In Parlamento si discute, da diverse settimane, della strategia nazionale in tema di cloud, anticipata nel PNRR. Si va verso poli strategici nazionali pubblici per i dati, accelerando dopo anni di stasi e resistenze delle PA (i lettori ricorderanno che se ne parla dal 2013).
Sono molti i punti in comune con il progetto appena presentato dal Governo francese, ad eccezione della gestione dei dati della Pubblica amministrazione da parte di provider europei di servizi cloud.
Il cloud nazionale italiano, i nodi
Il dibattito è su questioni di sovranità nazionale (digitale). I parlamentari italiani si stanno dimostrando restii ad affidare la conservazione dei dati strategici a server dell’Unione, prediligendo quelli nazionali. Così facendo però, ad essere danneggiata potrebbe essere proprio l’industria nazionale.
PNRR, il Governo punta su PA digitale: luci e ombre del piano
Nonostante il momentaneo stallo parlamentare sul tema, il Ministro per l’Innovazione Tecnologica e la Transizione Digitale Vittorio Colao, ha dichiarato che “L’Italia andrà verso il modello francese”. Il Ministro Colao, coadiuvato dal Ministro dell’Economia e delle Finanze Daniele Franco, ha annunciato la nascita del Polo Strategico Nazionale (PSN), una piattaforma Cloud per gli atti della PA italiana con massimi livelli di sicurezza e giurisdizione nazionale, che si servirà delle migliori tecnologie internazionali
Sul Polo Strategico Nazionale si è espresso anche Stefano Firpo, capo gabinetto del Ministero dell’Innovazione tecnologica e la transizione digitale, annunciandone il possibile lancio già da fine giugno. Firpo ha rimarcato l’importanza del PSN, che coinvolgerà “migliaia di p.a, offrendo soluzioni di diverse capacità a seconda della sensibilità dei dati”.
Oltre a confermare la funzionalità della strategia francese, Firpo ha posto l’accento sull’importanza del progetto europeo Gaia X, avviato nel 2018 da Francia e Germania. Il progetto consiste nella realizzazione di “un’infrastruttura europea dei dati” su cui possa fondarsi il Cloud europeo, con l’auspicio che possa diventare un’area di collaborazione per le imprese europee, all’interno di standard di sicurezza ben definiti.
Il Cloud in Francia
Analizziamo appunto il progetto francese. Lo scorso 17 maggio, Bruno Le Maire, ministro francese dell’Economia, coadiuvato da Amélie de Montchalin, ministra per la trasformazione e la funzione pubblica e da Cédric O., segretario di Stato per il Digitale, ha annunciato le prossime mosse della Francia in ambito di protezione di dati immagazzinati in Cloud.
Il piano per consentire l’accesso al Cloud a cittadini, PA e aziende, nell’ottica di rafforzare la sovranità francese sul dominio cibernetico, si snoderà in tre punti cardine:
- 1) “Cloud di fiducia”, una qualificazione rilasciata dall’ANSSI (Agence nationale de la sécurité des systèmes d’information) e concessa alle imprese di nazionalità europea, che siano proprietarie di servers in Francia e garantiscano il rispetto della normativa più rigida di protezione dei dati;
- 2) utilizzo su licenza delle tecnologie statunitensi da parte delle imprese francesi ed europee, per garantire il rispetto dei dati attraverso strumenti di massima qualità;
- 3) utilizzo del Cloud francese per la pubblica amministrazione. La concretezza del piano strategico francese ha già convinto aziende che forniscono servizi Cloud, come la Scalewey, ad erogare fondi che serviranno per formare migliaia di funzionari pubblici all’utilizzo del Cloud
L’idea alla base del progetto francese è fondamentalmente quella di tutelarsi dalle ingerenze del Cloud Act americano del 2018 attraverso un progetto di Cloud europeo che non permetta alle grandi aziende di settore di mantenere, o addirittura accrescere, la loro sovranità
Scontro USA – Ue su raccolta e protezione dati
Il percorso parte da lontano.
Da anni ormai i principali Stati membri dell’Unione discutono sull’indipendenza europea dai Big Tech americani e cinesi in ambito di Cloud e protezione dati, come dimostra il progetto Gaia X, avviato nel 2018 da Francia e Germania, progetto che ha gettato le fondamenta per il futuro del Cloud europeo.
Gaia-X, perché è importante il primo cloud su scala europea: l’Italia ne farà parte?
L’allineamento di vedute tra Italia e Francia dimostra un ideale comune di molti Stati Membri dell’Unione: evitare le ingerenze del Cloud Act americano del 2018 e limitare, per quanto possibile, il dominio dei Big Tech internazionali nel mercato della raccolta e della protezione dei dati.
Sicurezza e privacy sono due facce della stessa medaglia e non si possono in alcun caso guardare contemporaneamente. Velocizzare i processi per avere accesso a prove digitali, ovunque esse siano immagazzinate e possedute, risulta quantomai essenziale dal punto di vista della security.
In questa direzione va il Cloud Act americano, che dispone il diritto, per le autorità amministrative, oltre che per i tribunali americani, di accesso ai dati in possesso degli Internet Service Provider statunitensi indipendentemente dal luogo in cui sono situati i server. In altre parole, sarà sufficiente che l’ISP cui la richiesta viene inviata sia sotto la giurisdizione statunitense per far sì che la richiesta USA debba venire accolta e i dati condivisi (Cloud Act Resources justice.gov).
Inoltre, gli Stati Uniti, attraverso tale atto, entrano in contrasto con i requisiti del Regolamento Ue 2016/679, anche detto GDPR il quale tutela i dati dei cittadini europei in qualsiasi territorio siano immagazzinati.
E il Cloud Act va ben oltre, facendo ricadere nella propria sfera di applicazione anche i dati aziendali e non solo quelli privati, e prevalendo espressamente anche su eventuali accordi di mutua cooperazione bilaterale. In poche parole, il Cloud Act è una norma di espansione geopolitica sul diritto all’indagine preventiva.
Cloud act, la norma USA che fa a pugni con la privacy europea: i nodi
Di sicuro, tale provvedimento conferisce al Dipartimento di Giustizia statunitense un’enorme discrezione, che contrasta coi dettami del GDPR; le organizzazioni europee, infatti, non sono legittimate a trasferire dati personali verso un paese terzo, se non in forza di un accordo internazionale, non di certo come accade con il Cloud Act (Cloud act, la norma USA che fa a pugni con la privacy europea: i nodi | Agenda Digitale).
Conclusioni
Finora il dibattito è soprattutto politico: spetta all’amministrazione Biden e a Bruxelles cercare una soluzione in tema di Cloud internazionale. Una sentenza della Corte di Giustizia Europea denominata Schrems due, ha confermato che il GDPR prevede una tutela senza confini territoriali e politici dei dati personali dei cittadini europei, i quali dati non possono quindi essere trasferiti negli USA senza un passaggio di approvazione istituzionale nei confronti di una richiesta effettuata da un giudice nel rispetto delle procedure internazionali di rogatoria.
Futuro dell’Alleanza Transatlantica, il ruolo del digitale nei rapporti Usa-Europa
