server in Svizzera e opti per un'archiviazione cloud conforme al GDPR.

Per numerose aziende che vogliono evitare multe fino a 20 milioni di euro o il 4% del fatturato annuo globale a causa di conflitti con i requisiti di conformità, Sherpany è un buon esempio di fornitore europeo di archiviazione cloud conforme alla GDPR.4 L'azienda svizzera offre esclusivamente il cloud hosting in centri dati altamente sicuri in Svizzera. Inoltre, Sherpany offre ai propri clienti una doppia strategia, combinando i vantaggi di un cloud privato con l'archiviazione dei dati presso l'azienda stessa (cloud ibrido). Sherpany è certificata ISO 27001, ha una certificazione ISAE 3000 (Tipo 2) ed è conforme alla FINMA per la delocalizzazione. I clienti di Sherpany non sono colpiti dalla legge CLOUD e viene rispettata la normativa GDPR.

 

Questo articolo è stato aggiornato nel giugno 2020.


1. 'US-Firma kauft Datentresor der Dax-Konzerne', WELT, July 2018.
2. 'CLOUD Act: Weltweiter Zugriff auf Nutzerdaten bei Internet-Unternehmen', Steiger Legal, March, 2018.
3. 'Microsoft vs. USA: Supreme Court entscheidet nicht über internationalen Datenzugriff', Heise Online, April, 2018.
4. 'GDPR Fines / Penalties', Intersoft Consulting.

Mathias Brenner
Mathias Brenner
CTO presso Sherpany
Mathias Brenner è titolare di un EMBA in Trasformazione Digitale e ha un background accademico in Scienze Applicate in Management e Servizi IT. È a capo dei nostri team di sicurezza IT e di ingegneria con grande esperienza. È anche a capo delle nostre attività quotidiane di logistica e di gestione del team.
Visita il sito web

Approfondimenti e Risorse

facebooktwittergoogle-plus2linkedin2envelopsearch

Approfondimenti e Risorse

Sherpany fornisce business news, articoli di esperti, interviste esclusive, casi-studio e best practice sulla digitalizzazione e sull'evoluzione delle riunioni del CdA, delle direzioni aziendali e delle segreterie societarie.

Gli esempi di contenuti riguardano:

  • Board portal e software di gestione delle riunioni
  • Digitalizzazione delle riunioni
  • Governance e compliance
  • Leadership

Richiedi una demo gratuita

Compila il seguente modulo e sarai ricontattato al più presto, per provare di persona Sherpany.

Contattaci

Se desideri maggiori informazioni sulla nostra soluzione o hai richieste specifiche, contattaci e ti ricontatteremo a breve.

Richiedi prezzo

Compila il seguente modulo e sarai ricontattato al più presto.

Iscriviti alla newsletter

La newsletter non è al momento disponibile in italiano, La preghiamo di iscriversi ad una delle seguenti lingue: