Il progetto di cloud nazionale nel caso italiano e il parallelo Gaia-X a guida franco-tedesca disegnano uno scenario nel quale emergono con chiarezza indicazioni di politica legislativa dirette alla creazione di infrastrutture cloud sotto il completo, o prevalente, controllo di Stati membri e, in via tendenziale, ma ad oggi solo futuribile, dell’Unione Europea. Riteniamo che questo sia dunque il punto d’ancoraggio. Va osservato che le ragioni nazionali ed europee sottese alle iniziative menzionate sembrano, anche dalle dichiarazioni che le accompagnano, riconducibili più a interessi strategici e politici di rafforzamento della sovranità digitale e di protezionismo di mercato, che ad autentiche preoccupazioni relative al livello di tutela dei diritti fondamentali all’interno dell’Unione.
Occorre notare, sotto quest’ultimo profilo, ossia quello appunto del livello effettivo di tutela giuridica, che le criticità rilevate nella pronuncia cd. “Schrems II” della Corte di giustizia dell’Unione Europea – che segna un approdo rispetto al quale ci può posizionare in senso adesivo o critico ma da cui non si può prescindere – non appaiono del tutto eliminabili attraverso una mera localizzazione intra UE delle infrastrutture, perché sono connesse in misura sostanziale alla portata extraterritoriale di norme di diritto pubblico dei Paesi terzi. Si può avviare un dialogo internazionale con tali Paesi, sperimentare forme di soft suasion, ma esse troveranno inevitabili limiti nelle altrui scelte di sovranità nazionale.
Appare dunque, realisticamente, improbabile scongiurare la scelta secca alternativa se interrompere completamente i flussi extra UE di dati personali, ossia anche quelli essenziali e non rinunciabili poiché collegati con la stessa disponibilità delle odierne infrastrutture cloud (prendendo atto delle conseguenze enormi che ne deriverebbero) e all’abilitazione all’esercizio di diritti e libertà fondamentali – strada, questa, che apparirebbe in chiaro contrasto con il principio di proporzionalità ex art. 5 del Trattato sull’Unione Europea -, o se concentrare l’attenzione verso modelli di transizione più equilibrati e proporzionati, diretti a creare assetti infrastrutturali meno dipendenti dall’estero, ma pur sempre ecosistemici con l’estero, con tempistica e progettualità adeguate.
Nella fase di transizione che in tal modo viene ad aprirsi, appare ragionevole ricorrere a soluzioni pragmatiche e fare affidamento su fornitori in grado di offrire, per struttura e capitale, garanzie di resilienza giuridica a richieste di governi extra europei, di assicurare eventuali risarcimenti in caso di pregiudizio e di assumersi gli obblighi richiesti dalla normativa europea applicabile, in primo luogo dal RGPD.
Tra le soluzioni pragmatiche giova richiamare le tre seguenti: la segregazione di informazioni considerate maggiormente strategiche, l’applicazione di tecniche di cifratura direttamente attivabili dai committenti/utenti, lo studio di modelli di giuridici di gestione delle infrastrutture europee che garantiscano un maggiore controllo europeo, cercando di non privarsi dell’apporto tecnologico offerto dai fornitori extra Ue selezionati dal mercato.
Nella complessiva valutazione delle tutele e in un’ottica di corretto e complessivo bilanciamento dei fattori di rischio, è opportuno non dimenticare, accanto al rischio per così dire “extraterritoriale” appena descritto, l’altro versante del rischio, ossia quello tipico rappresentato dalle violazioni della cybersicurezza, il cui impatto sui diritti fondamentali degli interessati risulta particolarmente intenso e pervasivo (anche perché include l’area degli attacchi governativi riconducibili a Paesi terzi svolti addirittura fuori da un quadro delle regole vigenti nel settore della sicurezza pubblica dei paesi attaccanti).
Da questo punto di vista, la scelta del fornitore cloud va allora operata tenendo conto dell’effettivo livello di qualità che esso può offrire rispetto allo stato dell’arte e della tecnica, tenendo cioè in debita considerazione i precedenti di risposta a situazioni critiche, gli investimenti fatti in termini di continuo adeguamento tecnologico, le eventuali coperture assicurative che possono essere attivate in caso di risarcimento, gli SLA (service level agreement) e i PLA (privacy level agreement), la qualità e dalla frequenza delle verifiche interne e degli audit esterni anche rispetto alle misure organizzative e gli effettivi livelli di formazione applicati agli autorizzati al trattamento, non solo rispetto alla consapevolezza informatica (ivi incluso il contrasto a tecniche di social engineering), ma anche rispetto alla consapevolezza normativa.
Articoli correlati
Draghi e Letta hanno idee diverse sull’Ue del futuro. Parla Stefano Feltri
Cloud Ue e Supercazzole
Come e perché arranca la legge Ue sullo spazio
Progetto Ue di certificazione cloud, cosa succede e gli interessi in ballo
