Gaia-X è un progetto nato alla fine di ottobre del 2019 da un’idea dei governi tedesco e francese che mira alla sovranità digitale dei dati in Europa. Un’infrastruttura comune made in Europe, intesa non come unico data center ma come rete di servizi diversi in un regime di libera e trasparente concorrenza che possa arginare l’oligopolio dei giganti del cloud service mondiale.
Anche le aziende europee infatti si affidano fino a questo momento ad Amazon Web Services, a Microsoft e a Google per la gestione dei propri dati. Si rendeva necessaria, quindi, a detta del Ministro dell’Economia tedesco Peter Altmeier, un’iniziativa federata europea che svincolasse i dati dal dominio USA e quello cinese (Alibaba è al quarto posto tra i fornitori di cloud service globali).
A novembre del 2020 sono 25 gli stati che sono entrati a far parte del progetto, circa 159 le aziende, tra cui Bosch, BMW, CISPE, DE-CIX, Deutsche Telekom, e 28 le società italiane che hanno sposato quest’avventura dietro l’entusiasmo del Ministro per l’Innovazione italiano Paola Pisano che ha parlato di “autonomia digitale” e “indipendenza” dell’Europa per quel che riguarda la gestione dei dati.
Le parole chiave di Gaia X, nonché i suoi intenti, sono proprio apertura, trasparenza, interoperabilità e capacità di connessione fra i Paesi dell’Unione.
Ma dati europei restano “affari” degli Usa
Ma perché la necessità impellente di un’infrastruttura del genere che “competa” – ammesso che ciò sia possibile – con i grandi colossi americani Amazon Web Service, Azure, Google? Se l’idea era stata presentata nel 2019, l’urgenza ora si deve leggere anche in relazione alla pandemia. A dare una spinta al progetto è stata proprio la nascita di un Health Data Hub francese, una banca dati sanitaria nazionale. L’autorità per la regolamentazione dei dati francese ha però fortemente raccomandato ai gestori dell’hub di non affidarsi a servizi di cloud americani per via delle regole volute nel 2018 dal presidente Donald Trump in materia di protezione dei dati. Il riferimento è probabilmente al privacy shield, ovvero l’accordo siglato nel 2016 (quindi durante l’amministrazione Obama) con la Commissione europea per il trasferimento di dati personali dei cittadini europei verso gli Stati Uniti.
Quello che si disse all’indomani di Cambridge Analytica, cioè lo slogan “data rights are human rights” non è così storicamente condiviso dalla legislazione USA in cui c’è infatti meno attenzione al dato personale dal punto di vista del privato: molte più regole si sviscerano invece per quel che riguarda diritti e obblighi per le aziende. Il “lato utente” è piuttosto lasciato al caso se si considera che non esiste il diritto alla cancellazione, all’oblìo, alla portabilità e che nel caso di trasferimento dei propri dati ai servizi di intelligence o alle autorità la notifica del procedimento può (e non deve) essere data solo nel caso in cui non contrasti con il procedimento in corso. Una “portata extraterritoriale dei poteri” secondo l’European Data Protection Board, che infatti ha messo in guardia dai potenziali impatti dell’US Cloud Act sul nostro GDPR in una lettera del 10 luglio 2019 a seguito di un’interrogazione della Commissione per le libertà civili del Parlamento europeo.
Una contrapposizione, quella tra gli standard USA e l’Europa in materia di privacy di cui anche gli Stati Uniti sono ben a conoscenza, quantomeno i più illuminati o interessati ad avere rapporti con l’Europa. A un anno dall’entrata in vigore del GDPR, infatti, un avvocato di Microsoft ha chiesto al Congresso degli Stati Uniti di adottare una serie parallela di leggi federali sulla privacy in stile UE. I primi effetti si cominciano a vedere: la California ha da poco approvato il California Consumer Privacy Act (CCPA) e questo fa prospettare una frammentazione futura della policy, lì dove le leggi federali non soddisfano completamente i bisogni delle grandi aziende tecnologiche.
Non è infatti solo una spinta etica: adeguarsi al sistema europeo e quindi avere requisiti comuni permette di snellire le procedure e i costi e aumentare l’interoperabilità con tutta Europa.
Insomma, le società di servizi cloud lo sanno bene, ma la strada da fare è ancora lunga e non è detto che sia destinata ad accorciarsi con l’amministrazione Biden.
La sovranità della privacy
Sembrava che la nuova nuvola d’Europa avrebbe tenuto i dati europei al sicuro da ingerenze americane nella condivisione di regole, valori, regolamentazioni comuni, come da intento primario e invece pare non sia proprio così. A bordo di Gaia X, infatti, salgono anche Amazon, Microsoft, Google nonostante i diversi dubbi sull’incompatibilità della sicurezza e della privacy. Pare che Microsoft dopo un primo momento di scetticismo e di incertezza – sosteneva infatti che non si dovesse concepire la sovranità dei dati lungo i confini territoriali – ha accettato di buon grado di farne parte.
Al Gaia X Summit di novembre 2019, infatti, Casper Klynge, vicepresidente per gli Affari istituzionali di Microsoft in Europa, ha annunciato la partecipazione del colosso americano con un discorso in cui si prospetta collaborazione e crescita e in cui sottolinea il contrasto tra le infrastrutture ormai passate e le nuove soluzioni tecnologiche all’altezza degli standard europei che Microsoft può fornire. Si dice, sempre nel discorso di insediamento, “molto entusiasta delle regole sulla privacy europee”, impegnandosi a proporre “nuove protezioni per il settore pubblico e per le aziende clienti che dovranno trasferire dati dall’Europa” – una protezione che riguarda le richieste di dati da parte delle istituzioni.
Buoni i propositi, quindi, ma che non fugano i dubbi. Nel 15% del mercato che Microsoft copre come fornitore di servizi cloud c’è infatti anche il Dipartimento della Difesa americano: un recente contratto da 10 miliardi di dollari per il progetto JEDI (Joint Enterprise Defense Infrastructure), piano di cloud computing per l’elaborazione di dati, servizi di intelligenza artificiale in guerra, e in generale per un riammodernamento digitale del Pentagono che Microsoft si è aggiudicata contro Amazon, scartata in modo presumibilmente illecito per via degli attriti tra quest’ultima e l’amministrazione Trump. Senza contare i precedenti ben noti di cui Microsoft si è resa protagonista ormai 7 anni fa con l’NSAgate.
E, zitta zitta, è arrivata anche Palantir
Attualmente, piuttosto, la “minaccia” più sentita per il cloud europeo è Palantir, società di data analysis fondata da Peter Thiel, già co-fondatore di PayPal nonché endorser di Trump (nonché, peraltro, tra i primi investitori di Facebook). Palantir, che dal 2003 lavora nel campo dei big data e collabora soprattutto con governi e agenzie di intelligence, a nell’autunno 2020 viene quotata in Borsa, nella sua non sempre limpida trasparenza vanta collaborazioni prestigiose, in primis la CIA.
È del 20 dicembre la notizia che Palantir prenderà parte a Gaia X. La convivenza tra le normative europee e la cultura aziendale di Palantir è una sfida “culturale” prima ancora che tecnologica, e non sfugge affatto alla società di governance dei dati che dedica al nuovo progetto un post sul proprio blog in cui considera prioritaria “la fiducia del cliente per quel che riguarda lo scambio di informazioni e la collaborazione”.
Nell’aprile dello scorso anno Palantir aveva iniziato le trattative con Francia, Germania, Svizzera e Austria per piazzare i suoi software, in grado di contrastare la diffusione del Covid-19 tramite un tracciamento mirato della popolazione e del virus e informazioni previsionali per gli approvvigionamenti e la crisi degli ospedali. Ad oggi le trattative con i paesi europei sono state interrotte, mentre è in corso quella con il Regno Unito per il tracciamento della diffusione della pandemia.
Si è narrato di un incontro a Davos nel gennaio 2020 tra la Presidente Ursula Von Der Leyen e il CEO di Palantir, Alex Karp, del quale – nonostante le richieste di chiarimenti degli eurodeputati – non è rimasta traccia.
Stabilire le regole del gioco
Non mancano alcune domande. Su tutte, a che pro l’Europa, e in particolare la Germania, la nazione più attenta e granitica nell’ambito normativo della protezione dei dati, accoglie Palantir nel proprio tentativo di data-sovereignty (la “sovranità dei dati”, ovvero l’idea che i dati siano soggetti alle leggi e alle strutture di governance all’interno della nazione in cui vengono raccolti, ndr)?
E ancora, perché il servizio di “empowering” per l’Europa deve comunque venire dalle grandi società oltreoceano (ovvero Microsoft, Palantir, Amazon, Google, eccetera)? Perché non si può competere, certo. E per l’interoperabilità. Ma a molti comunque non basta per fugare tutti i dubbi sulla sicurezza.
Ci si chiede infatti a quali regole dovranno sottostare e quali accordi l’Europa dovrà stipulare per farli omologare al trattamento europeo dei dati personali. Di sicuro un percorso normativo lungo, mentre è chiaro che tutti i paesi europei, in tempo di pandemia, avrebbero bisogno di far sentire sicuri i dati medici – i nostri dati più “sensibili” – all’interno di database interni e protetti.
Angela Galloro
Tutto quello che leggi, vedi e ascolti su Italia2030 è gratis, ma non sarà così per sempre. Iscrivendoti oggi alla nostra newsletter ti garantisci la possibilità di continuare ad accedere gratuitamente ai nostri migliori contenuti. Non ti invieremo mai spam.
