analisi

Regolamentazione Cloud dopo il provvedimento del Garante Privacy: prime analogie con il pharma

di |

Non esiste un "vuoto normativo" da colmare: a tutti i casi citati nell'articolo si applica il GDPR alla perfezione e resta perfettamente in piedi anche il procedimento di verifica, perché non è esso ad essere stato colpito dalla Corte Europea, ma la sua "deroga" (i.e. Privacy Shield).

Il Cloud si avvia ad essere il settore più regolamentato in Europa, insieme al farmaceutico e all’energia nucleare. Ce lo dimostra il pacchetto di provvedimenti europei in arrivo da Bruxelles e l’estenuante negoziato con le lobby dei GAFAM che per numero e per skills hanno da tempo raggiunto e superato i colleghi del pharma. E dal farmaceutico si ereditano pure alcuni concetti prima d’ora sconosciuti ed i loro processi autorizzativi che porteranno, come conseguenza, una percentuale significativa del carico di lavoro delle aziende, che dovrà spostarsi ad elaborare e inviare reportistiche di sicurezza sui prodotti delle diverse “capabilities” dei cloud providers (app, infrastructure, platform). 

Il processo di standardizzazione legato agli adempimenti di sicurezza, ambientali, di privacy e trasparenza, è sembrato fin qui il modo utile per introdurre una forma di semplificazione. La modulistica tecnica sarebbe quindi in grado di velocizzare anche il processo di controllo. Una forma di efficienza che potrebbe far gola anche alle PMI, che notoriamente non hanno un dipartimento regolamentare sviluppato come le BigTech. 

Molti oneri regolamentari saranno orizzontali a tutti gli operatori del settore. Il piccolo data center all’interno di un locale di 100mq, avrà gli stessi obblighi di un mostruoso centro di assorbimento energivoro costruito ad arte da un operatore extraeuropeo in una delle grandi capitali europee.  Nascono così le “region” cloud: degli “enclave” di diritto americano nel territorio europeo. 

Il 9 Giugno 2022 il Garante della Privacy italiano – intervenendo con un ammonimento su una fattispecie di trasferimento dati personali in America – ha di fatto colmato il vuoto interpretativo lasciato dalla sentenza Schrems II (del 2020) che ha cancellato il cd. Privacy shield (2016).

Siamo di fatto catapultati a 10 anni fa quando non c’era ancora il Safe Harbor (2013) colpito allo stesso modo dalla prima sentenza Schrems (2015). Quando una deroga viene colpita dalla Corte Europea difficilmente lascia un vuoto normativo. Quello che era lecito in base alla deroga, torna ad essere vietato nel momento in cui la deroga non opera più. 

Ci troviamo di fronte ad un illecito ogni volta che i dati personali europei vengano resi oggetto di attività di trasferimento all’estero in Paesi Terzi (non solo Stati Uniti) che non rispettano i principi europei – seppur con qualche distinguo tutto da dimostrare in merito al consenso ed alle misure GDPR e alle clausole negoziate.

Iniziano i primi problemi. Da Human Rights Watch arriva una denuncia molto forte: le piattaforme prodotte dai colossi del web e utilizzate durante la pandemia per lo svolgimento della didattica a distanza hanno violato la privacy degli studenti. 49 Paesi in totale, fra cui l’Italia, hanno fatto ricorso a prodotti digitali che sono stati in grado di monitorare i minori senza consenso alcuno. I nostri studenti sono stati profilati a scopo commerciale. 

Svizzera, Ungheria, Canada, Argentina e perfino Israele ma non solo, anche il Giappone sono tutti “Paesi terzi” in linea con gli standard europei della privacy: perché mai il problema con gli Stati Uniti dovrebbe ammettere condizioni negoziali precluse ad altri Stati? Perché mai la modifica normativa la deve fare Bruxelles e non può farla invece Washington impedendo al giudice americano di ficcare il naso altrove?

A ben vedere, non esiste un “vuoto normativo” da colmare: tanto è vero che a tutti i casi sopra elencati si applica il GDPR alla perfezione e resta perfettamente in piedi anche il procedimento di verifica, perché non è esso ad essere stato colpito dalla Corte Europea, ma la sua “deroga” (i.e. Privacy Shield).

Come dicevamo all’inizio, il cloud sta ereditando dal pharma una serie di controlli di sicurezza, di regole e principi, allora da esso tragga spunto anche per il trasferimento dei dati personali a Paesi terzi che non offrono le stesse garanzie del GDPR. Come avviene con decine di tipologie di sigarette al mentolo americane, o con i farmaci super potenti americani. Entrano solo quelli che rispettano le regole europee. Sia così anche per il cloud nazionale e per tutti i servizi digitali.