Storie Web mercoledì, Luglio 15

La partita per il controllo dei dati europei si gioca su un terreno giuridico accidentato, dove due ordinamenti si fronteggiano con regole incompatibili. Da un lato il Gdpr e il Data Act europeo, che tutelano la riservatezza dei dati e impongono il consenso per i trasferimenti extra-Ue. Dall’altro il Cloud Act americano, che dal 2018 consente alle autorità statunitensi di richiedere dati a qualsiasi provider soggetto alla giurisdizione Usa, indipendentemente da dove quei dati siano fisicamente conservati. Un server a Francoforte o a Milano, se gestito da Amazon, Microsoft o Google, resta potenzialmente accessibile a un mandato emesso da un tribunale americano.

Domande di approfondimento generate da 24Ore AI

Il conflitto non è teorico. Come evidenzia un’analisi di Kiteworks, le due normative impongono obblighi direttamente opposti: il Cloud Act richiede ai provider americani di ottemperare alle richieste governative Usa ovunque i dati si trovino, mentre il Data Act europeo impone agli stessi provider di impedire accessi che sarebbero illegali secondo il diritto Ue e di contestare attivamente tali richieste. Un fornitore non può rispettare entrambe le leggi quando quella americana impone una divulgazione che quella europea vieta.

La questione si è riaccesa nelle ultime settimane. Oltre alla decisione della Corte Suprema che mette a rischio l’autonomia della Federal Trade Commission, la Corte d’Appello del Quinto Circuito negli Stati Uniti ha ulteriormente complicato la situazione dichiarando incostituzionale la struttura dell’agenzia federale che vigila su privacy e pratiche commerciali.

La decisione potrebbe avere ripercussioni sul Data Privacy Framework, l’accordo che dal 2023 consente i trasferimenti di dati personali dalla Ue agli Usa. Quel framework si regge sulla premessa che le autorità americane garantiscano una protezione adeguata: se la Ftc viene depotenziata, l’intero impianto rischia di vacillare, riaprendo scenari già vissuti con le sentenze Schrems I e II che avevano invalidato i precedenti accordi Safe Harbor e Privacy Shield.

L’Europa ha risposto con un pacchetto di misure sulla sovranità tecnologica più complessiva presentato dalla Commissione lo scorso giugno. Il Chips Act 2.0 punta a rafforzare la capacità produttiva nei semiconduttori avanzati, mentre il Cloud and AI Development Act introduce un quadro unico europeo per valutare la sovranità delle infrastrutture cloud e AI.

Condividere.
Exit mobile version