Non ci sono solo il GDPR e l’annullamento del Privacy Shield. La regolazione della società e dell’economia dell’informazione europee si giocano in gran parte sul Digital Package Act proposto dalla Commissione UE. Il braccio di ferro con gli USA e le minacce di Zuckerberg.
Entro tre anni oltre metà della spesa IT delle aziende a livello mondiale, che si tratti di software applicativo, infrastrutturale o di sistema, passerà al cloud pubblico. In particolare, nel 2025 quasi due terzi della spesa per software applicativi riguarderanno soluzioni su public cloud. A prevederlo è Gartner nel recente studio Market Impact: Cloud Shift — 2022 Through 2025 (febbraio 2022). Da qui due considerazioni. Basterebbero questi i dati a ricordare quanto pervasiva sia la trasformazione in atto. Oltre a suggerire la scia di problemi che tale trasformazione sta portando con sé.
Fra le questioni più spinose c’è sicuramente quella relativa al diritto alla protezione dei dati personali nel cloud. Il GDPR, com’è noto, fissa una serie di tutele che si applicano ai dati personali dei cittadini dell’Unione Europea. Questo avviene indipendentemente dal luogo in cui si svolge il trattamento di tali dati. Legittimità del consenso, diritto di accesso, diritto alla rettifica, all’oblio e alla portabilità dei dati. D’altra parte, il paradigma del cloud computing solleva diversi problemi con riferimento alla sovranità dei dati («data sovereingnty»), ossia il principio in base al quale i dati devono essere soggetti alle norme del paese in cui sono raccolti.
Le regole del GDPR
Il GDPR non vieta il trasferimento internazionale dei dati, ma lo ammette solo in determinate circostanze. Se il paese o l’organizzazione internazionale verso cui avviene il trasferimento assicura una protezione adeguata (esistenza di uno stato di diritto e di una legislazione pertinente, presenza di un’autorità di controllo indipendente e assunzione di impegni multilaterali) tale trasferimento non necessita di autorizzazioni specifiche (art. 45). Negli altri casi il trasferimento verso paesi terzi od organizzazioni internazionali è soggetto a garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi (art. 46). Va altresì ricordato l’art. 48 del GDPR, in virtù del quale le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali possono essere riconosciute soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’UE o un suo stato membro.
Grandi manovre degli hyperscaler globali in Europa
È bene ricordare che la maggior parte dei trattamenti relativi ai dati personali di cittadini europei si realizza oggi attraverso infrastrutture cloud gestite dai grandi hyperscaler globali, ovvero Amazon AWS, Microsoft Azure, Google GCP, Alibaba AliCloud, IBM e Oracle. A parte il caso di Alibaba, si tratta di provider americani. Nel 2021 i primi tre operatori – AWS, Microsoft e Google – controllavano il 61% del mercato nel Vecchio Continente.
Gaia-X avrebbe dovuto rappresentare la riposta europea alla supremazia americana nel campo del cloud pubblico. In realtà il progetto, fortemente voluto da Francia e Germania, si limita ormai alla ricerca di standard di interconnessione fra le infrastrutture nazionali. Queste ultime però ancora non esistono. Quello di un cloud europeo decentralizzato rimane un sogno.
Nel frattempo gli hyperscaler americani fanno di tutto per rafforzare la loro posizione nel mercato europeo. Questo mercato vale oggi fra i 50 e i 60 miliardi di euro, attraverso l’apertura di nuovi data center. E anche il nostro paese, sebbene in ritardo, è al centro di grandi movimenti. Dopo il lancio dei data center milanesi di AWS (2020) e Oracle (2021), Azure ha annunciato a sua volta l’avvio della region italiana nel capoluogo lombardo (sarà pienamente operativa del 2024). Mentre, sempre a Milano, è prevista per quest’anno l’inaugurazione del data center di Google Cloud.
Il cloud act e la fine del privacy shield
Nella misura in cui trattano dati personali dei cittadini europei, per conto proprio o dei propri clienti, anche i grandi operatori di servizi di cloud computing americani devono fare i conti con il GDPR, approvato nel 2016 e applicato nei paesi membri dell’Unione dal 25 maggio 2018. Ma per comprendere il quadro delle relazioni fra Stati Uniti e UE in materia di data sovereingnty non basta fare riferimento al GDPR. Nello stesso 2018, infatti, è entrato in vigore il Clarifying Lawful Overseas Use of Data (CLOUD) Act. La norma consente alle autorità statunitensi, comprese le forze dell’ordine e le agenzie di intelligence, di acquisire dati informatici dai cloud provider del loro paese. E questo è possibile farlo anche quando tali dati sono conservati su server localizzati all’estero. È sufficiente che gli operatori siano sottoposti alla giurisdizione degli USA.
Le controversie del CLOUD Act
Il CLOUD Act, contestato anche in patria dalla Electronic Frontier Foundation, sembra in contrasto con l’art. 48 del GDPR. Quest’ultimo stabilisce infatti che le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro. A complicare ulteriormente la faccenda è intervenuta una sentenza della Corte di Giustizia UE del 16 luglio 2020, che ha annullato la decisione della Commissione 2016/1250, la quale a propria volta dichiarava adeguato l’accordo Privacy Shield per i trasferimenti di dati tra UE e Stati Uniti.
Secondo la Corte di Giustizia la decisione della Commissione non è adeguata. L’inadeguatezza si baserebbe sul fatto che le leggi degli Stati Uniti che regolano l’accesso ai dati personali non offrono tutte le dovute garanzie sul piano della tutela della privacy. In particolare, i programmi di sorveglianza delle autorità americane non rispettano, a parere della Corte, il principio di proporzionalità. Questa decisione segna un punto a favore nella lunga battaglia legale che Max Schrems, cittadino austriaco, combatte da anni per impedire a Facebook di trasferire i dati degli utenti europei ai server negli Stati Uniti.
E proprio con la sentenza emanata nel 2020, la Corte di giustizia dell’Unione Europea ha voluto porre un ulteriore tutela al trasferimento di dati tra Unione Europea e Paese terzo. Questa sentenza colpisce così tutte le aziende americane e soprattutto Zuckemberg, che ha minacciato la chiusura di Meta in Europa.
Digital services act e digital markets act: arriva il «pacchetto»
La sentenza della Corte Europea tuttavia non ha reso impossibile il trasferimento dei dati all’estero. Nel maggio 2021 il Comitato europeo per la Protezione dei Dati (EDPB) ha dettato linee guida che consentono di continuare a effettuare i trasferimenti di dati tra Unione Europea e USA. E questo può essere fatto anche in assenza di un nuovo accordo tra i due ordinamenti.
Nel frattempo, tuttavia, prosegue l’iter del Digital Package Act presentato dalla Commissione Europea. Questo atto include sia il Digital Services Act (DSA) sia il Digital Markets Act (DMA). Si tratta di una cornice normativa di ampio respiro, che potrebbe essere approvata nella prima metà del 2022. Il Digital Package Act disciplinerà l’intero settore digitale: social media, marketplace e piattaforme. Aumenteranno le tutele per gli utenti e gli obblighi per gli operatori, soprattutto per quelle che definite «very large online platforms». Si tratta delle piattaforme digitali con una capitalizzazione di almeno 65 miliardi di euro e un numero di utenti mensili riconducibili a cittadini dell’Unione Europea non inferiore ai 45 milioni.
È chiaro che le prospettive regolatorie europee si muovono lungo binari diversi da quelli che hanno sempre ispirato gli Stati Uniti. La colonna portante del Digital Package è la visione di un ecosistema fortemente regolato. Questa strategia ha l’obiettivo di tutelare alcuni principi e diritti che non si intendono subordinare alla libertà del mercato. Forse – come suggerisce Franco Pizzetti, ex Garante della Privacy italiano, in un bell’intervento uscito a febbraio 2022 su Agenda Digitale – è proprio questo di cui ha paura Mark Zuckerberg, quando minaccia di sospendere i servizi di Meta in Europa.