Michael Chen | Content Strategist | 2 maggio 2024
Per sovranità dei dati si intende l'applicazione delle leggi ai dati di un utente, in particolare le leggi della giurisdizione applicabili a tali dati e quali diritti sono protetti per ogni singolo utente in termini di privacy, utilizzo da parte di un'organizzazione e consenso. L'esempio più noto che include i principi di sovranità dei dati è il General Data Protection Order (GDPR) dell'Unione europea (UE), che definisce come i dati dei cittadini dell'UE sono protetti in termini di raccolta e utilizzo.
Con sovranità dei dati si intende il concetto per cui i dati sono soggetti alle leggi e alle regolamentazione del luogo in cui si trovano i suoi proprietari. Generalmente, le regole di sovranità dei dati affidano la responsabilità della gestione e della protezione dei dati degli utenti all'organizzazione che li raccoglie ed elabora. I problemi di privacy e sicurezza dell'utente devono essere risolti dall'organizzazione e devono essere conformi alle normative del paese o dello stato di residenza dell'utente. Ciò significa che sono necessari più livelli di compliance per le organizzazioni con bacini di utenza multinazionali. Ad esempio, un'organizzazione con utenti nell'UE e negli Stati Uniti può essere tenuta a rispettare il GDPR dell'UE, ma anche le leggi sulla sovranità dei dati dei singoli stati.
In generale, le leggi sulla sovranità dei dati a livello mondiale si sovrappongono molto, con alcune di queste che sono più restrittive di altre.
Concetti chiave
La sovranità dei dati è un concetto grande con tante sfaccettatura, ma le sue basi possono essere riassunte nei seguenti punti:
Chi è coinvolto. La sovranità dei dati può coinvolgere diverse parti, sebbene la responsabilità possa in ultima analisi ricadere sull'organizzazione che raccoglie e vende i dati. Le parti possono includere queste organizzazioni, le persone i cui dati vengono raccolti, i fornitori di servizi cloud che memorizzano i dati e i paesi/le regioni/gli stati che dettano le leggi che guidano la supervisione dei dati. All'interno di un'organizzazione, la supervisione della sovranità dei dati può includere dipartimenti IT e team legali.
Cosa c'è in gioco. Nel caso delle organizzazioni che non rispettano le linee guida normative, il risultato può essere una rete complessa e forse internazionale di problemi legali e multe. Le conseguenze legali possono degenerare in ulteriori problemi per un'organizzazione, come ad esempio l'esclusione di gruppi di clienti o il blocco delle operazioni aziendali.
Investire nella compliance potrebbe permettere alle organizzazioni di soddisfare i requisiti normativi.
Chi ne trae vantaggio. Sebbene siano i singoli proprietari dei dati a poter intrinsecamente beneficiare della sovranità dei dati per via del suo focus sulla protezione e sulla supervisione, anche le aziende potrebbero riscontrare dei vantaggi. Da un certo punto di vista, un'azienda può trarre vantaggio semplicemente mantenendo in funzione le operazioni e gettando solide basi per la compliance futura. Inoltre, una compliance coerente può aiutare ad aumentare la fiducia del pubblico, aspetto che può rivelarsi utile come parte delle pubbliche relazioni o dei messaggi di marketing atti ad attirare ulteriori affari.
La sovranità dei dati è importante perché può garantire il rispetto delle leggi e delle normative applicabili ai dati. Ora, spesso è più facile a dirsi che a farsi, perché negli ultimi 20 anni il modo in cui i dati vengono utilizzati all'interno delle organizzazioni è completamente cambiato. Quando i dati sono diventati dinamici e mobili, hanno anche dovuto affrontare rischi maggiori: i file non sono più rimasti entro i confini delle unità e dei dispositivi locali e i database hanno iniziato a memorizzare i record ben oltre alcune applicazioni specifiche. Questa estensione della portata dei dati ha generato molti tipi diversi di rischio. La protezione contro questi pericoli è diventata una questione sempre più importante, in particolare quando gli attacchi informatici sono diventati più sofisticati e le trasmissioni di dati hanno iniziato ad attraversare i confini internazionali.
Ecco alcune delle aree più importanti della sovranità dei dati:
Area legale. Negli ultimi anni, vari paesi e regioni hanno stabilito norme sulla protezione dei dati rivolte ai problemi di privacy, sicurezza e storage relativi alla archiviazione fisica dei dati. Un primo esempio di questo è la legge GDPR dell'UE. Questi tipi di regolamentazioni riguardano aree come i dati dei visitatori dei siti web e i dati sull'uso dei prodotti. L'inosservanza può causare problemi legali complessi, che possono a loro volta portare a complicazioni sia operative che finanziarie.
Sicurezza. Chi ha accesso ai dati sensibili? Che si tratti di proprietà intellettuale, finanziaria, personale o organizzativa, il controllo dell'accesso ai dati sensibili è un elemento cruciale della sovranità dei dati. In alcuni casi, le leggi regionali considerano anche l'aspetto della privacy della raccolta dei dati. Tutto ciò può indicare il bisogno di mantenere il controllo sulla sicurezza, sull'accesso e sullo storage.
Continuità. In un mondo di dati distribuiti a livello globale, i provider di cloud pubblico potrebbero teoricamente memorizzare i backup nei data center situati in altri paesi. Ciò potrebbe creare un problema qualora gravi interruzioni o disastri naturali interrompessero l'accesso e la connettività. Inoltre solleva la questione della giurisdizione: se qualcuno hackerasse il data center di un provider cloud, quali leggi si applicherebbero per proteggere gli utenti interessati che risiedono in varie parti del mondo? Le strategie di sovranità dei dati possono contribuire a garantire che lo storage venga conservato in regioni specifiche. Per quanto riguarda l'accesso in circostanze estreme, tale località consente una connettività di backup rapida senza problemi di latenza causati dalla distanza geografica o di problemi di accesso legale dovuti alle leggi regionali.
Le aziende che raccolgono e memorizzano i dati devono rispettare le leggi sulla sovranità dei dati dei paesi in cui operano, e quel lavoro può comportare lo storage dei dati in location specifiche, l'implementazione di misure di sicurezza e il garantire che i dati vengano gestiti in conformità con le normative locali. Questo può essere un processo complesso e impegnativo, soprattutto per le aziende multinazionali che operano in più giurisdizioni.
Il seguente è un esempio di flusso di lavoro base per la sovranità dei dati:
La sovranità dei dati è un concetto complesso che racchiude diversi elementi interconnessi. Giurisdizioni, leggi e location dell'hardware svolgono tutti un ruolo nella formula dinamica della sovranità dei dati. Gli elementi più importanti di questo concetto sono i seguenti:
Di base, con sovranità dei dati si intende la supervisione legale dei dati basata sulle normative del paese in cui sono stati generati. Variabili come una base di utenti globale, lavoratori da remoto e data center di storage cloud rendono questo concetto molto più complesso. Per questo motivo, fattori come dove risiedono i dati, dove vengono raccolti e come vengono raccolti sono essenziali per comprendere le questioni in gioco.
Il concetto di localizzazione dei dati si trova a metà strada tra residenza dei dati e sovranità dei dati. Si riferisce all'idea che i dati generati dai cittadini di una regione dovrebbero risiedere all'interno di quella regione prima di essere utilizzati esternamente. Le restrizioni alla localizzazione dei dati derivano da problemi di privacy e sicurezza, in particolare quando le organizzazioni gestiscono dati sensibili, personali o finanziari.
Residenza dei dati è il termine dato alla locazione fisica dei dati di un'organizzazione. Se i dati vengono memorizzati in un paese o in un'area diversa da quella in cui vengono generati, vengono applicate le leggi sulla residenza dei dati di tale area specifica, aggiungendo ulteriori livelli di complessità di compliance.
Con privacy dei dati si intende la protezione dei dati personali degli utenti. I siti web e le applicazioni possono raccogliere questi dati in diversi modi, tra cui moduli, informazioni fornite dall'utente e cookie di siti web. Questioni come il consenso e la legalità della raccolta sono in cima alla lista delle preoccupazioni relative alla privacy dei dati e I paezi hanno iniziato a istituire le proprie leggi sulla privacy dei dati per proteggere i cittadini da truffe e abusi.
Le principali differenze tra sovranità dei dati, localizzazione dei dati, residenza dei dati e privacy dei dati derivano dal modo in cui si relazionano tra loro. Sovranità dei dati è il termine generale che include giurisdizioni, cittadini, organizzazioni e leggi. La localizzazione dei dati determina il modo in cui i dati degli utenti devono essere trattati, mentre residenza e privacy dei dati si riferiscono alle definizioni utilizzate quando si analizzano i concetti più ampi. L'illustrazione a seguire fornisce un flusso visivo di come questi concetti funzionano insieme.
Differenze tra sovranità, localizzazione e residenza
Per privacy dei dati si intende il requisito di proteggere le informazioni personali e sensibili, il rischio di perdita della fiducia dei clienti, cattiva pubblicità o persino multe e procedimenti giudiziari.
Sovranità dei dati | Localizzazione dati | Residenza dei dati |
---|---|---|
La supervisione legale dei dati si basa sulle normative del paese in cui sono generati e/o elaborati | Il concetto per cui i dati generati dai cittadini di un paese dovrebbero risiedere in tale giurisdizione prima di essere utilizzati esternamente | L'ubicazione fisica in cui un'organizzazione memorizza e/o elabora i propri dati |
Man mano che i computer si sono evoluti passando dall'essere colossi che occupavano intere camere a piccoli computer desktop, anche l'accesso ai dati si è evoluto. La sicurezza è diventata il regno dei supporti di storage fisici, delle reti LAN e dei data center. Man mano che i dati diventavano più portatili e trasmissibili dinamicamente, apparvero le prime nozioni di sovranità dei dati. Nell'UE, la Data Protective Directive del 1995 ha limitato il trattamento e l'archiviazione dei dati dei cittadini dell'UE a tali frontiere. Dall'altra parte dell'Atlantico, gli Stati Uniti hanno trattato la sovranità dei dati da diverse angolazioni, tra cui il PATRIOT Act del 2001, che ha cambiato radicalmente a quali dati dei cittadini il governo degli Stati Uniti poteva accedere legalmente. La legge ha concesso al governo federale l'accesso ai dati memorizzati all'interno delle giurisdizioni americane, nonché ai dati gestiti da società che operano all'interno dei confini degli Stati Uniti.
Quell'epoca aveva come strumenti media fisici e modem dial-up, e vedeva Internet come un servizio di nicchia. Ma negli anni successivi, la trasformazione digitale si è diffusa in tutti i settori e le comunità, abbracciando l'accesso domestico a Internet, le transazioni finanziarie online, i dati personali tramite i social media, fino ai dispositivi di storage cloud quotidiano, valuta digitale e Internet of Things (IoT). Tutto a un tratto, l'importanza della sovranità dei dati è cresciuta in modo esponenziale. Le aziende hanno iniziato a condividere i dati oltre i confini internazionali, la criminalità informatica è diventata un rischio quotidiano, i cittadini hanno cominciato a effettuare acquisti online da località lontane e i governi sono stati scoperti a monitorare illegalmente i dati personali. Tutti questi cambiamenti hanno creato il bisogno di stabilire un certo ordine nel caos, in particolare con diverse giurisdizioni coinvolte.
Oggi, la nozione di sovranità dei dati racchiude una vasta gamma di argomenti, tra cui le normative locali, i problemi di privacy, l'ubicazione fisica dei server di storage cloud e altro ancora. Man mano che i dispositivi si integrano sempre di più in ogni aspetto della nostra vita quotidiana e le aziende oltrepassano i limiti del lavoro da remoto, la sovranità dei dati diventa solo più complicata ed essenziale.
La Data Protection Directive (DPD) dell'UE è entrata in vigore all'alba dell'era di Internet, nel 1995. Ufficialmente conosciuta come Direttiva 95/46/EC, la DPD è stata fondamentale per il modo in cui il mondo guarda alla privacy dei dati in termini di diritti e libertà fondamentali. Fra gli argomenti chiave del DPD ci sono:
Nei 20 anni successivi, l'uso dei dati è esploso in tutto il mondo, prima attraverso l'accesso a Internet a banda larga, poi con l'emergere dei social media e poi con l'uso di dispositivi Internet of Things (IoT) come gli smartphone, che raccolgono costantemente grandi quantità di dati personali. Questa evoluzione ha rivelato le lacune nelle protezioni del DPD, poiché i dati hanno iniziato a fluire in modi che prima erano inimmaginabili.
Adottata nel 2016 e attiva dal 2018, la General Data Protection Regulation (GDPR) ha sostituito il DPD e si è basata su tutti i suoi principi chiave, inclusi i diritti di base sui dati, le normative per le autorità di vigilanza e le limitazioni al trasferimento di dati personali in paesi terzi. Cosa significativa, il GDPR ha stabilito che le organizzazioni devono raccogliere e gestire i dati personali solo in modi legalmente autorizzati, tra cui il consenso del soggetto, l'obbligo contrattuale o l'interesse pubblico nell'autorità ufficiale. Le preoccupazioni riguardanti il consenso e l'autorità governativa erano sorte nel decennio precedente all'entrata in vigore del GDPR, man mano che emergevano rivelazioni sull'uso dei dati americani ai sensi del PATRIOT Act. Il GDPR ha chiarito e semplificato l'accesso ai dati personali, la proprietà, il consenso, i reclami e le restrizioni per rafforzare i confini legali e una maggiore proprietà individuale, facendo ricadere al contempo la responsabilità su organizzazioni e responsabili del trattamento dei dati.
Ampiamente riconosciuta come la legge sulla protezione dei dati più influente della storia, il GDPR ha contribuito ad agire rispetto alla protezione dei dati in tutto il mondo. Negli Stati Uniti, diversi stati hanno approvato le proprie leggi sui dati generati dai residenti, tra cui il California Consumer Privacy Act e il Colorado Privacy Act. Sud Africa, Thailandia, Singapore e altri paesi hanno fatto altrettanto.
La sovranità dei dati può essere un percorso unico e spesso impegnativo: una volta che un'organizzazione raggiunge i propri obiettivi, il processo continua a causa dell'evoluzione delle normative e delle nuove linee guida dei territori emergenti. Le organizzazioni devono stare al passo con tutte queste variabili mentre operano scelte IT cruciali e valutano le ramificazioni. Nell'elenco a seguire sono riportate le sfide più comuni della sovranità dei dati:
Operare in più paesi. Se la tua organizzazione cominciasse a operare in più paesi, la sovranità dei dati potrebbe subito diventare più complessa. Le normative sulla raccolta dei dati dipendono dalla giurisdizione in cui vengono effettuati i processi. Una multinazionale potrebbe dover navigare le variazioni regionali e le sfumature delle leggi sui dati in tutte le aree in cui operano.
Leggi in continua evoluzione. Le leggi esistenti come il GDPR dell'UE e il CCPA negli Stati Uniti potrebbero continuare ad essere aggiornate, anche se altre giurisdizioni introducono le proprie versioni di protezione dei dati. Ogni organizzazione è tenuta a monitorare questi cambiamenti per mantenere la compliance, dal momento che le responsabilità legali per la privacy e la protezione dei dati possono ricadere sulle entità piuttosto che sugli individui. Ad esempio, il Regno Unito ha continuato a mantenere lo standard del GDPR anche dopo la sua uscita dall'UE nel 2020, ma può scegliere in che modo far evolvere le leggi per i residenti del Regno Unito in modo indipendente.
Location di storage del fornitore. Se la tua organizzazione utilizza un cloud pubblico, la locazione dello storage e l'elaborazione fisica del cloud pubblico potrebbero diventare un fattore determinante. Se le leggi sulla privacy dei dati richiedono che i dati risiedano nella giurisdizione di un utente, le organizzazioni possono decidere se comunicare con i fornitori di eventuali requisiti legali specifici relativi alla posizione geografica.
Investimenti iniziali. La sovranità dei dati richiede un impegno finanziario. Se stai gestendo un data center locale, potresti dover effettuare una migrazione al cloud. Se stai raccogliendo dati sensibili come le informazioni finanziarie, potresti dover implementare nuovi livelli di sicurezza. I passi necessari per ottenere una solida sovranità dei dati sono diversi per ogni organizzazione. Potrebbe anche essere necessario dedicare molto tempo e tanti sforzi alla formazione dei dipendenti su tali specifiche. Qualunque sia il tuo percorso di sovranità dei dati, è destinato a includere sfide inaspettate, quindi la tua organizzazione deve essere pronta ad assorbire i costi.
Il costo del successo. Forse la tua organizzazione ha iniziato come un'azienda locale, ma ha ampliato la sua portata man mano che i suoi prodotti o servizi hanno guadagnato terreno. Con una tale espansione arriva anche una base di clienti più ampia e con tale base emergono problemi di sovranità dei dati, in particolare se la portata dei clienti si estende in nuovi territori con normative diverse. La sovranità dei dati deve essere una parte costante dell'equazione quando si pianifica l'espansione e la crescita, perché ignorarla può portare a conseguenze legali significative in un momento successivo.
Quando si parla di sovranità dei dati, non esiste un'unica soluzione che funzioni per ogni organizzazione. Tuttavia, ci sono diversi requisiti generali che valgono indipendentemente dagli obiettivi tecnologici o aziendali esistenti di un'organizzazione. I sei passaggi a seguire rappresentano una guida generale per raggiungere potenzialmente la sovranità dei dati.
1. Scopri con cosa stai lavorando
Come vengono memorizzati i tuoi dati? Dove si trovano e/o vengono elaborati? Stai utilizzando un data center locale, un provider cloud o un ibrido di entrambi? Quali misure di accesso basate sui ruoli e misure di sicurezza di altro tipo hai adottato? Utilizzi e/o hai bisogno di supporto per dispositivi all'avanguardia vicini a un confine di giurisdizione? E come ti espanderai in futuro? Prima di prendere qualsiasi decisione sulla sovranità dei dati, la tua organizzazione deve trovare risposta a questi tipi di domande per avere un quadro completo di ciò che determinerà la compliance.
2. Cosa hai bisogno di sapere
Hai risposto alle domande sopra riportate? Bene, ora prendi queste informazioni e pensa a ciò che devi, e vuoi, farci. Chiaramente, soddisfare i requisiti di compliance normativa è importante. Tuttavia, dato che le strategie coinvolte avranno un impatto anche sulle tue scelte IT, sul tuo team legale e sul tuo budget, dovresti anche definire obiettivi chiari per il business come parte del processo. Una roadmap generale, un elenco di esigenze hardware e di dati e valutazioni degli scenari migliori/peggiori possono essere tutti criteri chiave per aiutarti a sviluppare la tua strategia di sovranità dei dati.
3. Scopri cosa è disponibile
In molti casi, l'intersezione tra le tue esigenze di compliance, business e operations ti indirizzerà verso una soluzione cloud. Ciò potrebbe implicare connettere un data center locale esistente tramite un modello ibrido, effettuare la migrazione di un data center locale al cloud o prendere in considerazione requisiti pratici per la compliance rispetto a ciò che un fornitore di servizi cloud può offrire. La tua organizzazione dovrebbe valutare i fornitori di cloud in base a tutte le esigenze tecniche, finanziarie e legate alla compliance, considerando fattori come i loro servizi di migrazione, le location fisiche dei data center e le aree servizio.
4. Fai una o più scelte
Arrivati a questo punto, avrai capito la tua situazione attuale, fatto una lista delle tue esigenze specifiche ed esplorato le funzionalità di diversi fornitori cloud. Mettere tutto questo insieme dovrebbe creare una lista chiara di diversi fornitori. Intervista ciascun fornitore e ottieni una demo o una prova, se possibile. Fatto ciò sarà il momento di selezionare i fornitori necessari e creare una roadmap per la migrazione. In questa fase, puoi esaminare a fondo gli accordi sul livello di servizio (SLA) di ciascun fornitore per scoprire come i loro servizi si allineeranno alle esigenze funzionali della tua organizzazione.
5. Rimani al passo con i cambiamenti
Funzionalità, sicurezza e compliance: anche dopo la migrazione e il lancio, la tua organizzazione potrebbe dover monitorare i parametri chiave delle prestazioni e i problemi di sicurezza per garantire che tutto vada come previsto. Gli audit periodici possono essere una parte necessaria delle operazioni aziendali basate sui dati, così come gli aggiornamenti regionali e le nuove leggi emergenti. In questa fase, la tua organizzazione dovrebbe anche prepararsi a uno scenario peggiore: e se dovessi tagliare i ponti con un fornitore poco performante?
6. Rivedi in base alle esigenze
Se non sei soddisfatto del fornitore da te scelto, sappi che c'è sempre un'altra opzione che ti aspetta. Inoltre, ci sono sempre nuove capacità tecnologiche da sfruttare. Anche se le cose vanno bene per il tuo business, non guasta mai considerare cosa c'è là fuori, tenendo ovviamente presente il problema della migrazione. Conoscere tutte le opzioni può essere particolarmente importante se le cose vanno male con i tuoi fornitori a contratto, ad esempio se non soddisfano gli standard di prestazioni stabiliti nei loro SLA o se il loro servizio clienti è scadente.
In ogni caso, la rivalutazione e la revisione dovrebbero sempre far parte del piano quando si parla di tecnologia, e ancora di più quando si parla di economia e sicurezza basate sui dati.
Sebbene la sovranità dei dati raramente sia una soluzione universale, in quasi tutte le situazioni si applicano le stesse best practice. Fra queste ci sono le seguenti:
Scopri dove vanno i tuoi dati. Nel caso di storage, elaborazione e trasmissione, la location è importante. Il primo passo per garantire la sovranità dei dati è identificare tutte le location nazionali fisiche. Una volta generato l'elenco, le organizzazioni possono cercare le leggi regionali pertinenti per verificare la compliance (o determinare i rischi se non conformi).
Fai scelte intelligenti sulla localizzazione dei dati. La localizzazione dei dati semplifica la compliance e i rischi normativi garantendo che i dati memorizzati risiedano fisicamente nella giurisdizione in cui sono stati raccolti. In molti casi, la localizzazione dei dati può essere il modo più veloce per raggiungere la compliance, quindi questo approccio può eliminare molte delle complicazioni coinvolte quando i dati attraversano i confini internazionali o statali.
Proteggi i dati sensibili. C'è una differenza tra i dati personali sensibili e, ad esempio, le metriche generali degli utenti raccolte dai siti web. I dati sensibili, siano essi medici o finanziari o di altro tipo, potrebbero richiedere garanzie adeguate per rispettare le linee guida legali ed etiche. Le organizzazioni potrebbero dover stabilire una policy specifica per la gestione e la protezione dei dati sensibili. Per mantenere la conformità, le aziende possono prendere in considerazione l'esecuzione di revisioni periodiche e aggiornamenti di qualsiasi politica creata a tale scopo.
Esamina i tuoi fornitori cloud. Lo storage cloud offre vantaggi significativi rispetto ai data center locali, tra cui velocità, costi e scalabilità. Tuttavia, qualsiasi organizzazione elabori dati utente deve essere a conoscenza di dove si svolge la raccolta dei dati. Poiché i fornitori di servizi cloud potrebbero teoricamente fornire servizi alle organizzazioni di tutto il mondo, spetta alle organizzazioni controllare i propri fornitori e garantire che ci siano le giuste opzioni di residenza dei dati per la compliance regionale.
Un aspetto fondamentale e frequente delle best practice sopra elencate è la necessità di rimanere aggiornati sulle leggi e sui regolamenti regionali. La compliance è un processo dinamico e continuo: nuove tecnologie emergono e le linee guida si evolvono costantemente, a volte in modo molto rapido. Anche una volta che un'organizzazione ha stabilito i propri principi di sovranità dei dati, la convalida e la conformità continue dipendono da check-in regolari in tutte le aree e giurisdizioni pertinenti.
Per aiutare le organizzazioni di tutto il mondo a soddisfare i diversi requisiti di sovranità dei dati, Oracle offre una raccolta di soluzioni di sovranità di Oracle Cloud Infrastructure (OCI): modelli di implementazione progettati per aiutare a soddisfare esigenze commerciali e governative specifiche con funzionalità OCI complete. Queste offerte supportano il controllo del cliente sugli accreditamenti di residenza, accesso e conformità dei dati per le loro organizzazioni. Inoltre, le Oracle National Security Regions aiutano a fornire reti governative sicure per carichi di lavoro altamente riservati e sensibili, mentre Oracle EU Sovereign Cloud può fornire servizi di cloud pubblico, prezzi e programmi in linea con le esigenze di compliance dell'UE.
Cosa si intende per sovranità dei dati?
La sovranità dei dati è il concetto per cui le leggi sui dati di una giurisdizione specifica si applicano ai dati archiviati e generati all'interno dei suoi confini. Pertanto, i dati personali di un utente all'interno di un determinato paese sono soggetti alle leggi di tale paese. Allo stesso modo, se un provider cloud memorizza i dati all'interno di una giurisdizione diversa da quella del cliente, potrebbero essere applicabili alla situazione più regolate. Nella maggior parte dei casi, la responsabilità di districarsi e rispettare queste normative ricade sull'organizzazione che acquisisce i dati e paga il fornitore di servizi cloud, come un'azienda tecnologica con un'app per smartphone.
Qual è un esempio che include i principi di sovranità dei dati?
Uno degli esempi più noti di inclusione dei principi di sovranità dei dati è il GDPR dell'UE. Concepito nel 2016 e attivo dal 2018, il GDPR si applica ai cittadini dell'UE, imponendo regolamentazioni sulla privacy dei dati personali, sulla raccolta dei dati, sulla protezione dei dati e sull'uso dei dati nell'automazione. Il GDPR è spesso citato come la legge sulla privacy dei dati attualmente più influente.
Perché è importante la sovranità dei dati?
Nell'era dei floppy disk, non si parlava molto della sovranità dei dati a causa della limitata possibilità di trasferire i dati. Tuttavia, man mano che la connettività e i dispositivi IoT aumentano di capacità, i dati vengono generati ovunque e trasmessi anche oltre i confini. La sovranità dei dati è importante perché aiuta a determinare cosa le aziende possono fare con i dati degli utenti, in particolare i dati personali raccolti tramite social media o i dati finanziari raccolti tramite app bancarie. Inoltre, ogni dispositivo o sito web può presentare un potenziale rischio per la privacy a causa degli hacker, cosa che solleva domande su chi dovrebbe essere responsabile per la privacy e la sicurezza. Le iniziative di sovranità dei dati aiutano a stabilire linee guida, restrizioni e responsabilità chiare per le aziende che stanno raccogliendo, elaborando e memorizzando i dati.
Che cos'è la sovranità dei dati negli Stati Uniti?
Gli Stati Uniti non hanno un'unica legge sulla sovranità dei dati per i propri cittadini. La Federal Trade Commission ha l'autorità per indagare e perseguire le organizzazioni che non rispettano le politiche sulla privacy. A livello statale, il CCPA della California copre molte delle stesse aree del GDPR dell'UE, cosa particolarmente importante dato il grande contributo dello stato all'economia generale della nazione, in particolare nel settore tecnologico. Anche altri stati come Oregon, Colorado e Virginia hanno leggi sulla privacy dei dati, e altri ancora hanno introdotto progetti di legge di varia portata negli ultimi anni. Allo stesso modo, molte domande pre-GDPR riguardanti la privacy e l'etica dei dati sono state sollevate con l'introduzione dell'USA PATRIOT Act del 2001. Va notato che il CLOUD Act del 2018 è correlato alla sovranità dei dati. Tuttavia, tale legge si concentra sui fornitori di servizi cloud e sulla loro responsabilità in merito ai dati nel caso in cui le forze dell'ordine presentino ordinanze o mandati di comparizione.