DATI FRA LE NUVOLE: IL CLOUD TRA VECCHIO E NUOVO CONTINENTE
Dati fra le nuvole: il Cloud tra Vecchio e Nuovo Continente

N.  Settembre 2019
        

a cura di Yuri Monti
Consultant, Colin & Partners

 

Dati e statistiche alla mano, a livello europeo un numero sempre maggiore di aziende sta scegliendo la via dei servizi su “nuvola”. Una graduale ma costante rivoluzione che sta interessando le imprese dell’Unione Europea sul tema del cloud computing. Un cambiamento che va di pari passo con la crescente consapevolezza delle stesse imprese circa le concrete opportunità e i potenziali rischi connessi a tali servizi: esternalizzare i dati presso provider terzi consente sì ai vari player una gestione migliore ed ottimizzata del proprio patrimonio di informazioni, ma, al tempo stesso, espone queste ultime ad una serie di criticità variabili e – spesso – del tutto indipendenti dalle scelte “tecniche” degli utenti stessi.

Il cloud che viene da lontano: il viaggio dei dati

Molto spesso, l’offerta “cloud” viene da lontano per chi opera su territorio europeo: il riferimento è, ovviamente, ai principali fornitori d’Oltreoceano di tale tipologia di servizi, tra i quali i vari Google, Amazon, Microsoft, IBM, senza dimenticare il crescente peso di Alibaba. Affidare i propri dati a questi soggetti significa, in molti casi, effettuare un trasferimento degli stessi al di fuori dello Spazio Economico Europeo, e perdere così un contatto diretto ed immediato – non solo dal punto di vista geografico – con i propri dati. A ciò si aggiungano le problematiche derivanti dai rapporti internazionali tutt’altro che rosei tra potenze tecnologiche, come nel caso delle recenti tensioni tra Cina e Stati Uniti: tali dinamiche, infatti, possono tradursi spesso in normative restrittive o comunque limitative in materia di all’accessibilità alle informazioni “ospitate” presso i cloud provider di tali Stati, con conseguenti pericoli per i rispettivi stakeholder.

Inoltre, focalizzando l’attenzione sul versante privacy, la gestione di questa tra Europa e Stati Uniti vive momenti di impasse, determinati dall’incerto destino del cosiddetto Privacy Shield, l’accordo tra i due soggetti con cui viene garantito un reciproco livello di adeguatezza delle normative in materia di protezione dei dati. O almeno, dovrebbe essere garantito: le istituzioni, sia a livello dei singoli Stati membri che a livello di Unione Europea, hanno infatti più volte lamentato la mancata attivazione delle controparti americane per una concreta attuazione dello “Shield”. La diatriba ha condotto a reiterate minacce di sospensione dell’accordo, anche in tempi recenti, prefigurando potenziali problematiche in tema di garanzie per il trasferimento dei dati – proprio verso i cloud provider a stelle e strisce.

Nella pratica, buone notizie grazie a ‘nuovi’ intermediari

Nella pratica, tuttavia, il quadro è meno cupo di quanto sembrerebbe apparire: le aziende europee, anche sull’onda lunga del Regolamento (UE) n. 2016/679 (“GDPR”), hanno sviluppato una sempre maggiore sensibilità sul tema della data protection. Una corretta applicazione della disciplina prevista dal GDPR passa anche attraverso opportune considerazioni svolte sui soggetti terzi/fornitori che trattano dati personali per conto dell’impresa. Questo presupposto diventa ancora più fondamentale ove il trattamento di dati riguardi settori di particolare “delicatezza”, come il settore bancario, assicurativo e sanitario, tutti ambiti sotto i riflettori delle istituzioni europee in tema di protezione dati.

In questo senso, si sta notevolmente incrementando l’affidamento ad operatori europei per quanto riguarda il mercato inerente alla sicurezza dei dati. Le scelte in materia di cyber security delle aziende destinatarie delle prescrizioni del GDPR (che non si identificano, a norma del Regolamento, solo con quelle aventi sede all’interno dell’Unione Europea, ma anche generalmente con quelle che trattano dati di cittadini europei nell’offerta di beni o servizi) ricadono sempre più spesso su soggetti operanti all’interno dell’Unione Europea stessa, i quali garantiscono maggior “confidenza” col Regolamento privacy. La filiera dei soggetti coinvolti nell’ambito del cloud computing, quindi, si arricchisce del coinvolgimento di intermediari, confermando un duplice ordine di aspetti:

  • La crescente valorizzazione del GDPR, in grado di diventare sempre più punto di riferimento per le questioni connesse alla sicurezza del dato – come già detto, non è un caso che ci si affidi sempre più ad imprese europee;
  • I fornitori di servizi extra europei dovranno adeguare le proprie infrastrutture al fine di garantire che le soluzioni di sicurezza implementate “intra” UE siano pienamente sostenibili.

Il “sistema GDPR”, dunque, si conferma come occasione da cogliere per gli operatori, un asset da valorizzare per qualificare ulteriormente la propria offerta sul mercato.