I dati europei residenti sui cloud americani a chi realmente appartengono? Chi vi può accedere? Esistono alternative riguardo la loro gestione? Per rispondere a queste domande Michel Paulin, CEO di OVH, interviene invitando a sviluppare una sinergia cloud europea, capace di dare alle aziende UE la possibilità di evitare di affidarsi a provider made in USA.
Lo fa con un articolo che ospitiamo con l’idea di aprire un dibattito con gli altri fornitori di cloud italiani e con i rappresentanti europei dei fornitori di cloud americani.
Nel testo che segue Paulin pone l’accento sull’US Cloud Act (“Clarifying Lawful Overseas Use of Data), complesso normativo che ha acceso i riflettori sul tema dell’accesso ai dati di proprietà di società europee, di fatto aprendo un ulteriore fronte sul terreno del crescente protezionismo economico statunitense. Il ceo di OVH cita a supporto il rapporto Gauvain, sulla base del quale nel parlamento francese si discute se proporre l’estensione del GDPR ai dati delle persone giuridiche.
Sono tematiche interessanti nel loro valore assoluto e che meritano un coinvolgimento aperto da parte di tutti gli organismi coinvolti.
01net invita sin d’ora a esprimersi al riguardo e si mette a disposizione per ospitare i vari pareri.
La rivoluzione digitale ha promosso i dati come nuovo asset strategico per le aziende, così come per i governi.
La crescita esponenziale del loro volume alimenta il successo di un ecosistema di specialisti. Questa esplosione di dati apre ampiamente vaste gamma di opportunità, reinventa i modelli di business, facilita il processo decisionale e crea nuovi vantaggi, con prospettive davvero interessanti.
Le aziende stanno esplorando il potenziale dell’Intelligenza Artificiale e dei Big Data ma non sembrano ancora percepire la sensibilità di molti di questi dati, né la necessità di proteggerli. Se i cittadini europei si sentono soddisfatti del fatto che il regolamento generale sulla protezione dei dati (GDPR) stia diventando una realtà, molte imprese non condividono questa vision.
Parallelamente, il US Cloud Act apre l’accesso illimitato da parte delle amministrazioni statunitensi ai dati di proprietà delle società europee, a condizione che questi dati siano ospitati da un provider statunitense.
Questo nuovo atteggiamento protezionista economico stabilisce il fatto che i dati devono ora essere considerati come un oggetto extraterritoriale, non appena si decide di lavorare con un provider statunitense, anche se essi rimangono localizzati in Europa.
I provider interessati si difendono con una sconcertante auto-rassicurazione, sostenendo che ciò non avrà alcun impatto sulla sfera economica. Il profilo della legge è in realtà poco chiaro: non esiste una definizione precisa di quelli che sono definiti realmente “reati gravi”, né ciò che costituisce la “sicurezza pubblica” che dovrebbe essere protetta dalla legge, nemmeno un’indicazione sul perimetro sui “contenuti” a cui una giurisdizione può avere accesso.
Qual è la conclusione di tutto questo? Si viene a creare una cassaforte blindata per proteggere i tuoi dati più preziosi, affidando al contempo le chiavi all’amministrazione della Giustizia degli Stati Uniti, con il rischio di offrirgli l’accesso completo a tutti i tuoi dati.
Il US Cloud Act offre alle autorità americane un accesso illimitato ai dati delle aziende europee, purché siano ospitate da un provider statunitense.
Raphaël Gauvin, membro del parlamento francese appartenente al partito LREM, nel suo rapporto pronunciato il 26 giugno, ha definito i regolamenti statunitensi “un’arma di distruzione nella guerra economica condotta dagli Stati Uniti contro il resto del mondo”. Ha detto che altri paesi, tra cui Cina, India e Russia, potrebbero presto adottare leggi simili con raggio d’azione extraterritoriale.
Allora, cosa dovremmo fare? In Germania si alzano voci per mettere in guardia contro l’eccessivo controllo dei provider americani sui dati europei.
In Francia, il rapporto Gauvain raccomanda di estendere il GDPR per includere i dati delle persone giuridiche. Una risposta giuridica sarebbe un primo passo, ma avrà un effetto solo se seguita da azioni concrete condotte da imprese.
Quindi, cosa si può fare per proteggere i dati aziendali sensibili? Dovremmo ospitarli in Francia? Con il raggio d’azione extraterritoriale del Cloud Act, questo non sarebbe sufficiente.
Le raccomandazioni formulate dalla relazione di Raphaël Gauvain sono un segnale eccellente. Tuttavia, le ammende, qualunque sia il loro importo potenziale, avranno un impatto minimo solo se i responsabili delle decisioni non saranno pienamente informati. La consapevolezza collettiva è quindi necessaria e urgente in ogni fase della catena del valore.
Aziende di servizi IT, CIO, dipartimenti legali: tutti dovrebbero dimostrare un comportamento esemplare, poiché la scelta dei provider di cloud può aprire la sicurezza dei dati aziendali.
Lavorare con i provider statunitensi quindi non è inevitabile: esistono soluzioni alternative europee.
Molte aziende padroneggiano le tecnologie e hanno le competenze necessarie per resistere a questa egemonia invasiva; fintanto che gli organismi politici ed economici europei si mobilitano per affrontarla. Rifiutiamo il fatalismo, evitiamo l’ingenuità e adottiamo le azioni necessarie per rendere i nostri dati una forza e non una vulnerabilità.
