cloud-europeo

Cloud europeo: perché sceglierlo se non vuoi rischiare per i tuoi dati

Nonostante le norme sulla privacy e l'abolizione del Privacy Shield, un'alta percentuale di imprese e PA europee mette i dati al di fuori dell'Europa. Spesso, nell'illusione che, se il datacenter del provider extra-europeo è nel proprio Paese, ci si possa avvalere della protezione del GDPR. Uno studio ci spiega bene cosa si rischia per i propri dati quando si sceglie di esternalizzarli e ci invita alla consapevolezza
Indice dei contenuti

Cloud europeo ed europei: qual è il rapporto tra loro? Lo scenario che emerge è quello di una maggioranza di aziende e PA italiane che spesso collocano dati strategici e business su servizi cloud extra-europei.

Questo, nonostante l’abolizione del Privacy Shield, per cui le imprese e le organizzazioni dovrebbero essere più caute nell’esternalizzare le infrastrutture su servizi IaaS, PaaS e SaaS esterni al territorio europeo.

Infatti, con la Sentenza Schrems, dal luglio 2020 in poi ogni trasferimento di dati personali verso gli USA, per essere legittimo, deve essere assistito da una delle garanzie previste dal GDPR.

Cloud europeo in Italia: livelli di adozione

Se ci caliamo nel contesto prettamente italiano, recenti dati ci raccontano che alla fine dell’anno 2020, il 59% delle aziende utilizzava servizi cloud. Del resto, secondo le ricerche del Politecnico di Milano, tra il 2019 e il 2020 l’adozione della nuvola è cresciuta del 21 per cento. Ma ben il 60% di questo cloud è “in mano” a operatori non europei. Una concentrazione tale che bisogna se non altro chiedersi quali ripercussioni potrebbe generare nel tempo.

Caratteristiche dei contratti cloud USA

Come emerge dallo studio promosso da DHH “La Raggiungibilità giuridica dei dati”, del giurista Innocenzo Maria Genna – specializzato in politiche europee per il digitale – e dell’avvocato Eugenio Prosperetti, docente presso l’Università LUISS “Guido Carli” di Roma ed esperto di compliance in ambito IT, ci sono differenze sostanziali tra l’approccio europeo e quello extra-europeo. Tra queste:

  • un modello che spesso vede i grandi cloud player approcciarsi al cliente in modo “intermediato”, attraverso partner locali, per evitare di adeguarsi ad oneri e condizioni locali e di assumere rischi verso entità locali pubbliche o private
  • a differenza di quanto avviene con il cloud europeo e il GDPR, negli Stati Uniti d’America non è prevista una normativa federale che abbia come oggetto la tutela dei dati. Che si appoggia invece a norme generali, in un contesto eterogeneo di normative a tutela dei consumatori. In molti casi ogni singolo stato degli U.S. ha comunque una sua legge sulla data protection
  • sempre a differenza del modello EU, in USA la raccolta di dati – anche massiva – non prevede autorizzazioni preventive. E’ invece l’uso che si fa dei dati a essere soggetto a regolamentazione, analizzando il caso specifico e sempre secondo leggi locali
  •  

Quanto esposto sopra mira a elencare alcuni degli aspetti in cui l’approccio alla data protection cambia da Europa a Stati Uniti.

Più che giudicare il modello di privacy “migliore”, essere consapevoli!

Il punto non sta, qui, nel valutare quale sia il modello migliore: se sia preferibile dare centralità al soggetto e alla protezione dei suoi dati sensibili, o al “sistema” e agli interessi nazionali, semplificando l’accesso al dato e non considerando cruciale il consenso informato.

In un contesto che sembra prediligere al cloud europeo quello extra-europeo, è importante piuttosto avere consapevolezza di come potranno essere trattati i nostri dati. E non si parla solo di dati privati, i cosiddetti “dati personali”: spesso, come indicano gli autori dello studio, potrebbero essere più critici (e più appetibili) dati pubblici dietro cui si celano intere strategie aziendali.

E’ essenziale quantomeno che, quindi, l’azienda o la Pubblica Amministrazione che affida le proprie informazioni a provider non europei sappia che così assoggetta i dati aziendali a giurisdizioni diverse dal GDPR.

Una consapevolezza deve nascere anche dalla natura stessa dei contratti cloud: a metà tra contratti “locazione” e appalto di servizi, in essi titolarità ed esercizio dei diritti sui dati spettano all’utente, ma è il cloud provider che ha l’onere di conservarli!

Cloud USA e datacenter europeo: cosa implica?

Scegliere di allocare dati su cloud non europeo implica non assoggettare i dati al GDPR ma ad altre giurisdizioni. Un aspetto né banale né sempre chiaro a tutti.

Consideriamo la globalità dei più grandi operatori cloud: hanno data center sparsi in tutto il mondo. In Europa e anche in Italia. E facilmente si crea l’equivoco per cui se i dati sono nel mio Paese allora potrò in qualunque caso appellarmi alla giurisdizione del Paese della mia azienda. Non è per nulla così.

Il motivo per cui non è così è spiegato nella ricerca su “La Raggiungibilità Giuridica dei Dati”, che offre uno sguardo completo sul concetto di dato e sulla sua raggiungibilità con particolare riferimento al ruolo dei cloud provider statunitensi. Per la loro predominanza sul mercato, e perché non c’è, spesso, piena consapevolezza di cosa possono rischiare, in presenza di eventi sfavorevoli, quelle informazioni strategiche per le aziende che, una volta messe in cloud e in “outsourcing”, si prestano automaticamente ad essere raggiunte.

Scarica gratuitamente “La Raggiungibilità Giuridica dei Dati”

CONDIVIDI SUI SOCIAL

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

84 − 81 =