Il vostro utilizzo dei servizi cloud vi porta a violare il GDPR? Potete archiviare i dati su AWS, Azure, … e continuare a rispettare il GDPR? L’American Cloud Act semina dubbi e crea un’incertezza giuridica di cui abbiamo discusso con me. Jérôme Tassi, avvocato del Foro di Parigi.
Introduzione
Il punto di partenza di questo articolo (e del video di accompagnamento) è un pensiero portatomi da un amico imprenditore. Era preoccupato che i dati della sua azienda sarebbero stati archiviati con Microsoft, Google o Amazon. A causa del Cloud Act, temeva che i suoi dati sarebbero finiti nelle mani dei suoi concorrenti.
Il Cloud Act: una legislazione americana molto invadente
Il Cloud Act (“Clarifying Lawful Overseas Use of Data Act”) è una legge federale statunitense approvata nel marzo 2018. Consente al governo degli Stati Uniti di accedere ai dati archiviati dalle società statunitensi indipendentemente dalla loro posizione geografica. Me. Jérôme Tassi ha spiegato che il Cloud Act è nato da una disputa tra le autorità federali statunitensi e Microsoft. In un caso, quest’ultimo ha invocato la posizione dei dati (in Irlanda) per rifiutarsi di consegnarli al governo americano.
Nasce così il Cloud Act, dalla volontà del governo americano di esercitare un controllo completo in base alla nazionalità dell’azienda piuttosto che alla sua localizzazione geografica. Tranne che in Europa dovremmo essere protetti dal GDPR, si potrebbe dire. Quindi qual è il collegamento tra Cloud e GDPR?
Il Cloud Act è incompatibile con il GDPR?
L’articolo 48 del GDPR specifica che è necessario un accordo internazionale per trasferire i dati al di fuori dell’Unione Europea. Poiché attualmente non esiste un tale accordo tra Stati Uniti ed Europa, c’è solo una possibilità: un mandato giudiziario. In altre parole, un tribunale americano deve essere convinto dell’esistenza di un reato federale per richiedere il trasferimento di dati conservati fuori dagli Stati Uniti da un provider americano. Questo riduce drasticamente i rischi.Tuttavia, la vaghezza giuridica rimane e sono necessarie norme specifiche in assenza di giurisprudenza.
Cosa si può fare per rispettare il GDPR senza temere il Cloud Act?
Me. Tassi consiglia di fare attenzione e, se possibile, di evitare di ospitare dati con Google, Amazon o Microsoft. Il governo francese ha già preso l’iniziativa pubblicando una dottrina chiamata “Cloud at the center” che prescrive il Cloud come luogo in cui ospitare i dati per le amministrazioni francesi ma vieta l’utilizzo di soluzioni che non hanno la certificazione “SecNumCloud”. Microsoft, Amazon e Google, che detengono il 69% del mercato del cloud storage, non beneficiano di questa certificazione e sono di fatto escluse dall’amministrazione francese.
Quindi, se volete dormire sonni tranquilli, rivolgetevi a una delle soluzioni che beneficiano della certificazione SecNumCloud. Ad oggi, esistono solo 3 Service Provider affidabili: Odrive, Outscale e OVH.
Consiglio: valutate di controllare cosa stanno facendo i fornitori
Anticipare il Cloud Act e il GDPR significa anche controllare lo stato dei fornitori. Ricordiamo che la nozione di corresponsabilità è stata introdotta dall’articolo 26 del GDPR.
Dobbiamo distinguere due situazioni:
- Se collaborate con società terze e definite insieme le finalità del trattamento, assicuratevi di prendere le dovute precauzioni in materia di hosting dei dati
- Se utilizzate servizi SaaS sensibili, chiedete dove sono archiviati i loro dati. Ci sono 9 possibilità su 10 che si trovi su un cloud statunitense, nel qual caso sarebbe opportuno che leggessero questo articolo.
Il Sovereign Cloud
Attualmente si parla molto del “sovereign cloud”, della “nuvola affidabile” e ultimamente ci sono state molte notizie sull’argomento. Lentamente ma inesorabilmente, l’interesse per l’indipendenza digitale si sta facendo strada. La crisi del Covid ha mostrato fin troppo chiaramente la nostra dipendenza dalla Cina per i componenti elettronici; la situazione è la stessa nel settore digitale nei confronti degli Stati Uniti. Deutsche Telekom, ad esempio, è il principale operatore cloud europeo con una quota di mercato del 2%, una sciocchezza rispetto al 32% di AWS (Amazon), al 20% di Azure (Microsoft) e al 9% di Google.
Per contrastare la fionda europea, i giocatori americani si stanno organizzando. Microsoft ha annunciato il lancio di “Bleu” in collaborazione con Orange e Capgemini; Google ha firmato con Thales. Quindi è la tecnologia americana che verrà implementata sulle infrastrutture europee. Ci si potrebbe chiedere se questa sia la soluzione giusta perché la dipendenza dalla tecnologia dello Zio Sam sarà sempre lì. Ciò di cui l’Europa ha bisogno è la completa sovranità, che le consentirà di liberarsi, come ha fatto la Cina, dalle tattiche e dalle manipolazioni di pressione americane.
Pubblicato in Data e IT.