Contents
- Che cos’è la sovranità digitale dell’UE?
- Quali leggi e politiche dell’UE regolano la protezione dei dati e la sovranità digitale dell’Unione?
- Quali sono le implicazioni pratiche per i flussi transfrontalieri di dati e la giurisdizione?
- In che modo le imprese dovrebbero adeguarsi ai requisiti di sovranità digitale dell’UE?
- Quali controlli tecnici e infrastrutture digitali supportano la gestione dei dati in linea con le norme UE?
- In che modo le organizzazioni possono valutare i fornitori di servizi cloud per la conformità alla sovranità digitale dell’UE?
- In che modo le organizzazioni possono sostenere la sovranità digitale dell’UE con soluzioni sicure di backup e governance dei dati come Bacula Systems?
- Dove si collocano la protezione dei dati, il backup e il ripristino in tutto questo?
- Quali sono i rischi e le tendenze in materia di applicazione delle norme che vale la pena tenere a mente?
- Domande frequenti
Che cos’è la sovranità digitale dell’UE?
La sovranità digitale nel contesto dell’Unione Europea si riferisce alla capacità dell’Europa di gestire autonomamente i propri dati, le proprie tecnologie e le proprie infrastrutture digitali senza dipendere da potenze straniere o da piattaforme di terzi. Il concetto, nato come ambizione politica, è oggi una realtà normativa a tutti gli effetti che determina il modo in cui le imprese operanti nell’UE devono considerare la governance dei dati, i servizi cloud e le partnership tecnologiche.
Come viene definita la “sovranità digitale” nell’ambiente digitale dell’UE?
La sovranità digitale dell’UE è la capacità delle istituzioni europee, degli Stati membri e delle organizzazioni di esercitare un controllo autonomo sui sistemi digitali, sui flussi di dati e sulle tecnologie digitali sottostanti. Questo termine racchiude una vasta gamma di questioni: dove vengono archiviati i dati, chi può accedervi, quali quadri giuridici ne regolano l’uso, in che misura le economie europee dipendono da fornitori di tecnologia stranieri e molte altre.
Questa definizione non è nemmeno legata a un singolo regolamento specifico. La sovranità digitale è diventata un tema importante che funge da concetto generale a guida di un segmento crescente della legislazione dell’UE – che comprende già il GDPR, il Data Governance Act e l’EU Data Act. Questi tre esempi affrontano le rispettive dimensioni del controllo digitale e dell’autonomia dei dati.
In che modo la sovranità digitale dell’UE influisce sulla sfera digitale dell’Unione Europea?
Il 3 giugno 2026 l’UE ha pubblicato il proprio Pacchetto sulla sovranità tecnologica europea, che delinea un cambiamento nell’approccio dell’Europa ai propri ecosistemi tecnologici. Un modo per considerare la sovranità digitale è quello di vederla come un insieme di linee guida (o addirittura di regole) che modifica le condizioni di gioco per quanto riguarda il modo in cui le imprese possono operare nella sfera digitale europea, influenzando le modalità di raccolta, trattamento, conservazione e trasferimento dei dati.
Le organizzazioni che trattano dati personali e/o servizi designati come critici sono soggette a iniziative improntate alla sovranità all’interno dell’UE, che includono:
- Considerazioni sulla residenza dei dati
- Restrizioni sui trasferimenti di dati verso paesi terzi
- Obblighi di trasparenza in materia di trattamento dei dati
Questi fattori interesseranno quasi tutte le organizzazioni, sia private che pubbliche. La sovranità digitale nell’UE influenza le decisioni di appalto a livello istituzionale, nonché la creazione di un’infrastruttura cloud europea e la concorrenza tra le aziende tecnologiche dell’UE e quelle extra-UE che offrono soluzioni IT nello stesso mercato.
Perché la Commissione europea e gli Stati membri danno priorità alla sovranità digitale dell’UE?
La Commissione europea e gli Stati membri hanno identificato la dipendenza strategica da infrastrutture tecnologiche extra-UE come un rischio economico e di sicurezza. Diversi fattori hanno contribuito a rendere la sovranità digitale una priorità politica:
- Rischio geopolitico – L’eccessiva dipendenza dalle piattaforme tecnologiche statunitensi e cinesi può comportare l’esposizione a legislazioni straniere, come il CLOUD Act statunitense, che può imporre la divulgazione dei dati indipendentemente dal luogo in cui questi sono fisicamente archiviati
- Lacune nella protezione dei dati – Le invalidazioni di trasferimenti di dati di alto profilo, tra cui la sentenza Schrems II, hanno messo in luce i limiti dei precedenti quadri di adeguatezza e hanno innescato una rinnovata urgenza legislativa
- Competitività economica – L’UE mira a sviluppare un’economia digitale sovrana in cui le imprese europee non siano strutturalmente dipendenti da piattaforme straniere per i servizi digitali critici
- Resilienza delle infrastrutture critiche – Gli Stati membri hanno riconosciuto che le infrastrutture digitali – inclusi cloud, comunicazioni e sistemi di dati – costituiscono infrastrutture critiche che giustificano un controllo interno
La pandemia di COVID-19 ha ulteriormente messo in luce quanto le istituzioni europee fossero dipendenti da sistemi digitali controllati dall’estero durante un periodo di grave stress operativo.
In che modo la sovranità digitale dell’UE si collega alla sicurezza informatica, alle infrastrutture critiche e all’economia digitale?
La sovranità digitale dell’UE non è un concetto che opera in modo isolato. In realtà, è direttamente collegata alla politica di sicurezza informatica, alla protezione delle infrastrutture critiche e alle condizioni più ampie dell’economia digitale. La tabella sottostante illustra queste relazioni:
| Dominio | Rapporto con la sovranità digitale dell’UE |
| Sicurezza informatica | La legge UE sulla sicurezza informatica e la direttiva NIS2 stabiliscono requisiti di sicurezza di base per i soggetti che gestiscono sistemi critici, che i quadri normativi in materia di sovranità rafforzano limitando l’esposizione a giurisdizioni extra-UE che potrebbero non soddisfare standard equivalenti |
| Infrastrutture critiche | La politica in materia di sovranità designa alcuni sistemi digitali – tra cui le piattaforme cloud, energetiche, finanziarie e di dati sanitari – come critici, sottoponendoli a requisiti più rigorosi in materia di residenza dei dati e controllo operativo |
| Economia digitale | Il Digital Markets Act e il Data Act mirano a ridurre il controllo esercitato dalle grandi piattaforme extra-UE, creando le condizioni affinché le imprese europee possano operare all’interno di un’economia digitale più competitiva e regolata a livello nazionale |
Tutti e tre i settori sopra citati influenzano e sono influenzati dai requisiti di sovranità; per questo motivo è ormai irrealistico che le imprese li trattino come percorsi di conformità distinti.
Quali leggi e politiche dell’UE regolano la protezione dei dati e la sovranità digitale dell’Unione?
La sovranità digitale dell’UE non è disciplinata da un unico regolamento, ma da un quadro normativo interconnesso che definisce esattamente come i dati debbano essere controllati, condivisi e protetti in tutta l’Unione Europea. È su questi regolamenti e sulle loro interconnessioni che dovrebbe fondarsi la strategia di conformità di un’impresa.
In che modo il Regolamento generale sulla protezione dei dati (GDPR) influisce sul controllo e sul trasferimento dei dati aziendali?
Il principale atto legislativo dell’UE in materia di controllo dei dati personali è il Regolamento generale sulla protezione dei dati (GDPR). Esso sancisce diritti esecutivi a favore delle persone fisiche per consentire loro il controllo sui propri dati personali, imponendo obblighi vincolanti alle organizzazioni che raccolgono, trattano o conservano dati, indipendentemente dal luogo in cui l’organizzazione ha effettivamente sede. Se un’organizzazione tratta i dati personali di persone fisiche nell’UE, essa diventa immediatamente soggetta al GDPR, indipendentemente dall’ubicazione dell’organizzazione stessa.
Il GDPR impone condizioni rigorose ai trasferimenti transfrontalieri di dati, affrontando una delle preoccupazioni centrali della sovranità digitale dell’UE. Per le organizzazioni che trasferiscono dati personali verso un altro paese situato al di fuori dello Spazio economico europeo, è possibile utilizzare uno dei seguenti meccanismi di trasferimento legalmente riconosciuti:
- Decisioni di adeguatezza – Una determinazione della Commissione europea secondo cui un paese terzo garantisce una protezione dei dati equivalente, il che consente il libero flusso di dati senza ulteriori garanzie
- Clausole contrattuali standard (SCC) – Clausole contrattuali pre-approvate che vincolano entrambe le parti a protezioni equivalenti a quelle del GDPR, indipendentemente dalla legislazione nazionale del paese di destinazione
- Norme aziendali vincolanti (BCR) – Quadri interni che consentono alle organizzazioni multinazionali di trasferire dati tra le proprie entità in paesi terzi in base a un’unica politica approvata
In che modo il Digital Services Act (DSA) e il Digital Markets Act (DMA) plasmano l’ecosistema digitale dell’UE?
La combinazione di DSA e DMA afferma l’UE come punto di riferimento normativo nell’ambiente digitale. In questo modo, si crea un sistema in cui le piattaforme extra-UE devono conformarsi alle norme europee, anziché il contrario. Ciascuna di queste leggi affronta una questione specifica nell’ecosistema digitale dell’UE:
| Legge sui servizi digitali (DSA) | Legge sui mercati digitali (DMA) | |
| Ambito di applicazione | Obblighi in materia di responsabilità e trasparenza per le piattaforme online e i motori di ricerca | Obblighi comportamentali per i grandi gatekeeper tecnologici |
| Destinatari principali | Piattaforme online di dimensioni molto grandi operanti nell’UE, indipendentemente dalla loro origine | Piattaforme designate come gatekeeper, prevalentemente società non UE |
| Rilevanza in termini di sovranità | Sottopone le piattaforme straniere a norme UE applicabili come condizione per l’accesso al mercato | Affronta direttamente la dipendenza strutturale dalle piattaforme extra-UE imponendo l’interoperabilità e limitando l’autopreferenza |
In che modo l’EU Data Act e il Data Governance Act disciplinano l’utilizzo dei dati nell’Unione europea?
Sia l’EU Data Act che il Data Governance Act operano in sinergia per creare un’economia dei dati europea che operi sotto l’autorità giuridica dell’Unione europea. Il DGA definisce l’infrastruttura di fiducia, mentre l’EU Data Act amplia i diritti di accesso:
| Legge sulla governance dei dati | Legge sui dati | |
| Obiettivo principale | Quadro normativo per intermediari di dati affidabili e riutilizzo dei dati di dominio pubblico | Diritti di accesso e utilizzo dei dati generati da dispositivi e servizi connessi |
| Meccanismo chiave | Organizzazioni di altruismo dei dati e servizi di intermediazione operanti in base a condizioni basate sul consenso | Diritti degli utenti e delle imprese di accedere ai dati generati dai prodotti attualmente controllati dai produttori e dalle piattaforme |
| Rilevanza in termini di sovranità | Crea un’infrastruttura istituzionale per la condivisione dei dati europei sotto la supervisione dell’UE | Contesta il controllo delle piattaforme extra-UE sui dati industriali e dell’IoT, particolarmente significativo nei contesti manifatturieri e operativi |
In che modo il cloud europeo e le iniziative dell’UE in materia di dati influenzano i requisiti di governance dei dati?
GAIA-X rappresenta uno dei principali sforzi europei volti a istituire un’infrastruttura cloud federata e interoperabile, regolata dall’UE e dai suoi standard. Anziché tentare di creare un unico fornitore di servizi cloud europeo, GAIA-X stabilisce le regole che i fornitori di servizi cloud partecipanti devono rispettare (in termini di portabilità dei dati, trasparenza e sovranità).
Il sistema di certificazione UE per la sicurezza informatica dei servizi cloud (EUCS) opera in tandem con GAIA-X attraverso l’istituzione di un quadro di certificazione formale che i fornitori di servizi cloud possono utilizzare per dimostrare la conformità agli standard di sicurezza e sovranità dell’UE – creando un criterio di appalto concreto per le imprese che stanno attualmente valutando i servizi cloud e operano nel territorio dell’UE.
L’iniziativa European Data Spaces estende una logica simile a settori specifici, istituendo ecosistemi di dati settoriali in cui i dati possono essere condivisi tra le organizzazioni secondo le stesse regole di governance dell’UE.
Questa iniziativa ha un’influenza diretta sui requisiti di governance dei dati, definendo gli standard tecnici e giuridici che lo scambio di dati settoriale deve soddisfare, modellando il modo in cui le imprese configurano le proprie infrastrutture di dati e scelgono i propri partner tecnologici.
Quali sono le implicazioni pratiche per i flussi transfrontalieri di dati e la giurisdizione?
Sebbene la prospettiva legislativa della sovranità digitale dell’UE sia essenziale, non è sufficiente così com’è, poiché molte imprese saranno molto più interessate a comprendere cosa richiedono questi quadri normativi nella pratica operativa e giuridica quotidiana. Le implicazioni pratiche di tali quadri ruotano solitamente attorno a tre aree: trasferimenti di dati, rischio giurisdizionale e gestione della conformità.
Come stanno cambiando i meccanismi di trasferimento dei dati, quali le decisioni di adeguatezza e le clausole contrattuali standard?
Il panorama giuridico relativo ai trasferimenti transfrontalieri di dati è cambiato radicalmente dopo che la Corte di giustizia dell’UE ha invalidato il quadro normativo dello Scudo per la privacy nel 2020. Il Quadro UE-USA sulla protezione dei dati (DPF), adottato nel 2023, ha ripristinato i trasferimenti basati sull’adeguatezza per le organizzazioni con sede negli Stati Uniti, a condizione che si autocertifichino nell’ambito del quadro normativo – sebbene la sua stabilità a lungo termine rimanga soggetta a contestazioni legali.
Il Regno Unito ha ricevuto dall’UE una propria decisione di adeguatezza a seguito della Brexit, che consente il proseguimento dei flussi di dati tra l’UE e il Regno Unito nell’ambito del quadro esistente (sebbene anche questa decisione sia soggetta a revisione). Nel 2021 sono state inoltre aggiornate le clausole per riflettere i requisiti post-Schrems II, tra cui le valutazioni d’impatto obbligatorie sui trasferimenti nei casi in cui si ricorra alle SCC.
Lo stato attuale dei principali meccanismi di trasferimento è il seguente:
| Meccanismo | Stato attuale | Considerazioni chiave |
| Decisioni di adeguatezza | Attivo per alcuni paesi selezionati, tra cui gli Stati Uniti (DPF), il Regno Unito e la Svizzera | Soggette a revisione periodica e contestazioni legali; il DPF è oggetto di costante scrutinio |
| Clausole contrattuali standard (SCC) | Sono richieste le versioni aggiornate al 2021; le versioni precedenti non sono più valide | Per i trasferimenti ad alto rischio sono ora richieste valutazioni d’impatto sul trasferimento oltre alle SCC |
| Norme vincolanti d’impresa (BCR) | Valide, ma il loro ottenimento e mantenimento richiedono un notevole impiego di risorse | Particolarmente adatte alle grandi multinazionali con un’infrastruttura legale consolidata |
| Deroghe | Disponibili in circostanze limitate ai sensi del GDPR Articolo 49 | Non idonee come meccanismo di trasferimento primario per trasferimenti continui e sistematici |
Quali rischi corrono le organizzazioni quando si affidano a fornitori di servizi cloud con sede al di fuori dell’UE?
Affidarsi a fornitori di servizi cloud con sede al di fuori dell’UE comporta una serie di rischi legali e operativi cumulativi che i quadri normativi dell’UE in materia di sovranità digitale sono specificamente progettati per affrontare:
- Esposizione al CLOUD Act – I fornitori con sede negli Stati Uniti sono soggetti al CLOUD Act statunitense, che può imporre la divulgazione di dati archiviati in qualsiasi parte del mondo, compresi i data center situati nell’UE, senza che ciò comporti l’attivazione delle procedure di notifica previste dal GDPR
- Conflitti giurisdizionali – I dati archiviati presso fornitori extra-UE possono essere soggetti a leggi straniere in materia di sorveglianza o a richieste di accesso da parte di governi che sono in diretto conflitto con gli obblighi del GDPR
- Instabilità dell’adeguatezza – I trasferimenti basati su decisioni di adeguatezza sono vulnerabili all’invalidazione, come dimostrato dai successivi fallimenti di Safe Harbor e Privacy Shield
- Vendor lock-in – Le architetture cloud proprietarie non UE possono rendere difficile la portabilità dei dati, limitando la capacità di un’organizzazione di migrare verso alternative conformi all’UE
- Lacune in materia di audit e trasparenza – I fornitori non UE potrebbero non offrire il livello di accesso per gli audit, la trasparenza del trattamento o il controllo contrattuale che le autorità di regolamentazione dell’UE si aspettano che le organizzazioni mantengano sui propri responsabili del trattamento
In che modo le imprese possono gestire le sfide relative alla residenza dei dati, alla trasparenza e alla conformità internazionale?
Le sfide relative alla residenza dei dati, alla trasparenza e alla conformità internazionale richiedono tutte un approccio gestionale distinto, anche se condividono una dipendenza comune da solidi controlli contrattuali e da un’accurata mappatura dei dati:
| Sfida | Approccio gestionale |
| Residenza dei dati | Identificare quali categorie di dati sono soggette a requisiti di residenza, configurare l’archiviazione cloud per far rispettare i confini geografici e verificare che i termini contrattuali con i fornitori vietino i trasferimenti transfrontalieri non autorizzati |
| Trasparenza | Mantenere registri aggiornati delle attività di trattamento (RoPA) come richiesto dal GDPR Articolo 30, garantire che gli accordi sul trattamento dei dati con i fornitori specifichino le finalità e le sedi del trattamento e implementare una registrazione che supporti le richieste delle autorità di controllo |
| Conformità internazionale | Effettuare valutazioni d’impatto sui trasferimenti prima di avviare flussi di dati transfrontalieri, selezionare meccanismi di trasferimento adeguati al livello di rischio di ciascun trasferimento e monitorare costantemente lo stato delle decisioni di adeguatezza per tutti i paesi terzi interessati |
In che modo le imprese dovrebbero adeguarsi ai requisiti di sovranità digitale dell’UE?
Processi interni strutturati, quadri di governance chiari e ruoli organizzativi ben definiti sono tutti elementi necessari per soddisfare nella pratica i requisiti di sovranità digitale dell’UE: la semplice conoscenza della normativa non equivale alla conformità. In questa sezione, l’obiettivo principale è quello di esaminare in che modo si concretizza l’adeguamento operativo a livello di gestione dei dati, politiche e struttura dei team.
Quali misure occorre adottare per mappare, classificare e proteggere efficacemente i dati personali?
Sapere quali dati detiene un’organizzazione, dove si trovano e quali responsabilità sono ad essi associate costituisce un insieme di informazioni necessarie per una governance dei dati efficiente. Né la conformità né un’architettura allineata alla sovranità possono essere raggiunte senza queste basi.
I passaggi fondamentali dell’intero processo sono presentati di seguito in ordine sequenziale:
- Effettuare un inventario dei dati – Identificare tutte le risorse di dati personali e sensibili presenti nei sistemi, nelle applicazioni e presso i responsabili del trattamento di terze parti, compresi i dati detenuti dai fornitori di servizi cloud per conto dell’organizzazione
- Classificare i dati in base alla sensibilità e alla categoria normativa – Distinguere tra dati personali generici, dati di categorie particolari ai sensi dell’articolo 9 del GDPR e dati critici dal punto di vista operativo che potrebbero essere soggetti a requisiti di residenza specifici del settore
- Mappare i flussi di dati – Documentare come i dati si spostano tra i sistemi interni, oltre i confini e tra l’organizzazione e i suoi fornitori o responsabili del trattamento
- Identificare le lacune rispetto ai requisiti normativi – Confrontare la mappa dei dati con gli obblighi applicabili, comprese le norme di trasferimento del GDPR, i mandati specifici del settore e gli impegni contrattuali nei confronti dei clienti
- Condurre valutazioni d’impatto sulla protezione dei dati (DPIA) – Per le attività di trattamento che potrebbero comportare un rischio elevato per le persone, il GDPR richiede una DPIA formale prima dell’inizio del trattamento; la mappa dei dati fornisce la base per identificare quali attività soddisfano tale soglia
- Implementare misure di sicurezza tecniche e organizzative – Applicare controlli adeguati a ciascuna categoria di dati, tra cui crittografia, restrizioni di accesso, limiti di conservazione e pseudonimizzazione, ove pertinente
- Mantenere e aggiornare continuamente – Gli inventari dei dati si deteriorano rapidamente; dovrebbero essere in atto processi per acquisire su base continuativa nuove fonti di dati, modifiche ai sistemi e requisiti normativi in evoluzione
Questa base supporta direttamente ogni attività di conformità a valle – dalla conduzione di valutazioni d’impatto sui trasferimenti alla risposta agli audit normativi.
In che modo le organizzazioni possono regolamentare le politiche interne in base alle aspettative normative dell’UE?
Le politiche interne rappresentano l’interpretazione pratica degli obblighi normativi, specificando come il personale, i sistemi e le terze parti debbano gestire i dati nella pratica. Le aspettative normative dell’UE non riguardano solo la disponibilità di politiche scritte: tali politiche devono essere applicate, riviste regolarmente e dimostrabilmente allineate agli attuali obblighi legali.
Le aree politiche più direttamente interessate dai requisiti di sovranità digitale dell’UE includono:
- Conservazione e cancellazione dei dati – Le politiche devono definire i periodi di conservazione per categoria di dati e stabilire processi di cancellazione automatizzati o procedurali che impediscano la conservazione dei dati oltre la base giuridica
- Gestione di terze parti e fornitori – I contratti con i responsabili del trattamento dei dati devono soddisfare i requisiti dell’articolo 28 del GDPR, e i processi di due diligence dei fornitori dovrebbero valutare il rischio di sovranità, non solo la posizione di sicurezza
- Risposta agli incidenti e notifica delle violazioni – Le procedure interne di risposta devono tenere conto del requisito di notifica delle violazioni entro 72 ore previsto dal GDPR e specificare chi detiene l’autorità di notifica
- Formazione e sensibilizzazione dei dipendenti – Le politiche sono efficaci solo se le persone che le attuano comprendono i propri obblighi; una formazione regolare e specifica per ruolo è un requisito normativo dell’UE, non un supplemento facoltativo
- Governance dei trasferimenti transfrontalieri – Dovrebbe esistere un processo documentato per la valutazione, l’approvazione e la registrazione dei trasferimenti transfrontalieri di dati come politica autonoma, separata dalle regole generali di trattamento dei dati
Quale ruolo svolgono i responsabili della protezione dei dati, i team legali e l’IT nella preparazione?
La preparazione alla sovranità digitale dell’UE non è responsabilità di un unico team. Per avere successo è necessario un contributo coordinato da parte delle funzioni legali, tecniche e di conformità. Ciascuna di queste funzioni ha responsabilità distinte:
| Funzione | Responsabilità principali |
| Responsabile della protezione dei dati (DPO) | Vigila sul rispetto del GDPR e delle normative correlate, fornisce consulenza in merito alle valutazioni d’impatto relative alla protezione dei dati (DPIA), funge da punto di contatto principale per le autorità di controllo e gestisce i registri delle attività di trattamento dell’organizzazione |
| Team legale | Negozia e revisiona gli accordi sul trattamento dei dati e i contratti con i fornitori, valuta la validità dei meccanismi di trasferimento, tiene traccia degli sviluppi normativi e gestisce la corrispondenza normativa e le risposte in materia di applicazione |
| IT e sicurezza | Implementa controlli tecnici, tra cui crittografia, gestione degli accessi e configurazioni di residenza dei dati, supporta le attività di mappatura dei dati e garantisce che le scelte infrastrutturali siano in linea con i requisiti di sovranità e sicurezza |
| Alta dirigenza | È responsabile della posizione di conformità, assegna le risorse ai programmi di preparazione e garantisce che le considerazioni relative alla sovranità siano integrate nelle decisioni relative agli appalti e alle partnership |
Quali controlli tecnici e infrastrutture digitali supportano la gestione dei dati in linea con le norme UE?
I quadri normativi e giuridici definiscono i requisiti della sovranità digitale dell’UE, mentre i controlli tecnici determinano se tali requisiti possano effettivamente essere soddisfatti. Le scelte architetturali, le strategie di crittografia e le pratiche di gestione degli accessi sono tutti validi esempi di controlli tecnici che comportano implicazioni normative dirette.
In che modo la crittografia, la pseudonimizzazione e l’anonimizzazione possono aiutare a gestire il rischio normativo?
La crittografia, la pseudonimizzazione e l’anonimizzazione sono spesso menzionate nel GDPR e nei quadri normativi correlati. È importante ricordare che nessuno di questi termini è intercambiabile, poiché ciascuno offre un diverso grado di protezione e comporta conseguenze normative specifiche.
La scelta della tecnica più adeguata per ciascuna categoria di dati è una decisione fondamentale nel campo della gestione del rischio:
| Tecnica | Funzionamento | Rilevanza normativa | Limiti principali |
| Crittografia | Trasforma i dati in testo cifrato illeggibile che richiede una chiave per essere decifrato | Il GDPR riconosce la crittografia come misura di protezione adeguata; la violazione di dati crittografati potrebbe non comportare obblighi di notifica se la chiave non è stata compromessa | Non esclude i dati dall’ambito di applicazione del GDPR: i dati personali crittografati rimangono comunque dati personali |
| Pseudonimizzazione | Sostituisce le informazioni identificative con identificatori artificiali, che possono essere invertiti con i dati di riferimento corretti | Esplicitamente riconosciuta nel GDPR come misura di riduzione del rischio; i dati pseudonimizzati sono soggetti a un controllo normativo ridotto rispetto ai dati direttamente identificabili | Rimangono nell’ambito di applicazione del GDPR; il rischio di reidentificazione deve essere gestito attivamente |
| Anonimizzazione | Rimuove in modo irreversibile tutte le informazioni identificative in modo tale che la reidentificazione non sia ragionevolmente possibile | I dati realmente anonimizzati esulano completamente dall’ambito di applicazione del GDPR, eliminando la maggior parte degli obblighi normativi | Lo standard per una vera anonimizzazione è elevato; i dati anonimizzati in modo inadeguato sono spesso reidentificabili e continuano a essere trattati come dati personali dalle autorità di regolamentazione |
Se utilizzate in combinazione, queste tecniche aiutano le organizzazioni a ridurre l’esposizione normativa in diverse categorie di dati. Ciò include:
- L’applicazione dell’anonimizzazione completa nei casi in cui i dati non debbano più essere collegati a persone fisiche
- La scelta della pseudonimizzazione nei casi in cui il collegamento sia necessario dal punto di vista operativo
- L’utilizzo della crittografia come livello di protezione di base per tutti i dati personali
È importante che le organizzazioni si assicurino che le loro modalità di gestione delle chiavi siano soggette allo stesso livello di controllo in materia di sovranità delle decisioni relative all’archiviazione e al trattamento dei dati.
Quando è preferibile un’architettura ibrida o multi-cloud per questioni di sovranità e servizi cloud?
La scelta di un’architettura cloud per le imprese con sede nell’UE non è puramente tecnica: il luogo in cui i dati vengono trattati e da chi ha conseguenze giuridiche dirette. Un’unica implementazione su cloud pubblico con un fornitore extra-UE potrebbe essere l’opzione più conveniente dal punto di vista operativo, ma introduce anche vari rischi giurisdizionali che le organizzazioni attente alla sovranità si rifiutano sempre più spesso di accettare.
La tabella sottostante illustra le tre opzioni principali in materia di architettura cloud, evidenziandone i vantaggi e i compromessi:
| Architettura | Ideale quando | Vantaggio in termini di sovranità | Compromesso chiave |
| Cloud ibrido | I dati sensibili o soggetti a normative devono rimanere in sede o in un ambiente controllato dall’UE, mentre i carichi di lavoro meno sensibili possono utilizzare il cloud pubblico | Consente un controllo granulare sui dati che escono dall’ambiente governato dall’UE | Maggiore complessità operativa; richiede una chiara classificazione dei dati per applicare i limiti in modo coerente |
| Multi-cloud | Un’organizzazione desidera evitare la dipendenza da un unico fornitore e distribuire i carichi di lavoro su più ambienti cloud | Riduce il vincolo al fornitore e consente la selezione di fornitori conformi alle norme UE per i carichi di lavoro regolamentati | La complessità della governance aumenta in modo significativo; è necessario mantenere controlli di sicurezza e conformità coerenti tra i vari fornitori |
| Cloud sovrano dell’UE | Tutti i carichi di lavoro riguardano dati regolamentati oppure l’organizzazione opera in un settore altamente sensibile come quello finanziario, sanitario o della pubblica amministrazione | Massimo allineamento con i requisiti di sovranità digitale dell’UE; fornitori come quelli certificati secondo lo standard EUCS offrono garanzie contrattuali di sovranità | Costi più elevati; ecosistema di fornitori più ristretto rispetto alle alternative hyperscale extra-UE |
Quali sono le migliori pratiche per la gestione delle identità e degli accessi (IAM), nonché per garantire la sicurezza del ciclo di vita dei dati all’interno dell’UE?
La gestione delle identità e degli accessi (IAM) costituisce la prima linea di difesa contro l’accesso non autorizzato ai dati. Si tratta inoltre di un requisito di conformità diretto ai sensi dei principi del GDPR relativi al controllo degli accessi e alla minimizzazione dei dati. Un’efficace gestione IAM nel contesto dell’UE implica:
- Applicare il principio del privilegio minimo, in modo che le persone e i sistemi possano accedere solo ai dati necessari per la loro specifica funzione
- Implementare l’autenticazione a più fattori (MFA) su tutti i sistemi che trattano dati personali o sensibili
- Mantenere registri di accesso sufficientemente dettagliati da soddisfare i requisiti normativi in materia di audit e indagini sulle violazioni
- Condurre revisioni periodiche degli accessi per revocare le credenziali dei dipendenti che hanno lasciato l’azienda, dei ruoli modificati e dei sistemi dismessi
- Garantire che l’accesso privilegiato agli archivi di dati sensibili sia soggetto a controlli aggiuntivi, compreso il provisioning just-in-time degli accessi, ove possibile
La gestione sicura del ciclo di vita dei dati copre i dati dal momento della raccolta fino alla loro cancellazione – un aspetto che il GDPR disciplina direttamente con il suo principio di limitazione della conservazione. Le pratiche chiave includono:
- Definizione di calendari di conservazione per categoria di dati, in linea con la base giuridica e la finalità per cui i dati sono stati raccolti
- Automazione dei processi di cancellazione e archiviazione per impedire che i dati persistano oltre il periodo di conservazione senza intervento manuale
- Applicare etichette di classificazione dei dati al momento dell’acquisizione, in modo che le politiche relative al ciclo di vita siano applicate in modo coerente mentre i dati si spostano tra i sistemi
- Mantenere tracce di audit per gli eventi di cancellazione dei dati, che supportano la capacità di dimostrare la conformità agli obblighi di cancellazione ai sensi dell’articolo 17 del GDPR
In che modo le organizzazioni possono valutare i fornitori di servizi cloud per la conformità alla sovranità digitale dell’UE?
La scelta di un fornitore di servizi cloud è una delle decisioni più cruciali relative alla sovranità che un’organizzazione possa prendere. Questa stessa decisione è solitamente anche la più difficile da revocare una volta stabilite tutte le dipendenze infrastrutturali. Una valutazione completa in fase di appalto sarà sempre meno costosa rispetto all’attuazione di misure correttive a seguito di un riscontro normativo o del crollo di una decisione di adeguatezza.
Quali domande dovrebbero porre le organizzazioni ai fornitori in merito al trattamento e al trasferimento dei dati?
È importante che le valutazioni dei fornitori vadano oltre i questionari di sicurezza standard, al fine di affrontare tutti i rischi specifici relativi alla sovranità imposti dai quadri normativi digitali dell’UE. Le domande riportate di seguito dovrebbero costituire la base per la valutazione di qualsiasi fornitore di servizi cloud:
- Dove vengono fisicamente archiviati i dati e le sedi di archiviazione possono essere vincolate contrattualmente a specifiche giurisdizioni dell’UE?
- A quali sub-responsabili del trattamento ricorre il fornitore e tali sub-responsabili sono anch’essi soggetti a obblighi di protezione dei dati equivalenti a quelli dell’UE?
- Il fornitore o una delle sue entità controllanti è soggetto a legislazioni straniere – come il CLOUD Act statunitense – che potrebbero imporre la divulgazione dei dati senza una notifica conforme al GDPR?
- Chi detiene le chiavi di crittografia e l’organizzazione può mantenere il controllo esclusivo sulla gestione delle chiavi?
- Quali richieste di accesso da parte di autorità governative o di polizia ha ricevuto il fornitore e qual è la sua procedura documentata per contestare o notificare tali richieste ai clienti?
- Il fornitore offre diritti di audit e a quale livello di dettaglio dell’infrastruttura e del trattamento si estendono tali diritti?
- Quali meccanismi di portabilità dei dati supporta il fornitore e quali sono i tempi e i costi pratici per l’estrazione dei dati?
- Il fornitore è certificato in base a un quadro normativo UE in materia di sovranità o sicurezza, come EUCS o ISO 27001, e tali certificazioni sono aggiornate?
Come dovrebbero essere strutturati i contratti e gli SLA per garantire la conformità e la ripartizione dei rischi?
I meccanismi chiave che i governi utilizzano per formalizzare gli impegni di sovranità dei propri fornitori di servizi cloud sono le protezioni contrattuali. Un accordo sul trattamento dei dati e un contratto di licenza di servizio adeguatamente strutturati dovrebbero essere in grado di affrontare le seguenti informazioni:
| Elemento contrattuale | Cosa deve specificare | Perché è importante |
| Accordo sul trattamento dei dati (DPA) | Finalità del trattamento, categorie di dati, luoghi di conservazione, elenco dei sub-responsabili e obblighi di cancellazione | Richiesto dal GDPR Articolo 28; stabilisce la base giuridica del rapporto con il responsabile del trattamento |
| Clausola sulla residenza dei dati | Divieto esplicito di trattare o trasferire dati al di fuori delle giurisdizioni concordate senza previo consenso scritto | Impedisce trasferimenti transfrontalieri non autorizzati che potrebbero invalidare il meccanismo di trasferimento in uso |
| Protocollo di accesso da parte delle autorità | Obbligo del fornitore di notificare al cliente le richieste di accesso, ove legalmente consentito, e di contestare tali richieste qualora sussistano motivi validi | Affronta l’esposizione al CLOUD Act e a legislazioni estere simili |
| Diritti di audit | Diritto del cliente di condurre o commissionare audit delle attività di trattamento e dei controlli di sicurezza del fornitore | Supporta gli obblighi di responsabilità previsti dal GDPR e consente la verifica continua della conformità |
| Notifica degli incidenti | Tempistiche e procedure per la notifica delle violazioni, in linea con il requisito delle 72 ore previsto dal GDPR | Garantisce che l’organizzazione possa adempiere ai propri obblighi di notifica alle autorità di controllo |
| Responsabilità e indennizzo | Responsabilità del fornitore per inadempienze in materia di sovranità, inclusi trasferimenti non autorizzati, ritardi nella notifica delle violazioni e utilizzo di subappaltatori non conformi, nonché gli obblighi di indennizzo ad essi connessi | Affronta direttamente la ripartizione del rischio in caso di inadempienze di conformità da parte del fornitore che espongano l’organizzazione a sanzioni normative |
| Recesso e portabilità | Formato di restituzione dei dati, tempistica di estrazione e conferma della cancellazione al termine del contratto | Previene il vincolo al fornitore e garantisce che i dati possano essere recuperati in un formato utilizzabile |
Quali sono le pratiche di due diligence e di monitoraggio continuo indispensabili?
La due diligence iniziale determina se un fornitore soddisfa i requisiti di sovranità al momento dell’appalto. Tuttavia, il panorama normativo, le strutture proprietarie dei fornitori e lo stato delle decisioni di adeguatezza sono soggetti a cambiamenti nel corso del tempo. Pertanto, una due diligence condotta una sola volta e mai riesaminata crea un pericoloso falso senso di sicurezza che le autorità di regolamentazione non accetteranno come difesa valida.
Per quanto riguarda la fase di approvvigionamento, la due diligence deve comprendere:
- Una revisione delle certificazioni attuali del fornitore
- Una valutazione dell’impatto del trasferimento qualora i dati dovessero fluire al di fuori del SEE
- Una revisione legale di tutta la documentazione contrattuale
- La verifica che le catene di sub-responsabili del trattamento non introducano rischi di sovranità non gestiti
Una volta fatto ciò, il monitoraggio continuo dovrebbe inoltre affrontare alcuni elementi dinamici della questione che la due diligence iniziale non sarà in grado di anticipare da sola:
- Monitoraggio delle decisioni di adeguatezza – Monitorare lo stato di eventuali decisioni di adeguatezza che sono alla base dei trasferimenti di dati verso o tramite il fornitore, in particolare alla luce della storia di invalidazioni
- Cambiamenti nella proprietà del fornitore – Fusioni, acquisizioni o cambiamenti nella giurisdizione della società madre possono alterare il profilo di sovranità di un fornitore senza innescare una revisione automatica del contratto
- Rinnovo delle certificazioni – Verificare che le certificazioni di sovranità e sicurezza rimangano valide e non siano scadute o state declassate
- Monitoraggio normativo e dell’applicazione delle norme – Tenere traccia delle linee guida delle autorità di vigilanza e delle decisioni di applicazione che potrebbero influire sulla validità dei meccanismi di trasferimento o imporre nuovi requisiti sui rapporti con i responsabili del trattamento
- Revisione annuale del contratto – Riesaminare gli accordi sui trattamenti (DPA) e gli accordi sul livello di servizio (SLA) almeno una volta all’anno per garantire che riflettano gli attuali requisiti normativi e qualsiasi modifica alle attività di trattamento del fornitore
In che modo le organizzazioni possono sostenere la sovranità digitale dell’UE con soluzioni sicure di backup e governance dei dati come Bacula Systems?
La scelta del fornitore di servizi cloud riguarda la collocazione dei dati e chi ne controlla l’accesso, ma rappresenta solo una parte del quadro tecnico complessivo. L’infrastruttura di backup e governance dei dati è un aspetto della sovranità digitale dell’UE che viene regolarmente sottovalutato, sebbene sia determinante per stabilire se le organizzazioni possano recuperare i dati secondo le proprie condizioni, mantenere registri di audit conformi ai requisiti normativi ed evitare la dipendenza da sistemi di ripristino non controllati dall’UE.
La scelta di una soluzione di backup influenza direttamente la residenza dei dati, i controlli di accesso e il futuro livello di conformità dell’organizzazione.
Bacula Enterprise è stata creata utilizzando un nucleo open-source come base di partenza, evitando il problema dei formati di dati proprietari e del lock-in delle piattaforme che compromettono la portabilità. Questo argomento da solo diventa una questione diretta di sovranità ogni volta che le organizzazioni devono migrare da fornitori non UE o ridurre la loro dipendenza da essi.
Il prodotto Bacula opera in ambienti fisici, virtuali e cloud, consentendo alle imprese di mantenere una governance del backup coerente in architetture ibride e multi-cloud senza la necessità di frammentare la strategia di protezione dei dati esistente. Le funzionalità di crittografia con supporto per le chiavi gestite dall’organizzazione contribuiscono a garantire che il vantaggio in termini di sovranità offerto dalla crittografia non venga immediatamente compromesso dall’accesso a chiavi da parte di terzi.
Dal punto di vista della conformità, Bacula Enterprise soddisfa diversi requisiti imposti direttamente dai quadri normativi dell’UE in materia di sovranità digitale:
- Residenza dei dati – Le posizioni di archiviazione sono esplicitamente configurabili, consentendo l’applicazione dei requisiti di residenza senza fare affidamento sulle impostazioni predefinite del fornitore
- Controllo degli accessi e registrazione degli audit – La gestione degli accessi basata sui ruoli e i registri dettagliati forniscono la traccia di audit richiesta dagli obblighi di responsabilità del GDPR e dalle richieste normative
- Scalabilità tra giurisdizioni – Le implementazioni su larga scala su infrastrutture distribuite supportano le imprese nella gestione dei dati in più Stati membri dell’UE con requisiti specifici di settore variabili
Dove si collocano la protezione dei dati, il backup e il ripristino in tutto questo?
Risposta: ovunque. L’Europa sta investendo massicciamente nella sovranità digitale, in infrastrutture resilienti e nell’autonomia strategica. Eppure, in caso di attacco informatico, guasto del sistema, interruzione della catena di approvvigionamento o crisi geopolitica, da quale sistema si riprende effettivamente una determinata organizzazione? La risposta è fondamentale, perché senza capacità sovrane di backup e ripristino, non può esserci alcuna garanzia di tecnologia o dati sovrani. Non importa quanto possano sembrare sicuri una piattaforma cloud, un data center, una rete o uno stack di applicazioni: il vero controllo spetta in ultima analisi alla piattaforma di backup e ripristino che li protegge.
Per le organizzazioni dei settori della difesa, aerospaziale, governativo e altri settori sensibili dal punto di vista della sicurezza, ciò solleva importanti considerazioni strategiche. Molte organizzazioni europee continuano ad affidarsi a soluzioni di backup e ripristino controllate, governate o sviluppate al di fuori dell’Europa, introducendo potenzialmente dipendenze legali, operative, relative alla catena di approvvigionamento o geopolitiche proprio nel momento in cui la resilienza è più importante. Mentre l’Europa si concentra sempre più sulla sovranità, la resilienza informatica e la sicurezza, Bacula raccomanda rispettosamente alle organizzazioni di valutare se le proprie architetture di backup e ripristino siano in linea con questi stessi obiettivi.
Bacula, il fornitore con sede in Svizzera di Bacula Enterprise (software di backup e ripristino), ha dedicato anni ad aiutare alcune delle organizzazioni più esigenti al mondo – tra cui importanti ambienti di difesa, HPC, IA, ricerca e infrastrutture critiche – a raggiungere livelli insolitamente elevati di sicurezza, controllo, scalabilità e resilienza.
Quali sono i rischi e le tendenze in materia di applicazione delle norme che vale la pena tenere a mente?
Il panorama normativo relativo alla sovranità digitale dell’UE è in continua evoluzione, con un’applicazione più rigorosa, sanzioni più elevate e vari sviluppi geopolitici che influenzano il quadro giuridico su cui fanno affidamento le imprese. Le organizzazioni non possono considerare la conformità come un esercizio una tantum, poiché dovrebbero affrontare un’esposizione crescente man mano che questo panorama si evolve.
In che modo le autorità di regolamentazione dell’UE applicano le norme in materia di sovranità e protezione dei dati?
L’applicazione delle norme dell’UE in materia di protezione dei dati e sovranità è distribuita tra le autorità di controllo nazionali e coordinata tramite il Comitato europeo per la protezione dei dati (EDPB).
L’EDPB detiene un’autorità vincolante in materia di risoluzione delle controversie, che gli consente di ribaltare le decisioni nazionali e di imporre una coerenza a livello UE per i casi transazionali importanti – un meccanismo che ha portato a un’applicazione molto più coesa tra gli Stati membri. Gli effetti pratici di questo meccanismo sono multe più elevate, una cooperazione transfrontaliera più profonda e un continuo controllo normativo per quanto riguarda le pratiche di trasferimento dei dati.
Dato il ruolo dell’Irlanda come base UE per molte grandi aziende tecnologiche, vale la pena menzionare anche la Commissione irlandese per la protezione dei dati (DPC) come autorità di applicazione particolarmente significativa. Anche altre autorità nazionali (Francia, Italia, Paesi Bassi) hanno intrapreso azioni di alto profilo, a testimonianza di un modello più ampio in cui l’attività di applicazione non è più concentrata in una sola giurisdizione.
La recente attività di applicazione ha preso di mira diverse aree problematiche ricorrenti:
- Trasferimenti illegali di dati – Diverse multe ingenti sono state comminate a seguito della constatazione che alcune organizzazioni trasferivano dati personali verso paesi terzi senza una base giuridica valida, compresi i trasferimenti verso gli Stati Uniti che si basavano su meccanismi invalidati
- Accordi di trattamento dei dati inadeguati – Le autorità di regolamentazione hanno sanzionato le organizzazioni per non aver mantenuto contratti conformi al GDPR con i responsabili del trattamento, compresi i fornitori di servizi cloud
- Controlli tecnici insufficienti – Le azioni di applicazione della legge hanno citato carenze nella crittografia, nella gestione degli accessi e nella minimizzazione dei dati come prova di misure organizzative inadeguate
- Violazioni relative ai cookie e al consenso – Le autorità nazionali in tutta l’UE hanno perseguito un’applicazione sistematica delle norme contro i meccanismi di consenso non conformi, prendendo di mira in particolare le grandi piattaforme
Quali sanzioni e quali ripercussioni commerciali possono derivare dalla non conformità?
Il GDPR e altri quadri normativi UE correlati hanno stabilito una struttura sanzionatoria a più livelli, in cui le sanzioni pecuniarie rappresentano solo una delle diverse dimensioni dell’impatto commerciale che la non conformità può comportare:
| Tipo di impatto | Fondamento | Entità potenziale |
| Sanzioni amministrative (fascia massima) | Violazioni degli obblighi fondamentali del GDPR, tra cui la base giuridica, le norme sul trasferimento dei dati e i diritti degli interessati | Fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale sia l’importo più elevato |
| Sanzioni amministrative (livello inferiore) | Violazioni degli obblighi procedurali, tra cui la conservazione dei registri, la nomina del responsabile della protezione dei dati e la notifica delle violazioni | Fino a 10 milioni di euro o al 2% del fatturato annuo globale, a seconda di quale sia l’importo più elevato |
| Sospensione dei trasferimenti di dati | Ordinanza dell’autorità di controllo che sospende i trasferimenti transfrontalieri di dati in attesa della correzione della non conformità | Interruzione operativa di qualsiasi processo aziendale che dipenda dai flussi di dati interessati |
| Danno alla reputazione | Decisioni di applicazione della legge rese pubbliche, pubblicate dalle autorità di controllo | Erosione della fiducia di clienti e partner, copertura mediatica e svantaggio competitivo |
| Responsabilità civile | Richieste di risarcimento individuali o collettive da parte di interessati che hanno subito danni materiali o immateriali | Variabile; le azioni collettive, in particolare, comportano un’esposizione complessiva significativa |
| Costi operativi di adeguamento | Costi interni ed esterni per il raggiungimento della conformità a seguito di un provvedimento di applicazione | Spesso superano l’ammontare della sanzione stessa nelle grandi organizzazioni con infrastrutture di dati complesse |
In che modo le tensioni geopolitiche e le sentenze giudiziarie potrebbero influire sull’applicazione futura di tali norme?
La stabilità dei quadri normativi dell’UE in materia di sovranità digitale è direttamente influenzata dagli sviluppi geopolitici, che spesso sfuggono al controllo delle singole organizzazioni. Le successive invalidazioni del Safe Harbor e del Privacy Shield sono state determinate da pronunce giudiziarie relative alla legislazione statunitense in materia di sorveglianza. Anche il quadro normativo UE-USA sulla protezione dei dati, sebbene attualmente valido, deve affrontare continue contestazioni legali che seguono lo stesso schema. Una terza invalidazione, qualora dovesse verificarsi, avrà ripercussioni su migliaia di organizzazioni che fanno affidamento sul DPF per i trasferimenti transatlantici di dati (senza che sia disponibile un sostituto garantito).
È probabile inoltre che le tensioni geopolitiche più ampie accelerino l’agenda dell’UE in materia di sovranità anziché frenarla. Tra i potenziali fattori in questo contesto figurano la guerra in Ucraina, l’evoluzione delle relazioni commerciali UE-USA e le crescenti frizioni normative tra l’UE e le grandi piattaforme tecnologiche extra-UE.
Le sentenze della Corte di giustizia dell’UE hanno continuato a rafforzare il primato dei diritti fondamentali dell’UE rispetto agli interessi commerciali e diplomatici concorrenti. Il miglior consiglio da dare alle organizzazioni in questo momento è di considerare l’attuale quadro normativo come una tappa di un percorso verso una localizzazione più rigorosa, un’applicazione più forte e un esame più approfondito delle dipendenze tecnologiche extra-UE.
Domande frequenti
La sola crittografia dei dati è sufficiente a soddisfare le aspettative di sovranità digitale dell’UE?
Sebbene la crittografia sia una misura di salvaguardia necessaria, da sola non può soddisfare i requisiti di sovranità digitale dell’UE. Il GDPR richiede una combinazione di misure tecniche e organizzative (controlli di accesso, minimizzazione dei dati, gestione della conservazione, processi di governance documentati), nessuna delle quali può essere coperta dalla sola crittografia.
Anche la giurisdizione sulla gestione delle chiavi è una questione importante in questo contesto, poiché i fornitori di crittografia extra-UE non saranno in grado di offrire la protezione della sovranità che garantirebbe invece una crittografia controllata dall’organizzazione stessa.
Le future normative UE potrebbero richiedere una localizzazione più rigorosa delle infrastrutture critiche e dei servizi cloud?
L’attuale orientamento degli sforzi normativi rende i requisiti di localizzazione più rigorosi uno sviluppo garantito di fatto nel breve termine, specialmente nei settori già designati come critici ai sensi della NIS2 e dei quadri normativi correlati. La Commissione europea ha dimostrato un interesse costante nel ridurre la dipendenza strategica dalle infrastrutture digitali extra-UE, e vi sono diversi Stati membri che stanno già introducendo o valutando requisiti di localizzazione a livello nazionale che vanno oltre la normativa UE esistente.
Le organizzazioni che stanno costruendo infrastrutture allineate alla sovranità sono ora in una posizione migliore per assorbire requisiti aggiuntivi senza costi di adeguamento sostanziali.
Le organizzazioni possono raggiungere la sovranità digitale dell’UE continuando a utilizzare fornitori di tecnologia con sede all’estero?
Sebbene sia possibile, i requisiti associati a tale obiettivo sono sostanziali e potrebbero persino comportare un rischio legale permanente. Ad esempio, i trasferimenti verso fornitori con sede negli Stati Uniti si basano attualmente sul quadro UE-USA sulla protezione dei dati, che sta affrontando attive contestazioni legali e potrebbe essere invalidato come i suoi predecessori nel prossimo futuro.
Le imprese che si affidano a fornitori con sede negli Stati Uniti devono mantenere protezioni contrattuali della sovranità, condurre regolari valutazioni d’impatto sui trasferimenti e considerare la stabilità del DPF come un presupposto da monitorare, non come una garanzia su cui fare affidamento.