Il problema che non sapevi di avere
Se la tua azienda invia fatture, ordini, bolle di consegna o qualsiasi documento contenente dati dei clienti attraverso un'app di messaggistica convenzionale, quei dati passano attraverso server che probabilmente non sono in Europa. O se lo sono, appartengono a un'azienda soggetta a legislazione straniera. Il GDPR ha qualcosa da dire al riguardo.
La normativa europea sulla protezione dei dati richiede di sapere dove si trovano i tuoi dati, chi vi ha accesso e sotto quale giurisdizione. Quando usi un'app di messaggistica con un server centrale, i tuoi documenti passano attraverso un'infrastruttura che non controlli. I dati dei tuoi clienti vengono archiviati — anche se temporaneamente — su macchine di un'altra azienda, in un altro paese, sotto altre leggi.
Cosa cambia quando non c'è un server
In una comunicazione peer-to-peer, i dati vanno direttamente dal dispositivo del mittente a quello del destinatario. Non passano attraverso nessun server intermedio. Non vengono archiviati su nessuna infrastruttura di terze parti. Il documento esce dal tuo computer a Lugo e arriva sul computer del tuo cliente a Barcellona. O Berlino. O Lisbona. Ma non passa mai per Silicon Valley.
Questo non è un dettaglio tecnico secondario. Qui, la conformità al GDPR non avviene attraverso sforzo e buona volontà. Avviene perché l'architettura rende impossibile violarla. Non c'è trasferimento internazionale di dati perché non c'è trasferimento a terze parti. I dati sono sul tuo dispositivo e su quello della tua controparte. Da nessun'altra parte.
A chi importa
Se sei un avvocato che invia un contratto a un cliente via messaggistica, i dati di quel contratto passano attraverso un server. Se sei un consulente fiscale che condivide una dichiarazione dei redditi, quei dati passano attraverso un server. Se sei un medico che invia un referto a un paziente, i dati sanitari passano attraverso un server. In tutti questi casi, stai delegando la custodia di informazioni riservate a un'azienda che non hai scelto e che non controlli.
Non è che stai facendo qualcosa di sbagliato intenzionalmente. È che lo strumento che usi non ti dà altra scelta. L'unico modo perché i tuoi dati professionali non passino attraverso server di terze parti è che la comunicazione sia diretta. Senza intermediari. Dal tuo schermo al loro.
Conformità automatica
Con la comunicazione P2P, non devi verificare dove si trovano i server del tuo provider di messaggistica. Non devi verificare la conformità al Privacy Shield o alle clausole contrattuali standard dell'UE. Non devi aggiungere una clausola alla tua informativa sulla privacy che spiega che i tuoi dati 'potrebbero essere trattati al di fuori dello Spazio Economico Europeo'. Niente di tutto ciò si applica, perché nessuna terza parte sta trattando i tuoi dati.
La conformità non dipende dalla buona volontà di nessuno. Non dipende da un accordo di trattamento dei dati con un fornitore. Non dipende da un'azienda americana che mantiene il suo impegno verso la legislazione europea. Dipende dall'architettura. E l'architettura è verificabile, immutabile e non cambia idea.
La domanda per il tuo prossimo audit
La prossima volta che qualcuno ti chiederà dove sono i dati dei tuoi clienti, la migliore risposta possibile è: 'Sul mio dispositivo e sul loro. Da nessun'altra parte.' Non serve un rapporto di cento pagine. Non serve un DPO che esamini i contratti dei fornitori. La privacy dei dati dei tuoi clienti è garantita dal design, non dalle promesse.