L’architettura digitale costituisce la dimensione materiale del potere contemporaneo.
Il controllo dell’infrastruttura tecnologica determina l’effettività dell’ordinamento giuridico, rendendo irrilevante ogni pretesa di sovranità priva di un dominio autonomo sulle reti, sui server e sulle piattaforme che governano l’elaborazione e l’archiviazione dei dati.
Pertanto ci si deve chiedere se l’Europa si trovi in una prospettiva di dipendenza strutturale, poiché le amministrazioni pubbliche si affidano a servizi cloud forniti da Microsoft, Amazon e Google, soggetti a una legislazione extracomunitaria.
Indice degli argomenti
Cloud, dipendenza Ue: il principio di sovranità digitale
L’asimmetria tra il regime giuridico europeo e le prerogative normative degli Stati Uniti si manifesta nell’applicazione del Cloud Act, che impone ai provider statunitensi l’obbligo di concedere accesso ai dati richiesti dalle autorità federali, a prescindere dalla loro localizzazione fisica. Tale atto consente al governo statunitense di acquisire informazioni custodite nei data center delle Big Tech, a prescindere dalla loro collocazione geografica.
Come garantire la sicurezza delle tue reti Wi-Fi? Ecco i sistemi crittografici più utilizzati oggi
La natura giuridica delle infrastrutture digitali adottate dalle istituzioni europee non consente un controllo effettivo sulle modalità di accesso ai dati.
Il principio di sovranità digitale, privo di un’infrastruttura autonoma, si riduce a un formalismo privo di contenuto.
L’assenza di una politica comune per l’indipendenza tecnologica vincola gli Stati membri a una condizione di subalternità che incide sulla capacità di garantire il diritto alla protezione dei dati e la sicurezza delle informazioni strategiche.
L’interferenza normativa statunitense produce un duplice effetto: altera l’equilibrio tra ordinamenti giuridici e priva le istituzioni europee del controllo effettivo sui propri dati.
L’audit della Corte dei Conti olandese ha confermato che l’infrastruttura digitale ministeriale risulta vulnerabile, poiché soggetta a normative estranee al diritto dell’Unione.
Il problema non riguarda soltanto la protezione dei dati personali, ma investe la sicurezza della funzione pubblica, rendendo ogni attività amministrativa esposta al rischio di accesso da parte di attori esterni.
L’audit della Corte dei Conti dei Paesi Bassi
L’audit della Corte dei Conti dei Paesi Bassi ha fornito un’analisi dettagliata della dipendenza tecnologica del governo olandese dalle infrastrutture cloud statunitensi, esponendo una vulnerabilità che travalica la mera questione tecnica e investe la sfera della sovranità giuridica e della sicurezza nazionale.
La relazione dell’organo di controllo ha constatato che le amministrazioni pubbliche olandesi operano su piattaforme di proprietà di Microsoft, Google e Amazon, aziende sottoposte alla legislazione statunitense e vincolate, in particolare, alle prerogative di accesso ai dati stabilite dal Cloud Act.
La fragilità del sistema
La valutazione dell’audit ha posto l’accento sulla fragilità strutturale di un sistema che affida la gestione delle informazioni governative a soggetti privati operanti sotto la giurisdizione di un ordinamento extraeuropeo.
L’assenza di un’infrastruttura digitale autonoma ha generato un modello di dipendenza che non concede agli organi statali la possibilità di esercitare un controllo effettivo sulla disponibilità e sull’integrità dei propri dati.
La Corte dei Conti olandese ha segnalato che le amministrazioni governative non dispongono di protocolli adeguati per prevenire il rischio di accesso non autorizzato ai dati pubblici, né di strumenti per impedire l’interruzione unilaterale dei servizi cloud in caso di mutamenti normativi o politici.
La sicurezza operativa della PA
Il problema non riguarda esclusivamente la protezione dei dati personali, ma si estende alla sicurezza operativa della pubblica amministrazione.
L’audit ha rilevato che l’interruzione improvvisa dell’accesso ai servizi cloud potrebbe paralizzare interi settori dell’apparato statale, con conseguenze dirette sull’erogazione dei servizi essenziali alla cittadinanza.
La continuità operativa dell’amministrazione pubblica olandese, secondo la relazione della Corte, dipende integralmente dalla stabilità delle piattaforme cloud statunitensi e dalle decisioni assunte dalle aziende fornitrici.
La conformità con il GDPR
L’audit ha inoltre posto in rilievo il problema della conformità con la normativa europea sulla protezione dei dati.
Il GDPR sancisce il principio di limitazione dei trasferimenti di dati verso Paesi terzi, imponendo condizioni rigorose per l’affidamento di dati personali e sensibili a soggetti extraeuropei.
La Corte dei Conti olandese ha constatato che il governo, nell’adottare servizi cloud statunitensi, si è vincolato a clausole contrattuali che potrebbero risultare incompatibili con i principi stabiliti dal diritto dell’Unione.
L’inchiesta ha evidenziato che, pur essendo formalmente rispettati i requisiti di adeguatezza e sicurezza stabiliti dai fornitori cloud, il rischio giuridico legato all’accesso ai dati da parte delle autorità statunitensi persiste, poiché le aziende fornitrici restano obbligate a conformarsi alle richieste delle agenzie governative Usa.
Sospese le migrazioni di dati governativi verso il cloud
Di fronte a tale scenario, il governo olandese ha adottato un atteggiamento prudente, ordinando la sospensione della migrazione di ulteriori dati governativi verso il cloud.
Questa decisione, maturata nel dicembre scorso, ha costituito un riconoscimento implicito della criticità della situazione e della necessità di un riesame delle politiche di affidamento delle infrastrutture digitali statali.
Tuttavia, il rapporto dell’audit nazionale ha sottolineato che l’assenza di un’alternativa tecnologica europea non consente, nell’immediato, di affrancarsi dalla dipendenza dalle Big Tech statunitensi, con la conseguenza di un ulteriore consolidamento della condizione di subalternità tecnologica delle istituzioni pubbliche.
Il primato del diritto
L’architettura istituzionale dell’Unione Europea si fonda sul primato del diritto quale strumento di regolazione del potere.
Ogni costruzione giuridica priva di un’infrastruttura tecnologica autonoma, tuttavia, si risolve in un formalismo incapace di garantire l’effettività delle prerogative sovrane.
L’asimmetria tra il controllo normativo europeo e la dipendenza tecnologica dagli Stati Uniti incide sulla sostanza della potestà pubblica, poiché attribuisce a soggetti privati e a ordinamenti esterni il dominio sulle informazioni strategiche degli Stati membri.
Il diritto alla protezione dei dati personali, sancito dall’art. 8 della Carta dei Diritti Fondamentali dell’Ue, si fonda sul presupposto dell’inviolabilità delle informazioni sensibili e sul principio di autodeterminazione informativa.
Il trattamento dei dati da parte di soggetti privati vincolati a ordinamenti extraeuropei introduce un margine di incertezza che priva il cittadino della garanzia di un controllo esclusivamente europeo sui flussi informativi.
La normativa statunitense, non vincolata ai parametri di tutela stabiliti dal GDPR, non offre assicurazioni circa la finalità e la durata dell’accesso ai dati richiesti dalle agenzie governative.
Il principio di autonomia digitale
Il principio di autonomia digitale, espresso nella giurisprudenza della Corte di Giustizia dell’Unione Europea, non trova applicazione concreta in un contesto in cui il controllo infrastrutturale è accentrato nelle mani di soggetti extraeuropei.
Il carattere vincolante della normativa europea sulla protezione dei dati risulta inefficace quando le piattaforme che gestiscono le informazioni pubbliche operano secondo regimi giuridici estranei.
La dipendenza dalle Big Tech non si riduce a un problema di politica industriale, ma investe la stessa configurazione del rapporto tra diritto e tecnologia, poiché priva gli Stati membri della possibilità di disciplinare in modo autonomo l’uso delle proprie risorse digitali.
Quanto è sicura la tua linea di produzione? Scopri se è a prova di attacco cyber
