Nella presentazione del piano Eu data boundary for Microsoft Cloud, Microsoft annuncia che i dati delle organizzazioni e delle pubbliche amministrazioni europee che si servono del cloud dell’azienda statunitense saranno processati e archiviati nell‘Unione europea. Se da un lato le dichiarazioni di Microsoft dovrebbero rassicurare, dall’altro lato mostrano come l’azienda abbia, fino ad oggi, trasferito ed elaborato in modo sistematico i dati dei clienti europei al di fuori dei confini comunitari.
In un post del 6 maggio sul blog Microsoft che annuncia il piano, il Presidente e Chief Legal Officer di Microsoft Brad Smith ha affermato che l’EU Data Boundary si applicherebbe ai dati elaborati dai principali servizi cloud dell’azienda, inclusi Azure, Microsoft 365 e Dynamics 365, e che il lavoro di ingegneria necessario per eseguire il progetto sarà completato entro la fine del 2022.
“Offriamo già ai clienti del settore pubblico e commerciale la possibilità di archiviare i dati nell’UE e molti servizi cloud di Azure possono già essere configurati per elaborare i dati anche nell’UE”, ha scritto Smith.
“Abbiamo già iniziato il lavoro di ingegneria, quindi i nostri servizi cloud di base memorizzeranno ed elaboreranno nell’UE tutti i dati personali dei nostri clienti europei del settore pubblico e commerciale, se lo desiderano. Questo piano include tutti i dati personali nei dati diagnostici e nei dati generati dal servizio e i dati personali che utilizziamo per fornire supporto tecnico”.
In un altro punto del post sul blog, Smith ha affermato che i servizi cloud di Microsoft erano già conformi alle linee guida dell’UE sulla protezione dei dati e in alcuni casi, addirittura, superavano il gli standard richiesti. Il nuovo piano Microsoft, dunque, avrebbe l’obiettivo di mettere in atto ulteriori misure per garantire la sicurezza sui dati europei, andando incontro alle preoccupazioni di cittadini e imprese.
Critiche
Tuttavia, il Piano ha ricevuto diverse critiche. In particolare, Alexander Hanff, fondatore di Think Privacy, ha descritto la mossa di Microsoft come “fumo negli occhi”, sostenendo che non esiste un modo efficace per proteggere i dati dei cittadini europei dal trasferimento negli Stati Uniti, dove esiste uno standard inferiore di protezione dei dati. Hanff ha aggiunto che è risaputo che Microsoft sia destinataria di un enorme numero di richieste da parte delle agenzie di sorveglianza governativa statunitensi, ai sensi del Foreign Intelligence Surveillance Act (FISA) e del Cloud Act. L’assetto normativo statunitense, infatti, riconosce a Washington poteri speciali. In particolare, la Sezione 702 della FISA consente al procuratore generale degli Stati Uniti e al direttore dei servizi di intelligence di autorizzare congiuntamente la sorveglianza mirata di persone al di fuori degli Stati Uniti, purché non siano cittadini statunitensi; il Cloud Act, poi, offre effettivamente al governo l’accesso a tutti i dati, archiviati ovunque, dalle società americane che offrono servizi di Cloud. Il Cloud Act, dunque, vincola i provider americani e pone un difficile bilanciamento con la disciplina europea. Ci si riferisce all’art. 48 del GDPR che esclude un carattere esecutivo automatico alle sentenze o decisioni adottate da autorità di un paese terzo che dispongano il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento.
Italia e Cloud nazionale
La discrepanza tra gli standard europei e quelli statunitensi pone perplessità in merito alla gestione dei dati da parte, non solo di Microsoft, ma di tutte le Big Tech americane, in particolare considerando le opportunità offerte dal PNRR. Il documento trasmesso dal governo italiano alla Commissione europea è, come noto, diviso in sei missioni e prevede, nella missione uno, investimenti volti a favorire la migrazione nel cloud dei dati della pubblica amministrazione. Il principio guida è quello della complementarietà: in base alla tipologia di dati, le amministrazioni centrali potranno migrare sul costituendo Polo Strategico Nazionale – PSN, una nuova infrastruttura dedicata al cloud e localizzata sul territorio nazionale, oppure migrare sul cloud pubblico, scegliendo le soluzioni offerte da uno tra i provider certificati secondo criteri di adeguatezza rispetto sia a requisiti di sicurezza e protezione, sia a standard di performance.
Si tratta di un punto critico perché, ad oggi, non è dato sapere in cosa consistano esattamente i “requisiti di sicurezza e protezione” (nazionalità del provider?). Al riguardo, si pone quindi un difficile bilanciamento tra garanzia della concorrenza ed esigenze di sicurezza. Sarebbe auspicabile la scelta di criteri orientati verso l’autonomia tecnologica e la sovranità nazionale sui dati, creando condizioni favorevoli per i provider italiani, per lo più piccole e medie imprese. Alle considerazioni sulla sicurezza dei dati si aggiungono quelle sulla crescita. Il PNRR rappresenta, infatti, un’opportunità storica per innescare quel processo di innovazione tecnologica che ha rappresentato a lungo uno dei punti più critici del Paese, determinandone la scarsa competitività. La crescita del business, e di conseguenza delle dimensioni, delle PMI italiane potrebbe costituire una leva fondamentale per la trasformazione del tessuto industriale del paese con impatti positivi sull’occupazione e sugli investimenti in capitale umano e formazione. Quest’ultimo aspetto appare sicuramente importante se si considerano l’impoverimento che l’Italia sta vivendo in termini di skills e il trend negativo registrato dalle Università sulle nuove iscrizioni.