Problema pe care nu știai că o ai
Dacă firma ta trimite facturi, comenzi, avize de livrare sau orice document care conține date ale clienților printr-o aplicație de mesagerie convențională, acele date trec prin servere care probabil nu sunt în Europa. Sau dacă sunt, aparțin unei companii supuse legislației străine. GDPR are ceva de spus despre asta.
Reglementările europene de protecție a datelor cer să știi unde sunt datele tale, cine are acces la ele și sub ce jurisdicție. Când folosești o aplicație de mesagerie cu server central, documentele tale trec prin infrastructură pe care nu o controlezi. Datele clienților tăi sunt stocate — chiar dacă temporar — pe mașinile altei companii, în altă țară, sub alte legi.
Ce se schimbă când nu există server
Într-o comunicare P2P, datele merg direct de la dispozitivul expeditorului la cel al destinatarului. Nu trec prin niciun server intermediar. Nu sunt stocate pe nicio infrastructură terță. Documentul pleacă de pe computerul tău din Lugo și ajunge pe computerul clientului tău din Barcelona. Sau Berlin. Sau Lisabona. Dar nu trece niciodată prin Silicon Valley.
Acesta nu este un detaliu tehnic minor. Aici, conformitatea cu GDPR nu se realizează prin efort și bunăvoință. Se realizează pentru că arhitectura face imposibilă încălcarea. Nu există transfer internațional de date pentru că nu există transfer către vreun terț. Datele sunt pe dispozitivul tău și al interlocutorului tău. Nicăieri altundeva.
Pe cine interesează
Dacă ești avocat și trimiți un contract unui client prin mesagerie, datele acelui contract trec printr-un server. Dacă ești consultant fiscal și partajezi o declarație fiscală, acele date trec printr-un server. Dacă ești medic și trimiți un raport unui pacient, datele de sănătate trec printr-un server. În toate aceste cazuri, delegi custodia informațiilor confidențiale unei companii pe care nu ai ales-o și nu o controlezi.
Nu e că faci ceva greșit intenționat. E că instrumentul pe care îl folosești nu îți dă altă opțiune. Singura modalitate ca datele tale profesionale să nu treacă prin serverele terților este ca comunicarea să fie directă. Fără intermediari. De pe ecranul tău pe al lor.
Conformitate automată
Cu comunicare P2P, nu trebuie să auditezi unde sunt serverele furnizorului tău de mesagerie. Nu trebuie să verifici conformitatea cu Privacy Shield sau cu clauzele contractuale standard ale UE. Nu trebuie să adaugi o clauză în politica ta de confidențialitate care să explice că datele tale 'pot fi prelucrate în afara Spațiului Economic European'. Nimic din toate acestea nu se aplică, pentru că niciun terț nu îți prelucrează datele.
Conformitatea nu depinde de bunăvoința nimănui. Nu depinde de un acord de prelucrare a datelor cu un furnizor. Nu depinde de o companie americană care își menține angajamentul față de legislația europeană. Depinde de arhitectură. Iar arhitectura este verificabilă, imuabilă și nu se răzgândește.
Întrebarea pentru următorul tău audit
Data viitoare când cineva te întreabă unde sunt datele clienților tăi, cel mai bun răspuns posibil este: 'Pe dispozitivul meu și pe al lor. Nicăieri altundeva.' Nu e nevoie de un raport de o sută de pagini. Nu e nevoie de un DPO care să revizuiască contractele furnizorilor. Confidențialitatea datelor clienților tăi este garantată prin design, nu prin promisiuni.