L’universalità delle soluzioni IT (Information Technology) in cloud computing per siti web – così come servizi atti a facilitare lo smartworking (ad es. cloud privati o ibridi) – sta conoscendo un livello di diffusione difficilmente immaginabile fino a qualche tempo fa. La diffusione del cloud va di pari passo con la globalizzazione imperante e con le esigenze dettate dalla pandemia ancora in corso, ponendo problematiche rinnovate – quanto complesse- in termini di privacy e trattamento dei dati.
Appare significativo che la maggioranza dei cloud aziendali e delle pubbliche amministrazioni, nonostante il GDPR e la sentenza Schrems, siano spesso allocati su operatori cloud per lo più statunitensi. E’ vero: trattandosi di grossi player, hanno una presenza globale in termini di data center, con server farm anche in Europa e nella stessa Italia. Ma l’allocazione fisica del data center ci assoggetta alla giurisdizione del Paese dove questo è allocato? Ovvero, se il data center è in Europa siamo automaticamente soggetti al GDPR? Assolutamente no.
Secondo un recente comunicato Seeweb, l’adozione di servizi extra europei da parte di realtà europee avviene almeno nel 60% dei casi. Stando alle ricerche dell’avvocato Eugenio Prosperetti e del giurista Innocenzo Genna (all’interno della pubblicazione “La raggiungibilità giuridica dei dati” promossa dal Gruppo DHH), esiste un divario consistente tra il trattamento dei dati nelle aziende cloud USA e quelle europee, perché soprattutto non sembra essere semplicemente questione di localizzazione fisica delle macchine, ma anche di trattamento giuridico e fattuale di quei dati rispondendo così a una logica unitaria e coerente. Viene da chiedersi, a questo punto, come ciò possa collocarsi in un contesto attuale in cui, ad oggi, la fanno da padrone il GDPR (General Data Protection Regulation) e l’altrettanto discusso Privacy Shield. Prima di entrare nel merito, è bene approfondire brevemente entrambi per quello che riguarda i servizi in cloud, e poi trarre ulteriori considerazioni.
GDPR e cloud
Il GDPR rappresenta l’insieme di normative, recepite a livello europeo, entrate in vigore dal 2018 in sostituzione della Direttive Europea sulla protezione dei dati (del 1995). Contrariamente a quello che si potrebbe pensare a prima vista, il GDPR si applica a tutti i servizi in cloud estensivamente, quindi non soltanto quelli classici di email gratuita o legati agli aspetti social, ma anche le app che scarichiamo abitualmente sui nostri telefoni senza dimenticare i servizi digitali personalizzati, su piattaforme ibride o private, di cui ogni giorno, usufruiscono varie realtà anche nostrane.
L’adeguamento formale del trattamento dei dati a livello cloud presenta, di fatto, una duplice complicazione: non si tratta soltanto di verifiche burocratiche, ma anche di perizie tecniche vere e proprie. Esso in altri termini richiede un singolare connubio tra tecnica ed aspetti legislativi, che è un aspetto parzialmente dubbio e soggetto a varie interpretazioni ancora oggi. Se la regolamentazione del GDPR è articolata quanto, a ben vedere, alquanto chiara negli intenti (di fatto ribadisce la centralità dell’utente e delle rispettive anagrafiche, che vengono trattate a volte a sua sostanziale insaputa), i dubbi sull’applicabilità pratica del regolamento, tra più modalità spesso contrastanti, si trascinano fino ad oggi. Non tanto per una questione di mera interpretazione, quanto proprio per il funzionamento generale delle piattaforme in cloud, tecnologie flessibili quanto complesse da uniformare ad una regolamentazione che ne detta, di fatto, vincoli a cui mai avrebbero pensato.
Privacy Shield ed Europa
Al fine di tutelare entrambe le parti, il privacy shield è un accordo stabilito tra USA ed Europa relativo ad un possibile raccordo per le normative sulla privacy. Esso infatti regolamenterebbe, in teoria, il trattamento dei dati personali dei cittadini europei verso società che operano in USA, tutelandoli da eventuali abusi o scorrettezze che queste ultime potrebbero commettere. Era stata proposta a riguardo una Privacy Shield List, ovvero una whitelist di aziende che rispettavano tali requisiti con la possibilità che, in teoria, la Federal Trade Commission potesse sanzionare i trasgressori.
Se il privacy shield tutelava una serie di diritti del consumatore (inteso come utente di servizi in cloud in generale), tra cui quello alla rettifica, opposizione, cancellazione e reclamo dei dati, all’atto pratico la Corte Europea ha ritenuto (a metà 2020) di invalidarlo, ritenendo che non si possano tutelare tali diritti con un accordo privato, ma che si dovesse ricorrere ad una modalità differente di approvazione e definizione delle condizioni. La differenza sostanziale nel trattamento dei dati tra USA ed Europa viene quindi a trovarsi ulteriormente esasperata, con conseguenze ancora difficili da prevedere e che il white paper citato all’inizio prova ad approfondire da un punto di vista legale. L’uso di internet e la cosiddetta net neutrality (ovvero il fatto che si possa accedere a qualsiasi servizio da qualsiasi parte del mondo, senza limitazioni nè canoni aggiuntivi) pongono ulteriori vincoli da rispettare che rendono, così, il quadro generale ancora più articolato.
Conclusioni e prospettive
Sicuramente le aziende dovrebbero possedere una consapevolezza rinnovata su queste problematiche, soprattutto se fanno uso di servizi in cloud americani (con l’eventuale vincolo del controverso Cloud Act), valutando al tempo stesso la possibilità di passare ad uno con legislazione e sede nel territorio europeo. La realizzazione di un modello di privacy tecnologica replicabile da più realtà – e possibilmente scalabile, di fatto – si rivela ogni giorno più importante per la corretta gestione dei vari processi aziendali.
Ti è piaciuto questo articolo? Dicci cosa ne pensi nei commenti qui sotto o esplora altri contenuti dal nostro menù!
Hai una storia da raccontare o un'opinione da condividere? Mandaci il tuo articolo scrivendoci a [email protected].
Vuoi unirti al nostro team e collaborare con noi? Scopri come candidarti alla pagina dedicata: collabora.
