«Non preoccupatevi, è ospitato in Europa» è diventata la rassicurazione riflessa per qualsiasi domanda sui dati. Suona decisiva. Spesso non lo è. L'hosting nell'UE e la conformità al GDPR rispondono a una domanda; la sovranità ne risponde a un'altra. Confonderle è il modo in cui le aziende finiscono sorprese su chi può raggiungere i loro dati.
Due domande diverse
Il GDPR disciplina come sono trattati i dati personali: base giuridica, consenso, conservazione, i diritti delle persone a cui i dati si riferiscono. Un hyperscaler statunitense con una regione UE può essere del tutto gestibile sotto il profilo del GDPR. È uno standard reale e prezioso — ma riguarda la protezione dei dati, non la giurisdizione.
La sovranità pone una domanda più schietta: quali leggi, e quali governi, possono imporre l'accesso a questi dati? Ciò dipende molto meno da dove si trovano i byte e molto di più da chi controlla l'azienda che li detiene.
Perché «ospitato nell'UE» può comunque significare portata straniera
Quando il fornitore è una società statunitense, due parti della legge USA attraversano l'Atlantico a prescindere dal codice postale del datacenter:
- Il CLOUD Act, che obbliga i fornitori con sede negli USA a produrre i dati che controllano, ovunque siano archiviati.
- La Sezione 702 del FISA, l'autorità di sorveglianza al centro della sentenza Schrems II che ha annullato il Privacy Shield.
Non è un'ipotesi né un punto antiamericano — è semplicemente come funziona la legge extraterritoriale. Una regione UE gestita da una capogruppo statunitense riduce alcuni rischi e risolve la residenza GDPR. Non rimuove la portata legale straniera, perché la capogruppo resta soggetta alla giurisdizione di casa propria.
Cosa richiede davvero la sovranità
La vera sovranità dei dati ha meno a che fare con una bandiera su una mappa e più a che fare con il controllo:
- Un fornitore costituito e operante sotto la legge di una giurisdizione di cui vi fidate — non una controllata di una che non vi ispira fiducia.
- Un'infrastruttura di cui detenete il contratto, con la possibilità di cambiare fornitore.
- Il controllo delle vostre chiavi di cifratura, così l'accesso è una vostra decisione, non un'impostazione predefinita.
- Documentazione e percorsi di uscita, così non c'è un vincolo travestito da funzionalità.
Un punto universale, non europeo
È allettante leggere tutto questo come un argomento «Europa contro USA». Non lo è. Un'azienda a Zurigo, Londra, Oslo o San Paolo ha lo stesso interesse a sapere chi può imporre l'accesso ai propri dati. La legge e l'infrastruttura europee ci danno strumenti forti e credibili per realizzare la sovranità — ma il principio che la vostra tecnologia debba restare vostra è universale. La domanda da porre a qualsiasi fornitore non è «è ospitato in Europa?». È «quale legge governa l'azienda che lo controlla, e potete cambiare se vi serve?».
Domande frequenti
- La conformità al GDPR basta per i dati sensibili?
- È necessaria, non sempre sufficiente. Il GDPR disciplina come sono trattati i dati personali; non impedisce a un governo straniero di obbligare un fornitore soggetto alle sue leggi. Per dati sensibili o strategici, la sovranità — chi può imporre l'accesso — è la domanda aggiuntiva da porre.
- «Ospitato nell'UE» rende sovrano un cloud statunitense?
- No. L'hosting nell'UE soddisfa la residenza dei dati, ma un fornitore di proprietà statunitense resta soggetto alla legge USA come il CLOUD Act, ovunque sia il datacenter. Residenza e sovranità sono garanzie diverse.
- Questo riguarda solo le aziende europee?
- Per niente. Qualsiasi azienda, ovunque, trae beneficio dal sapere quali leggi governano i propri dati e se può cambiare fornitore. Gli strumenti europei sono un modo forte per realizzare la sovranità, ma il principio vale universalmente.