Il 15 febbraio, come leggiamo dal bollettino del Garante della Privacy, è partita la prima indagine coordinata del Comitato europeo per la protezione dei dati personali (Edpb). Si tratta di 22 autorità nazionali di controllo del See (lo Spazio economico europeo), compreso il Garante della privacy italiano, che verificheranno l’utilizzo di servizi cloud da parte dei soggetti pubblici.

Il tema del cloud dunque, come abbiamo più volte sottolineato, è uno degli elementi centrali nell’attuazione dei piani del Pnrr ed è tema che coinvolge tutto il continente, tanto da attivare e potenziare la cooperazione tra le autorità di controllo europee. Sappiamo che l’accelerazione impressa alla trasformazione digitale dalla pandemia da Covid ha indotto, ancor prima del Next Generation Eu, a implementare modelli di cloud fino ad arrivare, con il Pnrr, alla definizione di un polo strategico nazionale che custodisca e gestisca in quattro data center alcuni dei dati più rilevanti prodotti nel rapporto dei cittadini con la pubblica amministrazione.

Tuttavia il Garante rileva come “risulta spesso complesso per le pubbliche amministrazioni ottenere prodotti e servizi Ict che siano in linea con le norme Ue sulla protezione dei dati”. Questa la banale constatazione alla base dell’atto di indagine congiunta, tramite cui “le autorità di controllo intendono pertanto verificare il rispetto del Gdpr, nonché promuovere le migliori prassi per garantire un’adeguata protezione dei dati personali”.

Entro la fine del 2022 avremo la possibilità di leggere il report con gli esiti di questa indagine. Intanto abbiamo ancora necessità di comprendere come si integrerà il progetto di cloud italiano con quello europeo, GaiaX, e quale sarà il rapporto tra noi e le big tech. La gestione dei dati della Pubblica amministrazione italiana, secondo alcuni commentatori, sarà probabilmente affidata per più di un decennio (13 anni) al consorzio formato da Tim, Cassa depositi e prestiti, Leonardo e Sogei, seppure ad oggi sia in corsa anche un secondo consorzio formato da Aruba e Fastweb.

Aruba è un cloud provider italiano che aveva provato a presentare una prima offerta insieme ad Almaviva, anch’essa italiana, per poi convergere su un alleanza con Fastweb. Ciò che però va ben specificato è che alcune di queste grandi aziende utilizzano tecnologie “made in Usa”. La prima cordata ad esempio si servirebbe dei servizi cloud di Google, Microsoft ed  Oracle.

Con il decreto Ucraina anche il cloud rientra tra gli asset considerati strategici e dunque è soggetto alla golden power. Intanto ricordiamo i tempi di realizzazione e le quantità economiche destinate alla  realizzazione del cloud italiano: al 31/12/2022 il Psn dovrà essere completato e dal 30 giugno 2026 almeno 280 pubbliche amministrazioni dovranno essere migrate al cloud.

 Ai 900 milioni, destinati alla costruzione e gestione del Polo strategico nazionale, il Pnrr aggiunge un miliardo di euro per incentivare la migrazione dei dati sul cloud. Ora, non sfugge a nessuno che il mercato del cloud è in enorme espansione e che già oggi Amazon gestisce un terzo di tutto il traffico dati del pianeta, Microsoft circa un quarto e Google “ solo” il 10%.

Dunque sono i grandi della Silicon Valley ad avere le soluzioni tecnologiche più testate e diffuse per realizzare e gestire l’infrastruttura e proprio su queste continuano ad investire, perché la tecnologia ha bisogno di enormi quantità di dati e allora il cloud diventa il punto di snodo fondamentale per ogni possibile nuova implementazione. L’Europa non è affatto inconsapevole del ruolo che si gioca esercitando o meno la sovranità sui dati e dunque la modalità di governo del data sharing sta assumendo le caratteristiche di una discussione di natura non solo economica e legale ma persino geopolitica.

Intanto si continua a lavorare per rendere inter-operabili le infrastrutture cloud europee mentre, dall’altra sponda dell’oceano, i gatekeeper del software continuano ad aumentare gli investimenti in territorio europeo proprio come partners dei soggetti coinvolti nella costruzione del cloud. Oggi negli Usa non esiste una legge federale sulla protezione dei dati ed abbiamo già scritto che non sembrano esservi validi baluardi alla possibilità che, con normative come il cloud act, Fisa 702 o EO 12333, che obbligano le aziende americane che operano all’estero a cedere i dati dei loro clienti ai servizi Usa, il governo americano possa entrare in possesso dei dati allocati nei data center situati in Europa.

 Il 25 marzo la Commissione europea e la presidenza degli Stati Uniti hanno comunicato la conclusione di un accordo transatlantico che dovrebbe costituire una base di legittimazione per i flussi di dati personali trans frontalieri e introdurre un obbligo per gli Stati Uniti di attuazione di riforme, che rafforzerebbero la protezione della privacy dei cittadini e delle cittadine europee dalle attività di intelligence statunitensi. Il trattato non è ancora legge e dovremmo capire se davvero impedirà incursioni esterne nei dati europei. Di certo vorremmo che il ministro dell’Innovazione ci illustrasse con maggiore chiarezza come pensa di impostare la sicurezza dei contenuti della “ nuvola” nostrana, specie nelle more di eventuali norme transfrontaliere a difesa dei nostri dati, senza sottrarsi, insieme a tutta la compagine governativa, ad un ragionamento sul tema dei dati come beni comuni. E insieme a questo dovrebbe esprimere con maggiore chiarezza, magari di concerto con il ministro competente, che idea abbia di innovazione digitale in ambito culturale.

Un capitolo presente nel Pnrr che più volte abbiamo commentato e contestato, chiedendo con forza l’investimento e il rafforzamento delle eccellenze italiane, nello specifico della concessionaria del servizio pubblico, la Rai. Invero siamo ancora alla piattaforma ITsART del ministro Franceschini, che ha già cambiato tre amministratori delegati e che ha contenuti spesso sovrapponibili con altre piattaforme gratuite, come ad esempio Raiplay. E mentre non leggiamo nulla del potenziamento della piattaforma digitale pubblica, in merito alla Rai scopriamo, con un certo sconcerto, che il governo ha deciso di permetterle di rinunciare al 51% di proprietà della società delle torri di trasmissione (Raiway).

A proposito di tutela del patrimonio pubblico, ecco un’azienda infrastrutturale che certamente risulterà appetibile per la società privata delle torri di Mediaset, Ei Towers, a sua volta posseduta al 60% dal gruppo F2i, e al 40% da MediaForEurope (Mfe), il nuovo nome di Mediaset. 

Dunque le domande per noi sono sempre le medesime riguardo a progetti, investimenti, costruzione di sistemi, infrastrutture, dati. Qual è il ruolo del pubblico? Quali le garanzie e i vantaggi per cittadini e cittadini? Quale la valorizzazione degli asset strategici del Paese? Quale l’idea che questo governo ha dei beni comuni che, richiamando Stefano Rodotà, sono esattamente l’opposto della proprietà privata? I nostri dati possono essere qualificati beni comuni, di proprietà collettiva e uso civico?

Non pensiamo sia azzardato continuare a insistere su punti qualificanti della ricostruzione di un modello sociale ed economico che metta al centro gli interessi della collettività e insistiamo nel chiedere un confronto, vero e preventivo, che faccia chiarezza sulla governance pubblica delle infrastrutture materiali e immateriali, intese come opere pubbliche, sulla necessaria governance pubblica della raccolta dei dati e delle informazioni, sul ruolo che si vuole riconoscere alle aziende pubbliche o a partecipazione pubblica. Non ci saranno molte altre occasioni di utilizzare fondi ingenti come quelli previsti dal Next Generation Eu, ma il come si vuole disegnare la società per la prossima generazione deve determinare e qualificare il quanto si investirà.