Το πρόβλημα που δεν γνωρίζατε ότι είχατε
Εάν η εταιρεία σας στέλνει τιμολόγια, παραγγελίες, δελτία αποστολής ή οποιοδήποτε έγγραφο με δεδομένα πελατών μέσω μιας συμβατικής εφαρμογής μηνυμάτων, αυτά τα δεδομένα περνούν από διακομιστές που πιθανότατα δεν βρίσκονται στην Ευρώπη. Ή εάν βρίσκονται, ανήκουν σε μια εταιρεία που υπόκειται σε ξένη νομοθεσία. Ο GDPR έχει κάτι να πει για αυτό.
Η ευρωπαϊκή νομοθεσία για την προστασία δεδομένων απαιτεί να γνωρίζετε πού βρίσκονται τα δεδομένα σας, ποιος έχει πρόσβαση σε αυτά και υπό ποια δικαιοδοσία. Όταν χρησιμοποιείτε μια εφαρμογή μηνυμάτων με κεντρικό διακομιστή, τα έγγραφά σας περνούν από μια υποδομή που δεν ελέγχετε. Τα δεδομένα των πελατών σας παραμένουν αποθηκευμένα —έστω και προσωρινά— σε μηχανήματα που ανήκουν σε άλλη εταιρεία, σε άλλη χώρα, υπό άλλους νόμους.
Αυτό που αλλάζει όταν δεν υπάρχει διακομιστής
Σε μια επικοινωνία σημείο προς σημείο, τα δεδομένα πηγαίνουν απευθείας από τη συσκευή του αποστολέα σε αυτήν του παραλήπτη. Δεν περνούν από κανέναν ενδιάμεσο διακομιστή. Δεν αποθηκεύονται σε καμία υποδομή τρίτων. Το έγγραφο βγαίνει από τον υπολογιστή σας στο Λούγο και φτάνει στον υπολογιστή του πελάτη σας στη Βαρκελώνη. Ή στο Βερολίνο. Ή στη Λισαβόνα. Αλλά δεν περνά ποτέ από τη Silicon Valley.
Αυτό δεν είναι μια μικρή τεχνική λεπτομέρεια. Εδώ δεν συμμορφώνεται κανείς με τον GDPR με προσπάθεια και καλή θέληση. Συμμορφώνεται επειδή η αρχιτεκτονική καθιστά αδύνατη τη μη συμμόρφωση. Δεν υπάρχει διεθνής διαβίβαση δεδομένων επειδή δεν υπάρχει διαβίβαση σε κανέναν τρίτο. Τα δεδομένα βρίσκονται στη συσκευή σας και σε αυτήν του συνομιλητή σας. Πουθενά αλλού.
Για ποιον έχει σημασία αυτό
Εάν είστε δικηγόρος και στέλνετε ένα συμβόλαιο σε έναν πελάτη μέσω μηνυμάτων, τα δεδομένα αυτού του συμβολαίου περνούν από έναν διακομιστή. Εάν είστε φορολογικός σύμβουλος και μοιράζεστε μια φορολογική δήλωση, αυτά τα δεδομένα περνούν από έναν διακομιστή. Εάν είστε γιατρός και στέλνετε μια γνωμάτευση σε έναν ασθενή, τα δεδομένα υγείας περνούν από έναν διακομιστή. Σε όλες αυτές τις περιπτώσεις, αναθέτετε τη φύλαξη εμπιστευτικών πληροφοριών σε μια εταιρεία που δεν έχετε επιλέξει και την οποία δεν ελέγχετε.
Δεν είναι ότι κάνετε κάτι λάθος επίτηδες. Είναι ότι το εργαλείο που χρησιμοποιείτε δεν σας δίνει άλλη επιλογή. Ο μόνος τρόπος τα επαγγελματικά σας δεδομένα να μην περνούν από διακομιστές τρίτων είναι η επικοινωνία να είναι άμεση. Χωρίς ενδιάμεσους. Από την οθόνη σας στη δική του.
Αυτόματη συμμόρφωση
Με μια επικοινωνία P2P, δεν χρειάζεται να ελέγξετε πού βρίσκονται οι διακομιστές του παρόχου μηνυμάτων σας. Δεν χρειάζεται να επαληθεύσετε εάν συμμορφώνεται με το Privacy Shield ή με τις τυποποιημένες συμβατικές ρήτρες της ΕΕ. Δεν χρειάζεται να προσθέσετε μια ρήτρα στην πολιτική απορρήτου σας εξηγώντας ότι τα δεδομένα σας "μπορεί να υποστούν επεξεργασία εκτός του Ευρωπαϊκού Οικονομικού Χώρου". Τίποτα από αυτά δεν ισχύει, γιατί δεν υπάρχει κανένας τρίτος που να επεξεργάζεται τα δεδομένα σας.
Η συμμόρφωση δεν εξαρτάται από την καλή θέληση κανενός. Δεν εξαρτάται από μια σύμβαση επεξεργασίας δεδομένων με έναν πάροχο. Δεν εξαρτάται από το εάν μια αμερικανική εταιρεία διατηρεί τη δέσμευσή της στην ευρωπαϊκή νομοθεσία. Εξαρτάται από την αρχιτεκτονική. Και η αρχιτεκτονική είναι επαληθεύσιμη, αμετάβλητη και δεν αλλάζει γνώμη.
Η ερώτηση για τον επόμενο έλεγχό σας (audit)
Την επόμενη φορά που κάποιος θα σας ρωτήσει πού βρίσκονται τα δεδομένα των πελατών σας, η καλύτερη δυνατή απάντηση είναι: "Στη συσκευή μου και στη δική τους. Πουθενά αλλού." Δεν χρειάζεται μια έκθεση εκατό σελίδων. Δεν χρειάζεται ένας DPO που να ελέγχει τις συμβάσεις με τους προμηθευτές. Το απόρρητο των δεδομένων των πελατών σας είναι εγγυημένο από το σχεδιασμό, όχι από υποσχέσεις.