LA RIFLESSIONE

Il nodo “Zoom” e la protezione dei dati: in attesa del Garante europeo, gli spunti per l’Europa digitale

Dopo la sentenza “Schrems II” si pone con ancora maggior forza il nodo Zoom in merito alla sicurezza e alla protezione dei dati personali: la Commissione Europea ne ha “scoraggiato” espressamente l’impiego da parte delle istituzioni e sarebbe ora auspicabile un intervento dell’EDPS per lo sviluppo di linee guida interne riguardanti la selezione e l’uso di piattaforme e servizi digitali

12 Ott 2020
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer


In Europa, Zoom ha proposto molti nodi da dirimere sul fronte della sicurezza e della protezione dei dati personali, soprattutto in conseguenza all’aumento significativo di impiego della piattaforma (e dunque, del relativo bacino di utenza) immediatamente dopo l’inizio della crisi pandemica e delle vulnerabilità emerse nei mesi di marzo e aprile anche grazie alle segnalazioni da parte di esperti ed analisti di sicurezza.

Il nodo “Zoom” e la protezione dei dati: la posizione della UE

L’azione di alcuni europarlamentari ha portato la vicenda anche all’attenzione delle istituzioni dell’Unione Europea, richiamando il più ampio quadro della tutela del Mercato Unico Digitale e della conseguente esigenza di stimolare l’offerta di prodotti e servizi che siano in grado di garantire un elevato livello di protezione degli utenti e dei loro dati personali.

Successivamente, la Commissione Europea ha preso posizione “scoraggiando” espressamente l’impiego di Zoom da parte delle istituzioni attraverso una lettera al Parlamento da parte della Commissaria per la Giustizia Didier Reynders e redigendo delle linee guida interne in cui veniva indicato al proprio personale di evitare l’impiego della piattaforma per riunioni di lavoro.

In una recente risposta ad un’interrogazione da parte dell’europarlamentare Mara Bizzotto, il Commissario europeo per l’amministrazione Johannes Hahn ha confermato però che la Commissione continua ad utilizzare un numero limitato di licenze Zoom sebbene esclusivamente per organizzare attività che coinvolgono informazioni non sensibili, per lo più workshop e webinar di formazione e addestramento.

Inoltre, viene riportato sempre nella stessa comunicazione che la Commissione da un lato si avvale di un contratto che vincola l’hosting per i servizi di Zoom esclusivamente a server posti all’interno dell’Unione Europea e dall’altro sta svolgendo delle attività di audit richiedendo report di sicurezza e approfondimenti relativi all’applicazione delle tecniche di cifratura dei dati.

Le garanzie così richiamate, però, portano alcuni interrogativi in ordine al loro grado di efficacia soprattutto in relazione ad uno dei maggiori problemi tutt’ora irrisolti, ovverosia le attività svolte da Zoom in Cina e la conseguente possibilità per le autorità nazionali cinesi di accedere ai dati degli utenti e, potenzialmente, anche alle chiavi di cifratura.

Quali spunti per l’Europa digitale

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Soprattutto dopo la sentenza “Schrems II”, la soglia minima di garanzia da valutare per i trasferimenti di dati personali verso paesi terzi consiste proprio nella non interferenza del diritto del paese terzo con il livello di protezione garantito dal GDPR e dunque, in questo caso, nella predisposizione di misure efficaci che possano impedire attività di sorveglianza nei confronti delle informazioni trasferite dall’Unione Europea.

Nell’immediato, è più che auspicabile un intervento da parte del Garante europeo della protezione dei dati sull’impiego di Zoom all’interno delle istituzioni europee che fornisca così degli standard da rispettare per lo sviluppo delle linee guida interne riguardanti la selezione e l’uso di piattaforme e servizi digitali.

In prospettiva, invece, la proposta che appare maggiormente percorribile e coerente con gli obiettivi di Strategia Digitale Europea è lo sviluppo di un sistema di certificazioni analogo a quello previsto dal Cybersecurity Act nell’ambito della sicurezza.

La promozione delle certificazioni ai sensi dell’art. 42 GDPR relativamente ai servizi digitali offerti nel Mercato Unico Europeo è infatti uno strumento utile per raggiungere quegli elevati livelli di fiducia e sicurezza necessari per uno sviluppo digitale sostenibile in relazione alle esigenze di protezione dei dati personali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5