Cloud europeo ed europei: qual è il rapporto tra loro? Lo scenario che emerge è quello di una maggioranza di aziende e PA italiane che spesso collocano dati strategici e business su servizi cloud extra-europei.
Questo, nonostante l’abolizione del Privacy Shield, per cui le imprese e le organizzazioni dovrebbero essere più caute nell’esternalizzare le infrastrutture su servizi IaaS, PaaS e SaaS esterni al territorio europeo.
Infatti, con la Sentenza Schrems, dal luglio 2020 in poi ogni trasferimento di dati personali verso gli USA, per essere legittimo, deve essere assistito da una delle garanzie previste dal GDPR.
Cloud europeo in Italia: livelli di adozione
Se ci caliamo nel contesto prettamente italiano, recenti dati ci raccontano che alla fine dell’anno 2020, il 59% delle aziende utilizzava servizi cloud. Del resto, secondo le ricerche del Politecnico di Milano, tra il 2019 e il 2020 l’adozione della nuvola è cresciuta del 21 per cento. Ma ben il 60% di questo cloud è “in mano” a operatori non europei. Una concentrazione tale che bisogna se non altro chiedersi quali ripercussioni potrebbe generare nel tempo.
Caratteristiche dei contratti cloud USA
Come emerge dallo studio promosso da DHH “La Raggiungibilità giuridica dei dati”, del giurista Innocenzo Maria Genna – specializzato in politiche europee per il digitale – e dell’avvocato Eugenio Prosperetti, docente presso l’Università LUISS “Guido Carli” di Roma ed esperto di compliance in ambito IT, ci sono differenze sostanziali tra l’approccio europeo e quello extra-europeo. Tra queste:
- un modello che spesso vede i grandi cloud player approcciarsi al cliente in modo “intermediato”, attraverso partner locali, per evitare di adeguarsi ad oneri e condizioni locali e di assumere rischi verso entità locali pubbliche o private
- a differenza di quanto avviene con il cloud europeo e il GDPR, negli Stati Uniti d’America non è prevista una normativa federale che abbia come oggetto la tutela dei dati. Che si appoggia invece a norme generali, in un contesto eterogeneo di normative a tutela dei consumatori. In molti casi ogni singolo stato degli U.S. ha comunque una sua legge sulla data protection
- sempre a differenza del modello EU, in USA la raccolta di dati – anche massiva – non prevede autorizzazioni preventive. E’ invece l’uso che si fa dei dati a essere soggetto a regolamentazione, analizzando il caso specifico e sempre secondo leggi locali
Quanto esposto sopra mira a elencare alcuni degli aspetti in cui l’approccio alla data protection cambia da Europa a Stati Uniti.
Più che giudicare il modello di privacy “migliore”, essere consapevoli!
Il punto non sta, qui, nel valutare quale sia il modello migliore: se sia preferibile dare centralità al soggetto e alla protezione dei suoi dati sensibili, o al “sistema” e agli interessi nazionali, semplificando l’accesso al dato e non considerando cruciale il consenso informato.
In un contesto che sembra prediligere al cloud europeo quello extra-europeo, è importante piuttosto avere consapevolezza di come potranno essere trattati i nostri dati. E non si parla solo di dati privati, i cosiddetti “dati personali”: spesso, come indicano gli autori dello studio, potrebbero essere più critici (e più appetibili) dati pubblici dietro cui si celano intere strategie aziendali.
E’ essenziale quantomeno che, quindi, l’azienda o la Pubblica Amministrazione che affida le proprie informazioni a provider non europei sappia che così assoggetta i dati aziendali a giurisdizioni diverse dal GDPR.
Una consapevolezza deve nascere anche dalla natura stessa dei contratti cloud: a metà tra contratti “locazione” e appalto di servizi, in essi titolarità ed esercizio dei diritti sui dati spettano all’utente, ma è il cloud provider che ha l’onere di conservarli!
Cloud USA e datacenter europeo: cosa implica?
Scegliere di allocare dati su cloud non europeo implica non assoggettare i dati al GDPR ma ad altre giurisdizioni. Un aspetto né banale né sempre chiaro a tutti.
Consideriamo la globalità dei più grandi operatori cloud: hanno data center sparsi in tutto il mondo. In Europa e anche in Italia. E facilmente si crea l’equivoco per cui se i dati sono nel mio Paese allora potrò in qualunque caso appellarmi alla giurisdizione del Paese della mia azienda. Non è per nulla così.
Il motivo per cui non è così è spiegato nella ricerca su “La Raggiungibilità Giuridica dei Dati”, che offre uno sguardo completo sul concetto di dato e sulla sua raggiungibilità con particolare riferimento al ruolo dei cloud provider statunitensi. Per la loro predominanza sul mercato, e perché non c’è, spesso, piena consapevolezza di cosa possono rischiare, in presenza di eventi sfavorevoli, quelle informazioni strategiche per le aziende che, una volta messe in cloud e in “outsourcing”, si prestano automaticamente ad essere raggiunte.
Scarica gratuitamente “La Raggiungibilità Giuridica dei Dati”
Articoli correlati:
- Penetration Test: 7 tool per la sicurezza dei tuoi dati
- Il futuro della sicurezza dati è il nuovo Cloud Backup!
- Cloud computing e sicurezza dati
- Mettereste i dati del vostro core business sul Cloud di un competitor?
- Backup e disaster recovery: strategie per tutelare i dati in cloud
- GDPR compliance: la protezione dati con Seeweb