CLOUD Act e sovranità dei dati:
perché scegliere datacenter europei

Cos’è il CLOUD Act e perché conta

Il Clarifying Lawful Overseas Use of Data Act, firmato negli Stati Uniti il 23 marzo 2018, è una legge federale che consente alle autorità statunitensi (Department of Justice, FBI, agenzie di intelligence) di richiedere a qualsiasi fornitore di servizi digitali soggetto alla giurisdizione americana la consegna dei dati di utenti o aziende che detiene, ovunque questi dati siano fisicamente ospitati nel mondo.

Il legislatore USA ha voluto sciogliere un nodo giurisprudenziale aperto dal caso Microsoft Ireland del 2013, in cui Microsoft aveva rifiutato di consegnare email archiviate a Dublino perché il mandato FBI non copriva territori esteri. Con il CLOUD Act il problema scompare: il criterio non è più dove sono i dati, ma sotto quale giurisdizione sta il provider che li gestisce.

Perché riguarda anche le aziende italiane

La quota di mercato cloud europeo servita da provider americani — Amazon Web Services, Microsoft Azure, Google Cloud — supera ormai il 70%. Anche quando un’azienda italiana ospita i propri dati su un datacenter in Irlanda, nei Paesi Bassi o in Germania, il fornitore contrattuale è quasi sempre una società di diritto statunitense o una sua filiale. Questo significa che:

• Il CLOUD Act prevale sulla localizzazione fisica — il datacenter in UE non protegge di per sé dal potere di richiesta delle autorità USA.
• Il cliente europeo può non essere informato — il provider USA è spesso soggetto a gag order che gli impediscono di comunicare l’esistenza del mandato al titolare del trattamento.
• Si crea una tensione diretta con il GDPR — l’art. 48 del Regolamento europeo vieta il trasferimento di dati personali verso autorità di paesi terzi in assenza di un accordo internazionale. Il CLOUD Act, di fatto, aggira questa norma.
• L’esposizione non riguarda solo i dati personali — anche documenti aziendali, proprietà intellettuale, comunicazioni commerciali, progetti in sviluppo possono essere oggetto di richiesta.

Schrems II e la caduta del Privacy Shield

Il 16 luglio 2020 la Corte di Giustizia dell’Unione Europea (causa C-311/18, nota come Schrems II) ha invalidato il Privacy Shield, l’accordo che dal 2016 regolava i trasferimenti di dati personali verso gli Stati Uniti. La motivazione: le leggi di sorveglianza USA — in particolare il CLOUD Act e la FISA 702 — non offrono un livello di protezione equivalente a quello garantito dal GDPR, e i cittadini europei non hanno mezzi di ricorso effettivi contro l’accesso governativo statunitense ai propri dati.

Da quel momento le aziende che trasferiscono dati personali negli USA non possono basarsi esclusivamente su clausole contrattuali standard: devono valutare caso per caso il rischio e, se necessario, adottare misure supplementari come la cifratura con chiavi gestite al di fuori della giurisdizione USA, la pseudonimizzazione o garanzie contrattuali rafforzate sulla data residency.

Data Privacy Framework: una soluzione parziale

Nel luglio 2023 la Commissione Europea ha adottato una nuova decisione di adeguatezza, il EU-US Data Privacy Framework (DPF), che consente il trasferimento di dati personali verso aziende USA che aderiscono volontariamente a un insieme di principi privacy e si sottopongono alla supervisione della Federal Trade Commission.

Il DPF semplifica la compliance burocratica ma non abroga il CLOUD Act: le autorità USA mantengono il potere di richiesta extraterritoriale. L’attivista Max Schrems ha già annunciato un terzo ricorso (Schrems III) e molti esperti considerano probabile una nuova invalidazione. Costruire una strategia cloud sulla durata indefinita del DPF è un azzardo che le aziende prudenti cercano di evitare.

Microsoft EU Data Boundary: cosa garantisce davvero

Microsoft ha annunciato nel 2022 e completato nel 2025 la EU Data Boundary per i servizi cloud commerciali (Microsoft 365, Azure, Dynamics 365, Power Platform). L’impegno contrattuale è che i dati di clienti e partner europei vengano archiviati ed elaborati esclusivamente entro i confini dell’Unione Europea, inclusi i log operativi e i dati di telemetria.

È un passo importante ma non risolve interamente la questione del CLOUD Act. Microsoft resta una società di diritto statunitense soggetta alla giurisdizione USA: la Data Boundary riduce la probabilità di accesso americano ma non la elimina in assoluto. Per i settori più sensibili (Pubblica Amministrazione, sanità, finanza, difesa) la soluzione completa richiede un fornitore cloud di diritto UE, con capitale europeo e catena di controllo extra-USA.

Cinque criteri per scegliere un cloud sovrano

La sovranità digitale non è un attributo binario: è un gradiente. Per valutare concretamente un fornitore cloud dal punto di vista della sovranità dei dati europei, vale la pena verificare:

• 1Società di diritto UE — il contratto deve essere firmato con una entità legale europea, non con una filiale di capogruppo statunitense. Questo è il criterio dirimente rispetto al CLOUD Act.
• 2Data residency vincolata contrattualmente — non basta la promessa, serve una clausola esplicita che specifichi le region UE di archiviazione e vieti la replica o la migrazione fuori dai confini europei senza consenso.
• 3Certificazione ISO/IEC 27018 — è lo standard internazionale specifico per la protezione dei dati personali in cloud pubblico. Fissa requisiti su consenso, trasparenza, gestione delle richieste di accesso e obblighi di notifica. Le nostre certificazioni.
• 4Gestione delle chiavi di cifratura — il provider dovrebbe offrire opzioni di customer-managed keys o bring your own key, così che l’accesso ai dati in chiaro dipenda da chiavi sotto controllo dell’azienda cliente o di un terzo europeo indipendente.
• 5Qualificazione ACN e presenza nel Catalogo Cloud PA — per le organizzazioni che servono la Pubblica Amministrazione italiana, la qualificazione dell’Agenzia per la Cybersicurezza Nazionale è un filtro oggettivo: i servizi qualificati QC1/QC2 devono rispettare criteri di sovranità e sicurezza verificati.

Il posizionamento di AtWorkStudio

AtWorkStudio opera da Piacenza dal 2000 come società di diritto italiano. I nostri servizi cloud sono ospitati in region Microsoft Azure europee (Italy North e West Europe) con tre Availability Zone per region, oppure in partnership con datacenter italiani per i clienti che richiedono sovranità integrale. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, e siamo qualificati ACN QC1 per tre servizi del Catalogo Cloud per la Pubblica Amministrazione (Secure Workspace, Email Security Gateway, Backup Microsoft 365).

Siamo membri del Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT. Per le aziende italiane che vogliono adottare Microsoft 365 o costruire infrastrutture cloud senza rinunciare alla sovranità dei dati, offriamo un percorso concreto: analisi dei flussi dati attuali, valutazione del rischio CLOUD Act, disegno di un’architettura cloud conforme al GDPR e supporto continuo nella gestione.