Alla fine lo scontro, seppure velato, c’è stato.
Palcoscenico del confronto la platea del Cloud Forum 2011, organizzato lo scorso 29 marzo a Milano da Innovation Group: Francesco Pizzetti versus Luca Giuratrabocchetta, il Garante della privacy contro Google. “Noi giuristi siamo sempre un po’ esagerati, forse anche estremi, nelle nostre argomentazioni. D’altra parte, il nostro compito è proprio quello di mettere in guardia l’opinione pubblica sui rischi legati all’arrivo delle novità” ha esordito il responsabile dell’Autorità. Oggetto dell’ammonimento di Pizzetti le tecnologie del cloud computing, salutate da più parti al convegno come l’asset che potrebbe finalmente aiutare le imprese a innescare la ripresa, grazie alle capacità della nuvola di adattarsi alla flessibilità e alla variabilità che oggi il business richiede, ma su cui, secondo Pizzetti, “l’attenzione agli aspetti di gestione e sicurezza dei dati da parte degli stakeholders non è ancora sufficiente”.
Del resto, il Garante in sala non ha cercato capri espiatori, e tra i principali responsabili dell’attuale situazione di stallo sul fronte della regolamentazione ci ha messo, appunto, il legislatore.
“E’ noto a tutti, ormai, che la tecnologia va più veloce di quanto i tempi di percezione e reazione degli organismi normativi siano in grado di fare – ha spiegato il giurista -. Basti pensare che la normativa europea sul trasferimento dei dati risale al 1995, e che l’ultimo grande accordo internazionalmente condiviso, la Wto, è addirittura antecedente, del 1992. L’incapacità del legislatore di stare dietro a un mondo che in meno di un ventennio si è radicalmente trasformato ha creato dunque un vuoto normativo in cui tutti hanno cominciato a fare tutto. Una specie di terra di nessuno in cui, oggi, si muove anche il cloud”.
Pizzetti, in particolare, ha fatto riferimento a un’evidenza “macroscopica, di cui nessuno però sembra tenere conto: ovvero, il fatto che già solo la mancanza di garanzie precise rispetto ai soggetti che si occupano della protezione dei dati del cliente durante il trasferimento sulla banda di rete rappresenta, per la legge italiana, una violazione della privacy”. Ancora, il Garante ha insistito sulle criticità che la mancata conoscenza della localizzazione precisa dei server per la conservazione dei dati comporta a livello non solo di sicurezza, ma anche di inquadramento normativo. “Se non so dove sta il server, applico le leggi comunitarie o quelle statunitensi?” si è chiesto Pizzetti.
Troppo perché Google, presente in sala con il country manager della divisione Enterprise Luca Giuratrabocchetta, non si sentisse chiamata direttamente in causa: “Pur condividendo in linea di massima le osservazioni del Garante, dal momento che i problemi apportati da quello che a tutti gli effetti è un nuovo paradigma tecnologico sono sotto gli occhi di tutti, non mi sento di affermare che ci troviamo nel Far West delle regole. Vorrei ricordare, infatti, che gli operatori del cloud sono sottoposti a delle rigide procedure di certificazione per la sicurezza, sottoscritte sia dagli Usa che dall’Ue, e che le garanzie offerte da un server fisico e di collocazione certa non sono maggiori di quanto messo a disposizione dalla Rete. Ci siamo forse dimenticati che cosa è accaduto ai datacenter del Pentagono negli Stati Uniti l’11 settembre? D’altra parte, diversi enti della Pa ci hanno già affidato la gestione in remoto dei dati di migliaia di cittadini, e credo che questo sia un punto a favore importante per il modello di business del cloud”.
