“Nessuno vuole mettere in pericolo la propria azienda e i propri clienti, vero?”
Chiunque può diventare un ottimo direttore vendite e marketing grazie ai numerosi strumenti e alle opzioni a disposizione. Ma molte aziende sperimentano soluzioni di marketing che creano problemi legali e di conformità, mettendo a rischio sia la propria azienda sia i propri clienti.
Immaginate come potreste far crescere la vostra azienda senza rischi legali e commerciali e come ciò potrebbe persino rappresentare un vantaggio competitivo in un nuovo mondo in cui le gare d’appalto tengono ormai conto di questi rischi.
Sovranità digitale, rischi legali e commerciali : di cosa si tratta?
In breve, gli Stati Uniti hanno messo in atto un ampio corpus di leggi extraterritoriali per combattere la corruzione a livello internazionale e perseguire le aziende che non rispettano gli embarghi previsti nell’ambito della loro politica estera.
Il testo principale relativo alla corruzione è il Foreign Corruption Protection Act (FCPA) del 1977. Gli embarghi sono controllati dall’Office of Foreign Assets Control (OFAC), un’agenzia del Dipartimento del Tesoro.
Si applicano a paesi o individui o a tipi di apparecchiature, sulla base di leggi o regolamenti ad hoc come l’International Traffic in Arms Regulation (ITAR) e l’Export Administration Regulation (EAR).
“Il semplice fatto di usare il dollaro, un software americano o impiegare un cittadino americano ti obbliga a rispettare la legge americana.”
Nel 1998, il giudice statunitense ha esteso la definizione del collegamento di un attore estero con gli Stati Uniti (il nexus) come base legale per i procedimenti. Se l’uso del dollaro è il nexus più frequente, i criteri includono ora anche l’impiego di un cittadino americano o la sua presenza a una riunione, oltre al transito di un’e-mail attraverso un server basato negli Stati Uniti. Il semplice utilizzo di un software americano potrebbe essere riconosciuto come un nexus.
Nel 2016, l’Unione europea e la Confederazione svizzera hanno negoziato il Privacy Shield per disporre di un accordo giuridico che regolasse il trasferimento di dati di aziende e cittadini europei verso gli Stati Uniti.
La Corte di giustizia dell’Unione europea (CGUE) ha invalidato il Privacy Shield nel luglio 2020 a causa della mancata conformità accertata degli Stati Uniti d’America. Una decisione gravida di conseguenze per aziende e istituzioni europee che utilizzano software Made in USA.
Qualsiasi trasferimento è ormai potenzialmente illegale. Un colpo di tuono per le piattaforme americane e per i venditori di software americani!
La CGUE ha concluso che “la legge statunitense è contraria ai diritti fondamentali europei (…) e non garantisce il diritto a un ricorso effettivo di accesso a un tribunale imparziale”.
I dati degli utenti delle piattaforme americane vengono trasferiti negli Stati Uniti per essere lì archiviati, trattati e analizzati da loro stessi, e le agenzie statunitensi come la NSA vi hanno accesso di fatto e legalmente. La localizzazione dell’archiviazione (in un paese europeo, per esempio) non risolve nulla, poiché la legge statunitense consente l’extraterritorialità di tutti i dati a condizione che il servizio venga gestito da una società di nazionalità statunitense.
“Di che far tremare gli uffici legali quando i team di vendita e marketing fanno scelte SaaS americane!”
Le aziende statunitensi, e persino le loro filiali ospitate sul nostro territorio, sono soggette al Patriot Act prima di dover rispondere al RGPD europeo, quindi la posta in gioco per le nostre aziende è la sorveglianza costante dei dati dei clienti, dei contratti, dei preventivi. Senza contare che ciò le mette anche a rischio sul piano giuridico, perché possono essere contattate sia dalle autorità statunitensi per fare pressione (ricordatevi il caso Alstom) sia dai clienti europei che non vogliono esporsi a loro volta. Di che far tremare gli uffici legali quando i team commerciali e marketing fanno scelte SaaS americane!
Quali sono gli obblighi delle aziende di fronte a questi rischi?
I tribunali europei hanno stabilito che la protezione dei dati negli Stati Uniti è limitata: i dati provenienti dall’UE sono considerati poco sicuri quando vengono trasferiti negli Stati Uniti. Le aziende europee devono quindi essere in grado di garantire in permanenza che le autorità nazionali di sicurezza e di indagine del paese che riceve i dati archiviati non abbiano accesso ai dati personali.
Con il CLOUD Act, anche i dati archiviati nell’UE sono accessibili al governo statunitense
In pratica, quando utilizzano software statunitensi che potrebbero trasferire dati alle loro organizzazioni governative, le aziende devono giustificare la tracciabilità di tutti i propri dati e di quelli dei propri clienti, senza che nessun dato personale sia accessibile. È una missione impossibile.
La situazione è particolarmente difficile per le piccole e medie imprese (PMI), perché normalmente non dispongono delle competenze e dei mezzi per garantire questa tracciabilità e valutare il livello dei rischi legali e commerciali che stanno assumendo per sé stesse e per i propri clienti.
Nella situazione attuale, le imprese dell’UE potrebbero anche chiedere ai partner commerciali e ai fornitori di servizi statunitensi di utilizzare tutti i mezzi tecnici disponibili per ottimizzare la protezione dei dati, ad esempio l’uso della cifratura end-to-end. Ma come esserne certi?
Quali scelte per le aziende europee?
Il mercato globale del digitale è oggi polarizzato tra due attori principali, i cui contorni di una guerra economica stanno emergendo: Stati Uniti e Cina. Annullare il meccanismo del Privacy Shield non impedisce effettivamente il trasferimento dei dati al territorio statunitense, poiché è possibile ricorrere alle clausole contrattuali standard, ma lo rende più complesso e incoraggia indirettamente lo sviluppo del mercato interno europeo per favorire l’emergere di alternative pienamente europee.
“Approfitta della conformità RGPD per scegliere un software europeo per gestire i dati dei tuoi clienti. “
Le aziende devono interrogarsi sui rischi che incontrano nelle loro attività economiche. Quello che viene essenzialmente evocato è il saccheggio dei dati. Il RGPD mostra anche che, di conseguenza, gli europei hanno iniziato ad adottare le proprie regole. Resta ora da convincere i nostri dirigenti delle aziende europee che l’uso di software americani per gestire i dati comporta rischi diversi:
- Rischio di saccheggio a vantaggio di aziende dei nostri alleati nel contesto delle gare d’appalto.
- Rischio di controllo diretto delle attività e pressione indiretta.
- Rischio legale e finanziario della repressione statunitense online.
- Sanzione da parte dell’UE per le aziende europee che rispettano le regole statunitensi.
- Una perdita di fiducia da parte degli utenti nell’uso di un software SaaS
I decisori, responsabili commerciali e marketing, direttori dei sistemi informativi, hanno ora un ruolo determinante nella scelta dei loro software. Da questo momento in poi, impegnano le proprie aziende in modo consapevole. Ora devono sviluppare una cultura dell’autonomia, della resilienza, della sostenibilità e della protezione del digitale in tutta Europa. Per garantire in permanenza il miglior standard di rispetto dei dati per le aziende e i loro partner, le imprese europee devono ospitare tutti i dati sul territorio europeo e cercare di rivolgersi solo a subfornitori di software europei che condividano gli stessi valori.
