Può essere realizzabile un cloud nazionale, italiano e/o europeo, per la nostra sovranità digitale? E sarebbe auspicabile? Con uno studio in via di pubblicazione, l’Istituto italiano per la Privacy e la Valorizzazione dei Dati intende avviare un’analisi della tematica, volta innanzitutto a districare i molteplici piani di questioni sollevate, che toccano non solo temi giuridici ma anche politici, e si propone di fare un primissimo ragionato censimento dei vari corpi di fonti normative applicabili.
Lo studio, “Le “tentazioni” del cloud europeo e nazionale: tra semplificazione politica e critica giuridica” è dedicato in particolare all’analisi giuridica dei pro e dei contro – nella prospettiva della disciplina europea in materia di protezione e sicurezza dei dati personali e della loro libertà di circolazione – dei progetti di cloud nazionale o europeo. Lo studio in questione sarà presentato venerdì 2 ottobre 2020 alle 16:00 in un webinar aperto al pubblico online e promette di introdurre nel dibattito nuove posizioni critiche e, per certi versi, non conformiste e fuori dal coro.
Qui forniamo un’anticipazione della sintesi dello studio.
Cloud, la corsa alla sovranità digitale
Lo scenario è ormai di dominio pubblico. La corsa alla creazione di soluzioni cloud locali è ormai una costante nei piani di sviluppo digitale degli Stati membri. L’Italia promuove la costituzione del cosiddetto “cloud nazionale”, la Germania e la Francia lavorano da tempo alla definizione del progetto Gaia-X.
A livello istituzionale dell’Unione Europea, il potenziamento del cloud computing occupa il ruolo di tematica strategica per l’immediato futuro. L’obiettivo dichiarato è quello di realizzare un affrancamento dalle soluzioni che oggi poggiano quasi integralmente su infrastrutture messe a disposizione da fornitori internazionali.
Concorrono – più per sovrapposizione che per composizione – ragioni in senso lato geopolitiche, aspirazioni alla preminenza tecnologica internazionale, preoccupazioni connesse con la protezione dei dati personali rispetto a paventate ingerenze terze dovute all’applicazione extraterritoriale di atti normativi stranieri. La recente pronuncia “Schrems II” della Corte di Giustizia Europea e, in precedenza, sia pure con inferiore perimetro di interesse per il vasto pubblico, i risultati dello studio congiunto EDPB-EDPS sul Cloud Act statunitense hanno posto con forza il problema dell’acquisizione internazionale di flussi di dati personali (e non personali, potremmo aggiungere) e delle connesse garanzie.
Le questioni in ballo
Al di là di dichiarazioni a effetto, occorre determinare fino a che punto sia realmente possibile e auspicabile l’indipendenza di un cloud locale europeo rispetto ai fornitori extra UE e, più concretamente, fino a che punto una soluzione autarchica sia economicamente e tecnologicamente praticabile rispetto a servizi oggi essenziali, per gli Stati, o abilitativi dell’esercizio di altri diritti e libertà fondamentali, per gli individui, dunque non suscettibili di menomazione o di interruzione.
Va altresì compreso fino a che punto sia anche opportuna sul versante della sicurezza, ancorché ciò di primo acchito possa apparire controintuitivo. Occorre infatti includere, quantomeno nella valutazione complessiva, gli alti livelli qualitativi di stabilità dei servizi e di sussistenza di misure ad elevato coefficiente tecnologico nel contrasto al cybercrime, oggi garantiti dai maggiori provider internazionali, livelli di cui non sarebbe raccomandabile privarsi ove se ne possano conservare i benefici, riducendone sensibilmente i connessi rischi. La tutela dei dati trattati da ingerenze terze deve, infatti, essere misurata anche sul piano, certamente diverso da quello della minaccia “extraterritoriale”, ma comunque rilevante, rappresentato dagli illeciti e dagli incidenti di sicurezza.
Si deve inoltre tenere in considerazione la disponibilità, già perfettamente attuale e “nelle mani” degli utilizzatori, di soluzioni immediatamente tutelanti, come la cifratura o la segregazione di set di dati strategici. In altre parole, se sono possibili misure di significativo depotenziamento del rischio extraterritoriale, che facciano salvi i vantaggi in termini di contrasto al cybercrime, esse vanno debitamente incluse nella valutazione complessiva.
Controllo nazionale delle infrastrutture: una questione complessa
L’analisi operata nel nostro studio non nasconde, infine, incongruenze nella tutela interna all’Unione Europea e disallineamenti tra spinte nazionali alla localizzazione e principio della libera circolazione dei dati. In breve, si vuole proporre un quadro più articolato e meno ovvio dei temi trattati, che non possono essere ridotti, se non al prezzo di una eccessiva semplificazione, a una contrapposizione binaria UE versus extra-UE, ma rivelano sinergie trasversali e disallineamenti reciproci su fronti apparentemente unitari; è utile ragionare, piuttosto, in termini di creazione di un ecosistema condiviso che tragga i maggiori vantaggi dalle soluzioni oggi disponibili e riconosca l’esigenza di adottare forme di tutela sostanziali.
Non si tratta in alcun modo di eludere le serie, ma non immediatamente risolvibili, questioni connesse all’extraterritorialità, bensì di utilizzarle, semmai, come leva per ottenere un ripensamento critico su lacune e disarmonie giuridiche che emergono anche all’interno dell’Unione europea. Neppure si tratta di avventurarsi sulla strada di soluzioni domestiche poco tutelanti, o meno tutelanti di quelle attuali, ma di preservare livelli elevati di protezione da illeciti, dunque di disporre delle soluzioni tecnologiche più avanzate al momento, e allo stesso tempo di trovare strumenti giuridici che garantiscano un maggiore controllo nazionale delle infrastrutture e dei dati e una mitigazione del rischio a un livello che lo renda giuridicamente accettabile.
