Il 60% dei servizi cloud utilizzati in Italia è fornito da imprese extraeuropee, il restante 40% sceglie quello europeo, secondo i dati del Ministero dell’innovazione.
Quali sono le criticità connesse alla gestione extra-europea del dato, la protezione e riservatezza dei dati, l’inefficacia delle attuali garanzie a tutela dei dati europei, dimostrata dalla bocciatura del Privacy Shield, in relazione ai programmi di sorveglianza del governo americano?
A queste domande rispondono Innocenzo Genna ed Eugenio Prosperetti nella ricerca “La raggiungibilità giuridica dei dati”, promossa da DHH.
L’intervista
58 pagine con il focus sulla raggiungibilità giuridica del dato.
“Occorre considerare la sorte che i dati affidati in cloud possano avere a fronte di provvedimenti coercitivi da parte di autorità governative o giudiziarie, che ne potrebbero sancire l’accesso, l’interdizione o financo la distruzione. Questo è il tema della raggiungibilità dei dati in ambiente cloud”, spiegano Genna e Prosperetti nella ricerca, che è un vero manuale per conoscere nel dettaglio e in modo semplice tutto ciò che conta sul cloud.
Abbiamo intervistato gli autori.
Key4biz. Perché la raggiungibilità giuridica del dato dovrebbe essere considerata più importante rispetto all’offerta economica e tecnologica proposta dall’operatore nella fase di selezione del provider di servizi cloud?
Innocenzo Genna. In un’epoca di costante dematerializzazione dei beni e dei servizi, i dati rivestono un valore fondamentale per individui ed imprese, un valore che può essere economico o semplicemente intrinseco, sia che siano personali o non personali (ad esempio: quelli aziendali).
Affidare questi dati ad un cloud provider significa affidare il proprio universo, sia personale che professionale, ad un soggetto terzo. A quel punto la sicurezza complessiva della gestione dei nostri dati è affidata principalmente alla bontà del contratto tra noi e il provider, ma possono dipendere anche dalle norme cui è soggetto il provider e alle quali questi non si può sottrarre. Una scelta così rilevante non può avvenire sulla base di semplici valutazioni economiche ma deve necessariamente tenere conto di come tali dati verranno custoditi, protetti da attacchi esterni, resi disponibili su nostra richiesta e persino difesi in casi di pretese di accesso di terzi, che possono essere anche autorità governative estere. La raggiungibilità del dato riflette appunto queste ultime ipotesi: come e a quali condizioni il legittimo titolare dei dati, così come altri soggetti che abbiano successivamente acquisito dei diritti, fino a terzi estranei, possano avere legalmente accesso a tali dati custoditi dal cloud provider.
Si tratta di un aspetto della disciplina dei dati che assume tanta più importanza quanto più i dati acquistano valore e vengono affidati in cloud, analogamente a quando si depositano beni di valore presso una banca o si decide il luogo dove investire i propri denari: non ci si limita a valutare il costo dell’affitto della cassetta di sicurezza o i tassi praticati.
Key4biz. Per quanto riguarda i cloud provider di nazionalità Usa, quali sono le criticità, considerando la bocciatura del Privacy Shield e i programmi di sorveglianza del governo americano?
Eugenio Prosperetti. Le regole GDPR individuano chiaramente le metodiche per ovviare alla bocciatura del Privacy Shield, con specifiche garanzie di tipo contrattuale che il provider assume in proprio. Lo studio afferma però chiaramente che il tema cui porre attenzione non riguarda solamente i dati personali. Spesso i dati non personali, ad esempio segreti industriali, dati di budget o dati economici, che pure vengono trasferiti in cloud sono tra quelli più delicati e critici per l’impresa, ma si pensa sempre solo e soltanto ai dati personali.
Nemmeno direi che il tema della raggiungibilità giuridica riguardi solamente i provider USA, esso si pone a livello mondiale e, purtroppo, programmi di sorveglianza, esistono in varie parti del mondo. In questo senso occorrerebbe ragionare di regolamentazioni della sicurezza della circolazione dei dati non personali, la cui regolamentazione è oggi carente ed affidata totalmente alle garanzie che offre il cloud provider.
La soluzione mi pare stia nel mettere in grado l’utente di effettuare una scelta consapevole attraverso politiche dei cloud provider di offerta di chiare garanzie in relazione non solo alla sicurezza ma anche a più trasparenza sull’interazione con autorità governative. Occorrono inoltre chiare politiche di localizzazione dei dati e che il cloud provider eviti di subappaltarne la gestione a provider operanti in un regime giuridico diverso. È inoltre fuor di dubbio che un contratto con un provider nazionale offre maggiori garanzie quanto alla possibilità di esperire rimedi in caso di violazioni.
Key4biz. I cloud provider di nazionalità statunitense sono soggetti al Cloud Act voluto dall’amministrazione Trump. Concretamente quali sono gli effetti?
Eugenio Prosperetti. Il Cloud Act ha riformato la precedente normativa per dare più poteri di accesso ai dati “posseduti, gestiti o controllati” da servizi di comunicazione elettronica soggetti all’ordinamento USA. Essa è la normativa che ha posto per prima l’attenzione degli studiosi sul tema della raggiungibilità giuridica del dato. La novità è che consente a un giudice USA, in caso di indagini su un reato, di emettere un ordine di accesso a dati che ritiene rilevanti, anche se i dati sono di titolarità di cittadini stranieri. È da sapere però che l’ordine sarà automaticamente eseguito senza potersi opporre solo se il proprio Stato abbia stipulato appositi accordi con gli USA per la sua attuazione. Si tratta di una normativa estremamente complessa e uno dei punti chiave, affrontato nello studio, è comprendere quando il cloud provider abbia effettivamente il possesso, gestione o controllo dei dati.
Key4biz. Qual è il vostro commento alle parole pronunciate in Parlamento dal ministro Colao” Per Pa Cloud esclusivo o ibridi, ma con data center in Italia e a controllo italiano”?
Innocenzo Genna. È fondamentale che lo Stato Italiano abbia il controllo dei dati della PA, dove per controllo intendiamo la capacità di dettarne le regole, incluse quelle sulla raggiungibilità giuridica. La collocazione fisica dei data center è anche rilevante, per vari fini, ad esempio giuridici, ma deve comunque tenere conto di altre esigenze, di tecnologia, di sicurezza e di connettività. Il caso dell’incendio dei data center di OVH in Francia non può indurci a pensare che i nostri dati verrebbero meglio protetti in un singolo data center in Italia, perché gli incendi non possono essere proibiti per legge nemmeno a casa nostra. Pertanto, qualsiasi progetto di concentrazione dei dati della PA presso data center nazionali deve comunque avvenire tenendo conto dei migliori modelli tecnologici disponibili.
Key4biz. Le Big Tech rischiano di essere fuori dal cloud nazionale?
Innocenzo Genna. Attualmente non appare realistico immaginare un cloud nazionale autarchico e completamente slegato dalle Big Tech, e non è neanche desiderabile. Le Big Tech hanno dato un grande impulso alla modernizzazione della PA e dell’industria italiana, ed alla sua capacità di dotarsi di strumenti innovativi. È però importante che l’Italia non si trovi in situazione di dipendenza da uno specifico operatore o tecnologia posseduti da un Paese straniero, bensì che vi sia una sufficiente distribuzione dei fornitori di servizi, delle supply chain e dei rischi, e che in tale contesto vi sia spazio e possibilità di crescita per operatori e soluzioni nazionali. Per questo muoversi in un contesto più ampio di quello nazionale, vale a dire europeo, diventa una necessità imprescindibile.
