Certificazione cloud europea: cos'è, in cosa consiste e perché mira alla sovranità dei dati

Il legislatore europeo sta lavorando su uno schema di certificazione dei servizi cloud rispetto ai temi della sicurezza e del trattamento dei dati personali. Il regolamento potrebbe diventare obbligatorio per tutte le aziende che erogano servizi cloud entro i confini dell’Unione Europea ma hanno sede principale al di fuori degli stessi: si pensi a Google, Amazon, Microsoft e via dicendo. La certificazione si inquadra inoltre nell’ambito delle prescrizioni contenute nella Direttiva NIS2, che ha introdotto nuovi obblighi sul piano della cyber sicurezza per le aziende.

ENISA, l’agenzia per la sicurezza informatica dell’Unione, ha condiviso in questi giorni una bozza della proposta di regolamento con i membri dell’European Cybersecurity Certification Group.

All’atto pratico, i provider di servizi cloud che vorranno continuare a proporsi a imprese e utenti privati europei dovranno esibire un'”etichetta di conformità” per evidenziare l’adesione alle prescrizioni in materia di elaborazione dei dati personali. L’ottenimento della certificazione potrà inoltre avvenire soltanto tramite una joint venture con una società con sede nell’Unione.

I giganti tecnologici statunitensi e altri soggetti coinvolti nella joint venture possono avere solo una quota di minoranza e i dipendenti che hanno accesso ai dati di individui residenti entro i confini europeo dovranno superare una specifica procedura di verifica, oltre che risiedere nel blocco dei 27 Paesi dello spazio europeo.

La bozza di documento fa presente che i servizi cloud devono inoltre essere gestiti e manutenuti nell’Unione Europea; gli stessi dati degli utenti devono essere archiviati ed elaborati nel Vecchio Continente. Inoltre, leggi europee devono avere la precedenza sulle leggi “non-UE” rispetto al comportamento che il fornitore di servizi cloud è chiamato a osservare.

Su questo e su altri punti, la Camera di commercio degli Stati Uniti ha precedentemente affermato che la nuova proposta dell’Unione Europea pone le società statunitensi su un piano di disparità. La Commissione Europea, d’altra parte, afferma che le mosse sono necessarie per proteggere i diritti sui dati e la privacy di ogni singolo individuo.

Nella proposta si fa inoltre presente che regole più severe si applicheranno ai dati personali e non personali di particolare sensibilità per cui una violazione potrebbe avere un impatto negativo sull’ordine pubblico, la sicurezza pubblica, la vita o la salute umana o la protezione della proprietà intellettuale.

Il provvedimento in preparazione presso le Istituzioni europee guarda ancora una volta al principio di sovranità dei dati secondo il quale l’Unione Europea ha il diritto di controllare e gestire i propri dati all’interno dei suoi confini geografici. Ciò significa che i dati che vengono generati, raccolti o elaborati all’interno dell’Europa devono essere soggetti alle leggi e alle normative europee, con i singoli governi in grado di proteggere e regolare tali dati.

Vengono perciò chiamati in causa i provider cloud stranieri e in generale i cosiddetti over-the-top (OTT) ovvero tutte le piattaforme che forniscono agli utenti la possibilità di accedere a contenuti audio, video o di comunicazione tramite Internet, bypassando i tradizionali operatori di telecomunicazioni.