Quando spieghi la sovranità dei dati a un tecnico, parli di architettura. Quando la spieghi a un CFO, devi parlare di rischio e di contratto. Ecco la versione che funziona in consiglio, senza una sola parola tecnica di troppo.
01Cos'è, in una frase
Il Cloud Act è una legge americana del 2018. Dice una cosa sola, ma pesante: un'autorità statunitense può obbligare un fornitore americano a consegnare i dati dei suoi clienti, ovunque quei dati si trovino fisicamente. Anche in Europa.
Non è una clausola nascosta. È legge federale, scritta nero su bianco. E vale per qualsiasi azienda soggetta alla giurisdizione USA, indipendentemente da dove ha i server.
02Perché il contratto non ti salva
Questa è la parte che fa alzare il sopracciglio ai CFO, ed è la più importante. Puoi avere il miglior contratto del mondo, il miglior accordo sul trattamento dei dati, le clausole standard approvate dalla Commissione Europea. Non cambia niente.
Un contratto privato regola un rapporto tra due parti. Non può derogare a una legge dello Stato a cui una delle parti è soggetta. Quando arriva l'ordine giudiziario americano, il fornitore sceglie tra rispettare la legge USA o quella europea. Sceglie quella che lo manda in prigione se la viola. E quella è la legge americana.
03"Ma i miei dati sono in un datacenter in Germania"
È l'obiezione numero uno, e si capisce perché. I grandi fornitori americani hanno regioni europee, datacenter a Francoforte, ad Amsterdam, a Milano. Ti dicono "i tuoi dati restano in Europa", ed è vero, fisicamente.
Ma la posizione fisica del disco non conta. Conta chi controlla l'azienda che gestisce quel disco. Se è una società americana, o una controllata europea di una società americana, il Cloud Act si applica. Il dato è in Germania, l'obbligo di consegna resta.
04Quando questo è un problema reale
Onestamente: non sempre lo è. Se gestisci un catalogo di e-commerce pubblico, il Cloud Act è un rischio teorico. Diventa concreto quando i dati hanno un valore che qualcuno potrebbe voler vedere senza chiedertelo:
- Pubblica amministrazione: atti, comunicazioni di giunta, dati dei cittadini.
- Sanità: dati clinici, ricerca, cartelle.
- Industria con proprietà intellettuale: progetti, brevetti in lavorazione, processi produttivi.
- Studi professionali: dossier legali, dati fiscali dei clienti.
In questi casi il rischio non è ipotetico. È una vulnerabilità strutturale che nessun firewall chiude, perché non è un problema tecnico. È un problema di giurisdizione.
05La soluzione non è tecnica, è strutturale
Per stare fuori dal perimetro del Cloud Act serve che chi gestisce i dati non sia soggetto alla giurisdizione americana. Punto. Società europea, controllo europeo, nessun accordo con fornitori USA a monte della catena.
È il motivo per cui ogni byte dei nostri clienti vive in Europa, gestito da una società europea. Non è una scelta di marketing. È l'unico modo perché la frase "i tuoi dati sono al sicuro da ingiunzioni straniere" sia vera e non solo scritta in una brochure.