Non c’è bisogno di ricordare che la sovranità rappresenta uno dei tre concetti giuridici fondativi dello Stato moderno, insieme al territorio e al popolo. La sovranità della Nazione è stata una delle invenzioni più significative del costituzionalismo che nasce dall’esperienza rivoluzionaria francese del 1789. La sua importanza risiedeva nel fatto che questa sovranità era diretta contro quella del Re, cioè un potere assoluto, legibus solutus.
Sappiamo però anche che il concetto di sovranità statuale, su cui per secoli si è fondata l’intera architettura della dogmatica giuridica e della riflessione politica, categoria fondativa, criterio di validità e principio di organizzazione del diritto positivo, è entrato in crisi. L’emersione di ordinamenti sovranazionali e l’intensificarsi delle interdipendenze globali ne hanno progressivamente incrinato la compattezza. Quasi a divenire un vero e proprio tabù, collegato a un’idea non solo di passatismo ma di vero e proprio disvalore. Si è ritenuto, infatti, all’opposto che l’individuazione di centri di decisione e di gestione di interessi a livello superiore (globale) sia da considerarsi, in ogni caso, come fatto positivo[1]. Non sono mancate declinazioni semantiche svalutative di sovranità come quella di “sovranismo” e, addirittura, di sovranismo “psichico”, come si fosse in presenza di una malattia psichiatrica[2].
Indice degli argomenti
La sovranità digitale tra Stato, popolo e democrazia
Eppure dopo tante retoriche global-mercantilistiche si sta comprendendo che dello Stato-Nazione abbiamo bisogno e che quella parola tanto criticata – sovranità – è in fin dei conti una bella parola, e forte, perché tocca un nodo cruciale, ovvero quello di democrazia[3]. La sovranità è tale in quanto è sovranità popolare, cioè appartiene al popolo, perno su cui si regge tutta l’architettura costituzionale.
Abbiamo compreso anche che non esiste uno Stato senza sovranità, ma che ci può essere una sovranità senza Stato e abbiamo assistito alla nascita di uno spazio virtuale globalizzato, interconnesso e onnicentrico, e al sorgere al suo interno delle grandi piattaforme digitali con un’alterazione delle coordinate istituzionali classiche, tanto che ormai da tempo è sdoganata l’espressione di “governo privato” o di “poteri privati della rete”. Soggetti privati (piattaforme digitali di vendita o di condivisione di contenuti e i motori di ricerca) con immense prerogative e in un contesto di evidente asimmetria informativa, che poi è asimmetria di potere[4].
Due modelli a confronto per governare le piattaforme
Per affrontare questo problema le strade nelle democrazie liberali sono fondamentalmente due: o quella adottata dagli Stati Uniti che sostiene il tipo di governance sostanzialmente oligopolistica degli Over the Top.
O la ricetta europea che parte da concetti che trovano nel costituzionalismo classico il proprio fulcro: l’adozione di un approccio umanistico (nel diritto costituzionale tradotto in “personalistico”) che non esclude ma che però prevale su quello mercantilistico.
Questo obiettivo, che è a tutti noi noto, è sancito nella strategia che l’Unione europea già da qualche anno sta cercando di mettere in pratica a livello sovranazionale. I documenti di hard e soft law sono moltissimi e non serve citarli. Ma prendo in prestito le parole del Garante europeo che sul punto, già nel 2015, ammoniva sul fatto che: “Il rispetto per la salvaguardia della dignità passa dal ribilanciamento della asimmetria di potere”[5].
La sovranità digitale e il nodo della competitività europea
Tale modello europeo sta conoscendo un profondo ripensamento, per via del bisogno di competitività. Si tratta, per molti aspetti, di una falsa pista, che non regge sul lungo periodo e ciò anche in base a considerazioni strategiche legate alla stessa sovranità: basti considerare che la maggior parte delle imprese che operano da noi non sono europee (e in questo momento è un elemento “geopolitico” da non sottovalutare)[6].
Infrastrutture, cloud nazionale e autonomia tecnologica
C’è poi un secondo punto più specifico da sottolineare e che il legislatore dovrebbe tenere a mente ed è il fatto che la sovranità non è soltanto quella infrastrutturale[7]. Certo, avere un cloud nazionale “strategico” – o comunque un’infrastruttura su cui lo Stato può contare – è cruciale: significa poter cambiare rotta se necessario, non rimanere vincolati a un singolo fornitore (che, come avviene oggi, è spesso non europeo, come dicevo), e permette così di ridurre i rischi di lock-in e mantenere margini di autonomia nelle scelte tecnologiche.
La sovranità digitale come controllo applicativo dei dati
Ma la sovranità, oggi, è anche sovranità applicativa. Ciò significa che la disciplina dovrebbe garantire in modo effettivo almeno due cose: da un lato, che i dati dei cittadini siano accessibili solo da chi ne abbia effettivamente titolo secondo regole chiare di autorizzazione e tracciabilità; dall’altro, che quei dati non possano essere riutilizzati per obiettivi ulteriori rispetto a quelli legittimi, cioè che l’uso del dato resti ancorato a una finalità determinata, controllabile e sanzionabile.
Il cloud va inteso, pertanto, come cloud controllabile.
L’Italia possiede già un pilastro rilevante: il Polo Strategico Nazionale (PSN), che nasce per offrire alla PA un ambiente cloud con requisiti elevati di affidabilità, resilienza e presidio. E in parallelo l’Agenzia per la Cybersicurezza Nazionale (ACN) ha messo a regime la qualificazione dei servizi cloud, effettiva dal 1° agosto 2024, che costituisce un tassello essenziale per “portare a standard” controlli e requisiti minimi.
Ora, il punto critico è che la disciplina del PSN, così com’è costruita, tende a garantire bene la sovranità infrastrutturale/sicurezza; mentre la sovranità applicativa (chi accede, per quali finalità, con quali prove e controlli) rimane frammentata e spesso scaricata sulla singola amministrazione e sul singolo contratto. In altre parole il PSN è forte sul “dove e quanto è sicuro il cloud”, ma meno forte (o meno uniforme) sul “chi può fare cosa coi dati, con quali limiti e con quali prove”.
Il passaggio decisivo è quindi oggi tradurre questi presìdi all’interno della disciplina della contrattualistica pubblica.
La proposta operativa è superare il semplice rinvio al GDPR, rendendo obbligatori by design, per tutte le PA sul PSN, nei contratti pubblici alcuni standard uniformi. Tra questi penso ad esempio alla minimizzazione dei dati e, in determinati casi e finalità, al divieto di riuso[8], così come all’obbligo di supporto a DPIA e alla gestione incidenti che preveda una cooperazione documentata del fornitore nelle valutazioni d’impatto, così come procedure chiare di notifica e di risposta.
Non che questi parametri non esistano, ma manca la loro standardizzazione e l’obbligatorietà. Ad esempio potrebbe essere perseguito in concreto inserendo nei capitolati e nei contratti una checklist obbligatoria.
Rendere realmente “standard”, quindi non negoziabili e non lasciate alla capacità della singola amministrazione, alcune specifiche e basilari clausole privacy e di accountability nei contratti cloud, permetterebbe, al contempo, la garanzia dei diritti e la certezza del diritto, oltre che un efficientamento delle procedure di PA.
Note
[1] L. Ferrajoli, La costruzione della democrazia, Roma-Bari, Laterza, 2021.
[2] M. Recalcati, Le nuove melanconie. Destini del desiderio nel tempo ipermoderno, Milano, Raffaello Cortina Editore, 2019.
[3] In letteratura si segnala G. Valditara, Sovranismo. Una speranza per la democrazia, Milano, Booktime, 2018.
[4] Per tutti, S. Zuboff, Il capitalismo della sorveglianza. Il futuro dell’umanità nell’era dei nuovi poteri, Roma, Luiss Univ. Press, 2019.
[5] European Data Protection Supervisor, Opinion 4/2015 – Towards a new Digital Ethics, 11 settembre 2015.
[6] L. Martino, Sovranità digitale e competizione geopolitica nel contesto dei cavi sottomarini: Analisi comparata degli approcci di Cina, Stati Uniti e Unione europea, in MediaLaws, n. 2/2024, 144-167.
[7] Sul concetto v. Camera dei deputati (Servizio Studi – Dipartimento Difesa), Dominio cibernetico, nuove tecnologie e politiche di sicurezza e difesa cyber, in Documentazione e ricerche, 83/2019.
[8] Ovviamente nel rispetto della normativa vigente, come il DGA, che un certo tipo di riuso lo prevede, inserendolo in un regime specifico e dietro condizioni, salvaguardie e ambienti sicuri di trattamento
