Dal primo gennaio 2023, i clienti Microsoft che risiedono nel territorio europeo possono archiviare i propri dati all’interno di tale regione. Ciò vale per tutti i servizi core Cloud offerti da Microsoft, non solo Azure, ma anche Microsoft 365, Dynamics 365 e la piattaforma Power BI.
Un cambiamento graduale annunciato dall’azienda sul finire dello scorso anno: con l’EU Data Boundary, quindi, Microsoft offrirà ai clienti che utilizzano i suoi servizi cloud la garanzia che tutti i loro dati archiviati in una specifica region, anche quelli prodotti da Microsoft, rimarranno unicamente disponibili in quella specifica zona.
Perché è importante questa iniziativa? Come si stanno comportando Amazon e Google, i principali competitors di Microsoft nel mondo dei servizi cloud?
Sovranità digitale: le mosse dell’Europa su dati e tecnologie strategiche
Microsoft e l’ EU Data Boundary
Come illustrato più dettagliatamente nella Understanding the Microsoft EU Data Boundary Roadmap il percorso, che si rivolge ai clienti europei del settore pubblico e commerciale, e che è iniziato il 1 gennaio 2023 per concludersi alla fine del 2024, verrà suddiviso in diverse fasi.
La fase 1 si occuperà di assicurare quella che Microsoft chiama la “EU Data Boundary” per i principali servizi Cloud, ovvero che i dati dei clienti siano processati e gestiti all’interno della regione europea, riducendo al minimo o eliminando trasferimenti extra EU. Nell’ambito di questa fase, che ha l’obiettivo di dare ai clienti il controllo sui propri dati, nello spirito del GDPR e del concetto di sovranità dei dati, Microsoft si impegna a pubblicare una documentazione dettagliata sulle azioni intraprese, nonché i dettagli di eventuali trasferimenti al di fuori dell’UE, ad esempio dove ciò sia necessario per mantenere la sicurezza e l’affidabilità del servizio.
La fase 2 avrà il compito di estendere l’EU Data Boundary oltre i dati dei clienti, includendo anche quei dati personali (che Microsoft afferma siano pseudonimizzati) che i sistemi Microsoft generano come parte delle operazioni del servizio.
È realizzabile un cloud “sovrano”? Ci conviene? Ecco l’analisi dei pro e dei contro
La fase 3, che inizierà presumibilmente a metà del 2024, vedrà l’estensione della EU Data Boundary anche ai quei dati che Microsoft colleziona per fornire supporto tecnico per i propri servizi Cloud. Microsoft mette in guardia che potranno comunque ancora esistere situazioni che richiedono accessi remoti ai dati, ad esempio per garantire la sicurezza dei servizi stessi, ma si impegna ad utilizzare mezzi sicuri in grado di garantire la presenza di tali dati nell’ambito del territorio europeo. Microsoft comunque pianifica di aumentare il supporto all’interno del territorio europeo, in modo da limitare, se non eliminare, le richieste di accesso remoto al di fuori del territorio europeo.
Il contesto: come i cloud provider trattano i nostri dati
Oggi i più importanti big player del cloud pubblico mondiale, quindi Amazon, Microsoft e Google, offrono alle organizzazioni che utilizzano i loro servizi Cloud la possibilità di scegliere tra molteplici “regions”, localizzate in varie zone del mondo e con differenti peculiarità e caratteristiche, dove memorizzare i propri dati utilizzati dai servizi Cloud, dati che possono anche contenere informazioni personali. Una region va intesa come un luogo fisico nel mondo in cui sono clusterizzati i data center.
Quindi, oggi una organizzazione europea che utilizza Amazon Web Services (AWS) può scegliere, ad esempio, di memorizzare i propri dati in una region come l’Irlanda, scelta piuttosto diffusa, per soddisfare i requisiti del Regolamento (EU) 2016/679 (o GDPR) e minimizzare quanto più possibile il rischio di trasferimenti transfrontalieri, magari proprio verso gli Stati Uniti, trasferimenti che, come ricorderemo, al momento sono vietati poiché non esiste né un accordo in vigore dopo l’annullamento del Privacy Shield in seguito alla ormai famosa sentenza della Corte di Giustizia Europea Schrems II del 16 Luglio 2020, né una decisione di adeguatezza, sebbene Europa e USA si stiano dando da fare in tal senso.
Sentenza Schrems è una vittoria per la sovranità digitale degli europei: ecco perché
Sappiamo bene, però, che oggi, nel nostro mondo iper tecnologico e connesso, i dati generano altri dati. Quando pensiamo al concetto di “dato” e di “dato personale”, quindi, non dobbiamo considerare solo ciò che decidiamo consapevolmente di memorizzare e gestire, ma dobbiamo anche considerare che durante l’operatività di un servizio, qualunque esso sia e in qualsiasi modo venga erogato, i dati verranno osservati, aggregati e magari completati con altri dati generati da altre fonti, dando vita a ulteriori nuovi dati, magari raccolti sotto forma di files di logs o di debugging, per esigenze di tracciabilità del servizio o per offrire supporto tecnico quando richiesto dal proprietario dei dati. Ed è facile pensare che questi “insiemi di dati” contengano a loro volta dati personali, come gli identificativi degli utenti, dettagli sugli accessi e sulla tipologia delle operazioni, e via dicendo. Nell’ambito di un servizio Cloud, che è erogato da remoto e da una non ben identificata “entità”, diventa ancora più difficile capire che ne è di queste informazioni, chi ne è responsabile, chi può accedervi, dove sono memorizzate, per quanto vengono conservate e se possono essere utilizzate da qualcuno, e in che modo. Non dimentichiamo poi che i Cloud Provider condividono quasi sempre molte delle informazioni con responsabili del trattamento che risiedono al di fuori dello spazio economico europeo, anche per operazioni di troubleshooting. Gli elenchi dei responsabili del trattamento sono solitamente pubblici, si veda ad esempio l’elenco dei Microsoft Online Service Sub Processor List, ma chi può dire, leggendo la lista, se i dati di un cliente saranno sottoposti a un trasferimento extra-EU oppure no?
Quasi mai un’organizzazione, grande o piccola che sia, ha modo oggi di ottenere informazioni ed evidenze chiare su questo tipo di trattamenti, perché generalmente i Cloud Provider non considerano i dati prodotti dai loro servizi un trattamento secondo quando definito dall’ art. 4 n. 2 del GDPR, anche quando questi dati possono essere riconducibili a dati personali; né considerano di essere responsabili di detto trattamento, questo anche in virtù della loro posizione predominante sul mercato che produce l’effetto del “prendere o lasciare”; nè tantomeno una organizzazione è in grado di intervenire su questa collezione di dati o di stabilirne criteri di raccolta, in base all’ art. 25 del GDPR Privacy by Design, in quanto non è l’organizzazione che decide quando e come raccogliere o aggregare questi dati, ma il Cloud Provider.
Va ricordato inoltre che anche la scelta di una region europea non impedisce agli Stati Uniti (si veda il Clarifying Lawful Overseas Use of Data Act (Cloud Act) del 23 Marzo 2018) di applicare meccanismi, seppur limitati, con cui richiedere i dati archiviati anche al di fuori del territorio statunitense.
La posizione di Amazon Web Services (AWS) e Google Cloud
Analogamente a Microsoft, sia Amazon Web Services (AWS) che Google Cloud offrono la possibilità ai propri clienti di selezionare la region dove i propri dati saranno memorizzati e gestiti.
AWS fa suo il concetto di sovranità dei dati garantendo che i propri servizi siano progettati opportunamente per impedire l’accesso remoto da parte del personale AWS ai dati dei clienti per qualsiasi scopo, inclusa la manutenzione del servizio, a meno che non sia richiesto dal cliente stesso oppure sia necessario per soddisfare una norma di legge specifica. Apparentemente quindi non vi è motivo per introdurre il concetto di EU Data Boundary, in quanto esso è già garantito, secondo Amazon, dalla scelta della region stessa.
Da parte sua, Google ha messo in campo alcuni servizi per supportare la sovranità dei dati in ambito europeo, come Assured Workloads, che permette di creare e mantenere carichi di lavoro con residenza dei dati nella regione scelta, e offre l’opzione di limitare il supporto e l’accesso alle persone dell’UE (EU Regions and Support) oppure offre ai propri clienti la possibilità di esercitare il controllo sui dati gestendo le proprie chiavi di crittografia e assicurandosi che le chiavi stesse siano conservate in una Region europea, e archiviandole al di fuori dell’infrastruttura Google Cloud (EU Regions and Support with sovereignty controls), peraltro possibile anche con AWS.
La stessa Amazon, del resto, dichiara poi che “un numero limitato di servizi AWS prevede il trasferimento dei dati, ad esempio, per sviluppare e migliorare quei servizi, ma l’utente può comunque rinunciare al trasferimento, oppure perché il trasferimento è una parte essenziale del servizio (come un servizio di distribuzione di contenuti)”.
Ma la sovranità dei dati comprende oltre alla residenza dei dati, cioè il sapere dove i dati sono memorizzati, anche l’elaborazione, l’accesso e la generazione dei dati derivati. Che ne è quindi di questi dati derivati, che Microsoft intende gestire nella fase 2 e 3 del suo progetto e che imputa generati dall’operatività dei suoi servizi? Come è possibile che Amazon e Google non li generino?
Conclusioni
Le tecnologie cloud sono alla base dell’accelerazione della trasformazione digitale per le nostre economie e società, le quali sono sempre più dipendenti dai dati. La sovranità dei dati è quindi un aspetto cruciale e diventa imperativo trovare un modo per garantire la fiducia degli utenti dei servizi Cloud se si vuole far sì che tali servizi siano sempre più diffusi, sia in ambito privato che pubblico, e siano in grado di semplificare e aiutare le nostre economie. Ma la fiducia si ottiene solo proponendo e sostenendo un modello basato sulla trasparenza e sulla collaborazione, sull’adesione a regole e standards, sulla possibilità di sapere dove i dati sono memorizzati e di controllare l’accesso ai dati e ai suoi derivati.
Oggi più del 70% del mercato del cloud mondiale è in mano ai 3 grandi big player americani, che approfittando della posizione dominante, dettano di fatto le regole del mercato.
L’elemento di assoluta novità nell’ EU Data Boundary di Microsoft, come evidenziato dalla sua stessa Corporate Vice President and Chief Privacy Officer, Privacy and Regulatory Affairs Julie Brill, è che il progetto riguarda non solo i dati del cliente, ma anche quei dati di cui spesso il cliente è inconsapevole, prodotti dal Cloud provider stesso per garantire l’operatività del servizio, dati che spesso, contengono anche dati personali. “Stiamo creando questa soluzione per far sentire i nostri clienti più sicuri e per far si che essi siano in grado di dimostrare alle loro autorità di regolamentazione dove i loro dati vengono elaborati e archiviati”, ha affermato Brill.
Nessuno degli altri Cloud Provider al momento si sta muovendo in questa direzione. Se guardiamo alle posizioni assunte da AWS e Google, dal loro punto di vista non sembra esservi motivo di introdurre il concetto di EU Data Boundary poichè già insito nella scelta della region e degli strumenti messi a disposizione: solo i clienti accedono ai loro dati, e i loro dati vengono memorizzati nella region specificata, con la garanzia che i dati rimarranno lì e nessuno, al di fuori del cliente o delle persone autorizzate dal cliente, potrà accedervi; i dati sono criptati at rest e in transit, e gli utenti se lo desiderano possono avere il controllo delle chiavi di crittografia; nessuno in AWS o in Google può accedere ai dati, a meno che il cliente non dia il suo consenso. Non vi è però alcuna azione o menzione verso tutti quei dati che invece possono prodotti dai loro servizi e che possono costituire a tutti gli effetti trattamenti di dati personali, come ad esempio a tutti quei dati raccolti per fornire il supporto tecnico.
Tutti i vertici europei sono impegnati a “costruire la sovranità digitale dell’europa”, definendo regole e controllando che esse vengano applicate. Microsoft è il primo dei big player a raccogliere pienamente la sfida con il suo programma EU Data Boundary, impegnandosi a fornire supporto dall’Europa e trovare una soluzione non solo per i dati utente, ma anche per quelli operativi, di cui l’utente del Cloud è spesso inconsapevole: presumibilmente, questa strada avrà delle ripercussioni anche su Amazon e Google. Certamente non possiamo non pensare che Microsoft agisca in questo modo non solo per tutelare i suoi utenti ma anche per accaparrarsi nuove quote di mercato, a scapito dei suoi competitors, facendo leva sulla sensibilità di utenti e istituzioni sulle tematiche della privacy e della protezione dei dati e sul concetto di “responsabilità” introdotto dal GDPR europeo, sensibilità sempre più in crescita negli ultimi anni. L’approccio della sovranità dei dati, insieme a quello della privacy e della security, diventerà presumibilmente a breve (perchè ad oggi non è così, anche se dovrebbe esserlo) uno degli elementi da tenere in considerazione nello scegliere un Cloud provider “affidabile”, ed è difficile pensare che AWS e Google stiano a guardare.