La partita per il controllo dei dati europei si gioca su un terreno giuridico accidentato, dove due ordinamenti si fronteggiano con regole incompatibili. Da un lato il Gdpr e il Data Act europeo, che tutelano la riservatezza dei dati e impongono il consenso per i trasferimenti extra-Ue. Dall’altro il Cloud Act americano, che dal 2018 consente alle autorità statunitensi di richiedere dati a qualsiasi provider soggetto alla giurisdizione Usa, indipendentemente da dove quei dati siano fisicamente conservati. Un server a Francoforte o a Milano, se gestito da Amazon, Microsoft o Google, resta potenzialmente accessibile a un mandato emesso da un tribunale americano.
Il conflitto non è teorico. Come evidenzia un’analisi di Kiteworks, le due normative impongono obblighi direttamente opposti: il Cloud Act richiede ai provider americani di ottemperare alle richieste governative Usa ovunque i dati si trovino, mentre il Data Act europeo impone agli stessi provider di impedire accessi che sarebbero illegali secondo il diritto Ue e di contestare attivamente tali richieste. Un fornitore non può rispettare entrambe le leggi quando quella americana impone una divulgazione che quella europea vieta.
La questione si è riaccesa nelle ultime settimane. Oltre alla decisione della Corte Suprema che mette a rischio l’autonomia della Federal Trade Commission, la Corte d’Appello del Quinto Circuito negli Stati Uniti ha ulteriormente complicato la situazione dichiarando incostituzionale la struttura dell’agenzia federale che vigila su privacy e pratiche commerciali.
La decisione potrebbe avere ripercussioni sul Data Privacy Framework, l’accordo che dal 2023 consente i trasferimenti di dati personali dalla Ue agli Usa. Quel framework si regge sulla premessa che le autorità americane garantiscano una protezione adeguata: se la Ftc viene depotenziata, l’intero impianto rischia di vacillare, riaprendo scenari già vissuti con le sentenze Schrems I e II che avevano invalidato i precedenti accordi Safe Harbor e Privacy Shield.
L’Europa ha risposto con un pacchetto di misure sulla sovranità tecnologica più complessiva presentato dalla Commissione lo scorso giugno. Il Chips Act 2.0 punta a rafforzare la capacità produttiva nei semiconduttori avanzati, mentre il Cloud and AI Development Act introduce un quadro unico europeo per valutare la sovranità delle infrastrutture cloud e AI.









-U27846013522kvT-1440x752@IlSole24Ore-Web.jpg?r=1170x507)

-kgqG-U50625437102Imb-1440x752@IlSole24Ore-Web.jpg?r=1170x507)
