Trasferimento dati UE-USA, tensione in Europa

di G. Scorza - Il Parlamento Europeo chiede garanzie più solide per i dati dei cittadini, chiede di irrobustire il Privacy Shield. Mentre l'Irlanda interroga la giustizia europea sui contratti che riempiono il vuoto lasciato dagli accordi Safe Harbor

Roma – È nera la fumata che si è appena alzata dal Parlamento europeo a proposito del cosiddetto Privacy Shield, l’accordo che avrebbe dovuto sostituire il cosiddetto Safe Harbour, annullato lo scorso 6 ottobre dalla Corte di Giustizia dell’Unione europea, nel governo del trasferimento dei dati personali da Europa a Stati Uniti.

Il Parlamento europeo, infatti, in una Risoluzione appena approvata ringrazia la Commissione per gli sforzi compiuti nella negoziazione con la Casa Bianca ma, al tempo stesso, mette nero su bianco che non ci siamo ancora, perché le garanzie offerte dal Governo di Barack Obama non bastano a garantire il rispetto dei principi fondamentali nei quali – a proposito del diritto alla privacy – l’Unione Europea si riconosce.

Gli impegni assunti dagli USA nei confronti dell’Europa secondo il Parlamento, in particolare, non escluderebbero ancora abbastanza eventuali ipotesi di raccolta massiccia di dati personali e non garantirebbero adeguata effettività ai meccanismi di ricorso utilizzabili dai cittadini europei contro eventuali violazioni della loro privacy ad opera delle Autorità americane.

Ma, soprattutto, il Parlamento europeo “invita la Commissione a chiarire lo status giuridico delle assicurazioni scritte fornite dagli Stati Uniti” e pur accogliendo “con favore la nomina di un mediatore nel Dipartimento di Stato americano che collaborerà con le autorità indipendenti per fornire una risposta alle autorità di controllo dell’UE che inoltrano le singole richieste in relazione alla sorveglianza governativa; ritiene tuttavia che questa nuova istituzione non sia sufficientemente indipendente e non sia dotata di poteri adeguati per esercitare efficacemente e far rispettare le proprie funzioni”.

Ed è muovendo da queste premesse che il Parlamento, nella risoluzione, “invita la Commissione a proseguire il dialogo con l’amministrazione degli Stati Uniti al fine di negoziare ulteriori miglioramenti dell’accordo sul Privacy Shield alla luce delle attuali carenze”.

La luce, in fondo al tunnel nel quale il trasferimento dei dati personali dall’Europa agli USA è entrato sul fine del 2015, sembra dunque, ancora lontana.

E non solo per la sonora bocciatura da parte del Parlamento dell’accordo faticosamente negoziato, a tempo di record, dalla Commissione ma anche perché dall’Irlanda, sempre in queste ore, rimbalza la notizia che il Garante per la privacy ha appena chiesto ai giudici di domandare alla Corte di Giustizia dell’Unione Europea di verificare la conformità con l’Ordinamento comunitario delle cosiddette Standard Contractual Clauses ovvero gli accordi in forza dei quali, specie all’indomani dell’annullamento del Safe Harbour, i giganti della Rete, Facebook, Google ed Amazon in testa, trasferiscono i dati dei cittadini europei Oltreoceano.
Secondo l’Autorità per la privacy irlandese, le stesse ragioni che hanno indotto la Corte di Giustizia a dichiarare fuori legge il vecchio Safe Harbour, dovrebbero ora indurre i Giudici del Lussemburgo a porre fuori legge anche le Standard Contractual Clauses.

Il trasferimento di dati personali tra Europa ed USA resta, dunque, ad alto rischio e, con esso, rimangono in una posizione di fragile equilibrio rapporti commerciali da miliardi di euro che hanno per presupposto proprio la libera circolazione dei dati personali degli utenti di tutti i grandi – e meno grandi – fornitori di servizi online.
È urgente trovare una soluzione definitiva capace di restituire ai cittadini europei adeguate garanzie circa la loro privacy, ed al mercato regole certe, stabili e durature senza le quali è difficile prevedere cosa potrebbe accadere.

Guido Scorza
Presidente Istituto per le politiche dell’innovazione
www.guidoscorza.it

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • furry scrive:
    grande MARCO non mollare mai
    finché respiri, finché ci vedi, ci senti, riesci a interagire e ti funziona il cervello:NON MOLLARE MAI, scrivi, rompi le palle, rispondi, obietta, fai pensare.
  • bechelli scrive:
    Dibattito pubblico
    Buonasera, sono molto d'accordo, direi per principio, sul fatto che iniziative come quella di SPID siano oggetto di una pubblica discussione. Segnalo in tal senso che nell'ambito del SecuritySummit di Roma, l'8 Giugno ne parleremo in questa tavola rotonda: https://www.securitysummit.it/roma-2016/tavole-rotonde/talk-296/L'evento è liberamente fruibile, previo registrazione.
  • Giacomo scrive:
    articolo molto interessante, ma
    con queste pagine dinamiche del cavolo, che si aggiornano in continuazione, ogni pochi secondi il testo viene riposizionato e la lettura ne è ostacolata.
    • refreshatev i dal c.... scrive:
      Re: articolo molto interessante, ma
      - Scritto da: Giacomo
      con queste pagine dinamiche del cavolo, che si
      aggiornano in continuazione, ogni pochi secondi
      il testo viene riposizionato e la lettura ne è
      ostacolata.Leggi questo visto che ti piace leggere:https://www.maketecheasier.com/disable-web-page-auto-refresh-for-various-browsers/Così magari la smettete pure di romperci il tasso.
  • Don scrive:
    non basta un cell vecchio?
    non sarebbe è sufficiente avere un celluare senza acXXXXX a internet, non smartphone, con una sim dedicata da usare quindi solo come token per tutti questi servizi?
    • lorenzo scrive:
      Re: non basta un cell vecchio?
      Non e' molto meglio un piccolo token che genera i codici temporanei ? Piu' leggero , non si scarica la batteria sul piu' bello , non richiede una sim ( su tutte le sim stanno comparendo dei costi fissi per servizi "super-mega-vantaggiosi" che non servono a nulla ! )
      • ZLoneW scrive:
        Re: non basta un cell vecchio?
        - Scritto da: lorenzo
        Non e' molto meglio un piccolo token che genera i
        codici temporanei ? Piu' leggero , non si scarica
        la batteria sul piu' bello , non richiede una simLo devi cambiare ogni due anni, giusto? E magari devi fare pellegrinaggi burocratici per averlo, come in banca.E se uno tirasse fuori il vecchio cellulare del nonno dal cassetto, ci mettesse sopra una SIM Tiscali ricaricabile solo voce (che non scade), certificasse quel numero lì e campasse tranquillo? :D
        • informati scrive:
          Re: non basta un cell vecchio?
          - Scritto da: ZLoneW

          Lo devi cambiare ogni due anni, giusto? no.quello della mia banca ce l'ho di più di 10 anni
        • lorenzo scrive:
          Re: non basta un cell vecchio?
          Il token dura parecchio il vecchio cellulare con la batteria ni-mh bruciata un poco meno ... per non parlare del peso e delle dimensioni e del fatto che non e' legato ad un terzo ( sim ) per funzionare .
          • ZLoneW scrive:
            Re: non basta un cell vecchio?
            Non è un problema di pila, è un problema di sequenza pseudocasuale.Sono stato correntista di una banca che imponeva la sostituzione ogni tot anni, pochi, mi sembra due.Il dispositivo continuava a funzionare, ma veniva rifiutato il codice al login, con l'invito a sostituirlo.
          • Nome e cognome scrive:
            Re: non basta un cell vecchio?
            - Scritto da: ZLoneW
            Non è un problema di pila, è un problema di
            sequenza pseudocasuale.

            Sono stato correntista di una banca che imponeva
            la sostituzione ogni tot anni, pochi, mi sembra due.

            Il dispositivo continuava a funzionare, ma veniva
            rifiutato il codice al login, con l'invito a sostituirlo.Sara' stato un problema/caratteristica del sistema della tua banca.Ce lo vedi un cracker che ogni minuto, per mesi, si annota il numerello e poi ci fa astrusi calcoli sopra? Io no, e comunque ti dovrebbe aver rubato il token senza che tu te ne accorgessi per un lungo periodo.Alla fine ricostruirebbe la chiave segreta del tuo token ... e poi? Se voleva rubare a te ha gia' in mano il tuo token ....I token non hanno problemi di pseudocasualita'-Comunque, almeno quelli RSA che ho davanti hanno una data intrinseca di scadenza incisa sul retro, non foss'altro per i problemi di batteria. Pero' e' il 2019 nel mio token, cioe' 8 anni da quando me l'hanno dato.
          • Andrea B. scrive:
            Re: non basta un cell vecchio?
            No, con il token in mano e osservando i numerelli che cambiano non determini la chiave embedded neanche se piangi in turco...
  • djechelon scrive:
    Dimentichi l'usability
    Marco, tu hai ragione su SPID3. Ragione sul piano della sicurezza.Però dimentichi che SPID è pensato per essere USABILE dagli utOnti.Per farti capire chiaramente cosa intendo ti chiedo se hai mai provato a configurare una "postazione di firma" o un "posto di lavoro" per la CNS.Allora...-Devi avere un PC. Nel migliore dei casi è un ultra-portatile, nel peggiore un desktop che non puoi muovere dalla scrivania-Devi avere un lettore di smart card. Fortunatamente alcuni certificatori forniscono dei token USB-Devi installare i driver del lettore/token-Devi installare il CSP (Crypto Service Provider) che legge i certificati dalla smart cardSe hai un Mac o un sistema Unix non ho la benchè minima idea di come si configuri una postazione.L'utOnto medio è una persona che informatica non ne mastica. All'utOnto si chiede, a prescindere da Winzozz, Mac o Linux di:-Inserire lo user name annotato sul post it-Inserire la password annotata sullo stesso post it-Aspettare che arrivi l'SMSOra... già dare un token hardware potrebbe essere una scelta azzeccata sempre per la storia della sicurezza, così non resta un punto vulnerabile nella catena.Ma pensa che addirittura c'è una banca... olandese... arancione... fan delle zucche di Halloween...Che ai clienti, a grande richiesta, ha sostituito la "carta dei codici operativi" con un'applicazione iOS/Android che genera gli stessi codici one time.Sottolineo questo: a grande richiesta!L'utOnto medio non vuole riempirsi la borsa di: chiavette, tessere, post it con le password, strani congegni elettronici che potrebbero essere scambiati per mini-dildo.SPID non è perfetto. Sempre meglio di quell'obbrobbio della PEC.Ai posteri l'ardua sentenza
    • lorenzo scrive:
      Re: Dimentichi l'usability
      Linux : installi driver lettore usb , installi servizi di gestione delle smartcard ( se non sono gia' installati ) , inserisci la smartcard , digiti pin .
      • panda rossa scrive:
        Re: Dimentichi l'usability
        - Scritto da: lorenzo
        Linux : installi driver lettore usb , installi
        servizi di gestione delle smartcard ( se non sono
        gia' installati ) , inserisci la smartcard ,
        digiti pin
        .OSX: paghi! il resto "it's magic!"
      • djechelon scrive:
        Re: Dimentichi l'usability
        Ok mi dici le istruzioni che provo a farlo fare a mia madre? :-)Indoviniamo un po'...Per trovare i driver del lettore cerchi su apt/yum/yast. Uff non c'è.Sbatti a cercare il sito del produttore. Cacchio è in formato deb, io ho suse...No allora vediamo i sorgenti. Ok sì... configure... ma la option --prefix...Ok poi per essere sicuro devo controllare udev e farmi un init scriptServizi di gestione della smart card non ci sono, uff stessa trafila di prima...No forse ho esagerato un po', ma seriamente mia madre preferirebbe il PIN sul post it. Io glielo dico che non è sicuro, ma lei lo custodisce gelosamente. Me ne farò una ragione?
    • lorenzo scrive:
      Re: Dimentichi l'usability
      Che senso ha lo spid senza un pc ?
  • bubba scrive:
    mah.....
    sinceramente mi convincono poco entrambi gli articoli..... gia a partire dall'uso un po' "liberale" dei termini 'mitm' e 'malware'... quasi fossero intercambiabili
    • Nome e cognome scrive:
      Re: mah.....
      - Scritto da: bubba
      sinceramente mi convincono poco entrambi gli
      articoli..... gia a partire dall'uso un po'
      "liberale" dei termini 'mitm' e 'malware'...
      quasi fossero
      intercambiabiliMitB, non MitM
      • bubba scrive:
        Re: mah.....
        - Scritto da: Nome e cognome
        - Scritto da: bubba

        sinceramente mi convincono poco entrambi gli

        articoli..... gia a partire dall'uso un po'

        "liberale" dei termini 'mitm' e 'malware'...

        quasi fossero

        intercambiabili

        MitB, non MitMok, non hai letto gli articoli.
        • Nome e cognome scrive:
          Re: mah.....
          - Scritto da: bubba
          - Scritto da: Nome e cognome

          - Scritto da: bubba


          sinceramente mi convincono poco entrambi
          gli


          articoli..... gia a partire dall'uso un po'


          "liberale" dei termini 'mitm' e
          'malware'...


          quasi fossero


          intercambiabili



          MitB, non MitM
          ok, non hai letto gli articoli.No, ne ho letti piu' di te ....
          • bubba scrive:
            Re: mah.....
            - Scritto da: Nome e cognome
            - Scritto da: bubba

            - Scritto da: Nome e cognome


            - Scritto da: bubba



            sinceramente mi convincono poco
            entrambi

            gli



            articoli..... gia a partire
            dall'uso un
            po'



            "liberale" dei termini 'mitm' e

            'malware'...



            quasi fossero



            intercambiabili





            MitB, non MitM

            ok, non hai letto gli articoli.

            No, ne ho letti piu' di te ....manca il "pappapero"
          • sgabbia scrive:
            Re: mah.....
            06/10
  • silica gel scrive:
    abominio
    ...e c'è anche la questione del pagare dopo il primo anno.Se questo diventerà il principale sistema per interagire con la PA, farlo pagare sarà una aberrazione uguale a quella che già esiste, di far pagare le normative a chi le deve usare.D'altra parte questa è già un'epoca di abomini, uno più, uno meno...
    • ZLoneW scrive:
      Re: abominio
      - Scritto da: silica gel
      ...e c'è anche la questione del pagare dopo il
      primo anno.Secondo anno a quanto mi risulta, ma questo sposta poco i termini della questione.Io lo sto ripetendo all'infinito: se la PA ha il dovere istituzionale di fornire dei servizi, e se questi servizi devono essere acceduti principalmente per via digitale, non è concepibile che il cittadino debba pagare per ottenere servizi che gli spettano.In Germania e Spagna l'hanno capito, l'equivalente dello SPID è fornito gratuitamente dallo Stato.Altri due metodi di acXXXXX sono previsti: la CNS (carta nazionale dei servizi) e la CIE (carta di identità elettronica). Il primo è disponibile "in selected theatres" - la Regione Lazio ad esempio è proiettata nel futuro, riguardo alla CNS parla in termini di "faremo, attiveremo"... :)La seconda è "sperimentale" da lustri...Nessuno di questi due strumenti è ragionevolmente utilizzabile da mobile.OTP device? Mi sembra di ricordare che in passato l'algoritmo usato da RSA - che mi sembra detenga il brevetto su questo tipo di dispositivi - fosse stato craccato, ma magari mi sbaglio. Resta comunque un dispositivo poco pratico e poco durevole. A questo punto, tanto vale consegnare ai cittadini un papiro con un elenco di codici usa e getta, che è pure più sicuro. :)Con gli attacchi MIT* c'è poco da fare; al limite, si può evitare di usare il cellulare per accedere ai servizi, così sul device non sono mai disponibili i fattori necessari per il login... :/
      • lorenzo scrive:
        Re: abominio
        Poco pratico ? Un bottone da premere e un numero da leggere ? Poco durevole ? Ci passi con la macchina sopra di solito ?
  • IL Braschio scrive:
    Non sono troppo d'accordo
    Con le problematiche rilevate, in quanto.Vista l'uso dello SPID e l'utenza tipo, poco avezza ai sistemi IT, il token fisico verrebbe lasciato in un cassetto con poco controllo in caso di sottrazione temporanea (differentemente dal cellulare dove gli utenti tipo se ne accorgerebbero più facilmente) Pensate ad un anziano con l'idraulico disonesto, una infermiera che entra in casa a fare un'iniezione ad un'anziano ecc.Lo sharing degli sms su più device limita la sicurezza da un lato ma la rinforza da un altro, creando una notifica diffusa dell'uso (diventa più difficile chiedere una OTP senza che l'utente se ne accorga, in quanto riceve notifica su più device)
    • Lorenzo scrive:
      Re: Non sono troppo d'accordo
      Gli sms arrivano verso la sim una sola sim = niente sharing diretto , e se fosse implementato la gia' scarsa sicurezza ( le app leggono correntemente gli sms senza problemi ) diventerebbe scarsissima ( uno potrebbe sottrarre il terzo telefono lasciato di scorta nel cassetto ... )
    • Ethype scrive:
      Re: Non sono troppo d'accordo
      - Scritto da: IL Braschio
      Con le problematiche rilevate, in quanto.
      Vista l'uso dello SPID e l'utenza tipo, poco
      avezza ai sistemi IT, il token fisico verrebbe
      lasciato in un cassetto con poco controllo in
      caso di sottrazione temporanea (differentemente
      dal cellulare dove gli utenti tipo se ne
      accorgerebbero più facilmente) Pensate ad un
      anziano con l'idraulico disonesto, una infermiera
      che entra in casa a fare un'iniezione ad
      un'anziano
      ecc.Ho sostituito la chiavetta con un iPhone.Per generare il codice devo utilizzare l'impronta digitale, inserire un codice e a quel punto si genera il codice da utilizzare per la transazione.
Chiudi i commenti