Nei giorni scorsi, il garante della privacy dell’UE ha avviato una consultazione per comprendere se i dati personali e sensibili siano adeguatamente protetti quando si utilizzano i servizi dei principali fornitori di servizi cloud, a valle di una sentenza della scorsa estate nella quale la Corte di giustizia dell’UE ha concluso che le leggi nazionali negli Stati Uniti non soddisfano i rigorosi requisiti di protezione dei dati stabiliti dal GDPR.
Oggetto del contendere, in particolare, è il Cloud Act (Clarifying Lawful Overseas Use of Data Act), in base al quale le autorità statunitensi possono richiedere agli operatori nazionali di concedere loro l’accesso alle informazioni conservate sui loro server, anche se tali dati si trovano all’estero.
Sembra dunque esserci una dicotomia tra quanto prevede il Gdpr, il regolamento che tutela la privacy dei cittadini Ue, e il Cloud Act americano che si applica a tutti i cloud provider Usa e anche sui dati aziendali.
La questione è tutt’altro che secondaria, anche alla luce di quanto previsto nel PNRR (Piano Nazionale di Ripresa e Resilienza) e in particolare in relazione alla nascita del Polo Strategico Nazionale nel quale dovrebbero confluire asset e dati strategici della nostra PA e pienamente integrato in GAIA-X, il progetto per un cloud europeo basato su standard comuni per tutti gli operatori cloud che operano nell’Unione Europea (quindi, anche quelli americani).
Indice degli argomenti
Stefano Rebattoni: IBM Europa e IBM Italia operano in base al diritto dell’Unione Europea
Alla luce di queste premesse, è importante la nota rilasciata ieri da Stefano Rebattoni, Amministratore Delegato IBM Italia, che, proprio in considerazione della delicatezza del dibattito pubblico che si è aperto intorno ai temi della sicurezza delle infrastrutture cloud e il rischio di esfiltrazione dei dati da parte di giurisdizioni straniere, precisa quale sia la posizione di IBM in merito.
“IBM Europa e IBM Italia sono società autonome rispetto alla casa madre e operano, quindi, in base al diritto dell’Unione Europea e alle leggi nazionali dei paesi in cui operano, incluse le norme a tutela della protezione dei dati personali”, è la prima importante precisazione del manager.
Questo significa che né il Cloud Act né altre leggi hanno effetto sulle società IBM che operano in Europa e in particolare che “Il governo degli Stati Uniti non ha alcune giurisdizione in tema di accesso ai dati depositati e custoditi in Europa dalle società IBM europee”.
Qualunque richiesta di accesso ai dati proveniente da Paesi diversi rispetto a quello in cui opera l’affiliata IBM non troverà riscontro, fatto salvo che incorra un obbligo diverso in forza di norme o ordini applicabili nel territorio nazionale.
In particolare, in relazione al Cloud Act Rebattoni precisa che nessuna delle società IBM che operano sul suolo europeo (e va precisato nemmeno IBM Corporation) ha mai fornito dati cliente a terzi, in ragione delle norme previste dal Cloud Act e che l’unica richiesta pervenuta è stata per altro respinta perché “non coerente con i principi sull’accesso ai dati che la stessa IBM ha stabilito e comunicato ai propri clienti”.
La differenza con gli operatori di piattaforme consumer
C’è un ulteriore punto sul quale Rebattoni pone l’accento nella propria nota: “IBM è una società molto diversa dagli operatori cloud del mercato che gestiscono piattaforme consumer e che, per questo, raccolgono e controllano grandi volumi di dati degli utenti”.
Poiché IBM opera come fornitore di servizi cloud per aziende pubbliche e private, nonché per istituzioni anche governative, non ha come scopo la raccolta di grandi volumi dati, che sono il vero obiettivo di analisi del Cloud Act.
L’impegno di IBM su privacy e riservatezza
Proprio in ragione di quanto esposto, la società sta lavorando per rafforzare il proprio impegno sui temi della privacy e della riservatezza dei dati, sia con iniziative come IBM “Only EU” per l’archiviazione e l’elaborazione dei dati in Europa, sia puntanto su tecnologie di crittografia “Keep Your Own Key” e di Confidential Computing, sia aderendo a progetti europei come l’EU Cloud Code of Conduct e GAIA-X).
