El problema que no sabies que tenies
Si la teva empresa envia factures, comandes, albarans o qualsevol document que contingui dades de clients a través d'una aplicació de missatgeria convencional, aquestes dades passen per servidors que probablement no són a Europa. O si ho són, pertanyen a una empresa subjecta a legislació estrangera. El RGPD té alguna cosa a dir-hi.
Les normatives europees de protecció de dades exigeixen saber on són les teves dades, qui hi té accés i sota quina jurisdicció. Quan fas servir una aplicació de missatgeria amb un servidor central, els teus documents passen per una infraestructura que no controles. Les dades dels teus clients s'emmagatzemen — encara que sigui temporalment — en màquines que pertanyen a una altra empresa, en un altre país, sota altres lleis.
Què canvia quan no hi ha servidor
En una comunicació entre iguals, les dades van directament del dispositiu de l'emissor al del receptor. No passen per cap servidor intermedi. No s'emmagatzemen en cap infraestructura de tercers. El document surt del teu ordinador a Lugo i arriba a l'ordinador del teu client a Barcelona. O Berlín. O Lisboa. Però mai passa per Silicon Valley.
Això no és un detall tècnic menor. Aquí, el compliment del RGPD no s'aconsegueix amb esforç i bona voluntat. S'aconsegueix perquè l'arquitectura fa impossible la violació. No hi ha transferència internacional de dades perquè no hi ha transferència a cap tercer. Les dades són al teu dispositiu i al del teu interlocutor. Enlloc més.
A qui li importa això
Si ets un advocat enviant un contracte a un client per missatgeria, les dades d'aquell contracte passen per un servidor. Si ets un assessor fiscal compartint una declaració de renda, aquelles dades passen per un servidor. Si ets un metge enviant un informe a un pacient, les dades sanitàries passen per un servidor. En tots aquests casos, estàs delegant la custòdia d'informació confidencial a una empresa que no has triat i que no controles.
No és que estiguis fent res malament a propòsit. És que l'eina que fas servir no et dona cap altra opció. L'única manera perquè les teves dades professionals no passin per servidors de tercers és que la comunicació sigui directa. Sense intermediaris. De la teva pantalla a la seva.
Compliment automàtic
Amb comunicació P2P, no cal que auditis on són els servidors del teu proveïdor de missatgeria. No cal que verifiquis el compliment del Privacy Shield o de les clàusules contractuals estàndard de la UE. No cal que afegeixis una clàusula a la teva política de privacitat explicant que les teves dades 'poden ser tractades fora de l'Espai Econòmic Europeu'. Res d'això aplica, perquè cap tercer està tractant les teves dades.
El compliment no depèn de la bona voluntat de ningú. No depèn d'un acord de tractament de dades amb un proveïdor. No depèn que una empresa americana mantingui el seu compromís amb la legislació europea. Depèn de l'arquitectura. I l'arquitectura és verificable, immutable i no canvia d'opinió.
La pregunta per a la teva pròxima auditoria
La pròxima vegada que algú et pregunti on són les dades dels teus clients, la millor resposta possible és: 'Al meu dispositiu i al seu. Enlloc més.' No cal un informe de cent pàgines. No cal un DPO revisant contractes de proveïdors. La privacitat de les dades dels teus clients està garantida per disseny, no per promeses.