È universalmente nota come data sovereignty, ma dichiariamo subito che preferiamo optare per la traduzione italiana, sovranità dei dati, rispetto alla versione inglese, difficilmente pronunciabile e ad alto rischio di refusi. Il concetto di sovranità dei dati è stato introdotto dall’Unione Europea ancor prima della realizzazione del GDPR, e si riferisce al controllo e alla protezione dei dati di aziende e cittadini europei.

Il progetto Gaia-X avviato dall’Unione Europea – un’infrastruttura cloud interconnessa estesa e distribuita in tutta Europa – prende vita proprio dalla necessità di affrontare il problema della sovranità dei dati, limitandone il monopolio sul controllo da parte delle cosiddette Big Tech: Facebook, Google e Amazon in testa. Se poi consideriamo il Cloud Act statunitense che permette al Governo USA di richiedere e ottenere i dati presenti sui server americani, si comprende come l’iniziativa Gaia-X nasconda anche una velata motivazione geopolitica.

C’è comunque da specificare che il progetto Gaia-X non risponde solo a una necessità di maggior controllo e protezione dei dati di aziende e cittadini dell’UE. L’intento primario del progetto, infatti, è di creare effettivo valore economico dai dati. Un valore da cui ricavare decisioni impattanti a livello economico e sociale.I dati sono il petrolio del futuro, si è detto, e Joe Baguley, vicepresidente e CTO Emea di VMware, è concorde: “In un mondo in cui il commercio non ha più confini, i regolamenti, i contorni della questione e i requisiti possono confondersi. La Francia, per esempio, ha un’agenda nazionale che richiede che i dati siano archiviati nell’Unione Europea. La Germania richiede la localizzazione o in Germania o nell’UE a seconda del livello di sovranità nel controllo dei dati. Eppure, i dati non sono più solo byte su un disco rigido, ma la linfa vitale del futuro valore economico che deve essere gestito, protetto e condiviso in modo sovrano, per essere sfruttato dall’Europa”.

Cosa è la sovranità dei dati

Sovranità dei dati, in buona sostanza, è il termine giuridico a cui riferirsi quando si prendono in esame le linee guida e le regolamentazioni relativamente alla gestione dei dati e alla protezione della privacy adottate dai diversi Paesi. La sovranità dei dati non coincide con la “residenza dei dati” ma la comprende. Determinare la residenza dei dati significa, infatti, solo sapere dove sono geolocalizzati in un certo momento. Così, il concetto di sovranità dei dati racchiude espressamente, oltre alla residenza, la loro elaborazione, l’accesso e la generazione di dati derivati.

L’esigenza di definire delle regole in questo senso è certamente figlia della diffusione delle architetture IT basate su cloud. Soprattutto all’inizio della sua ascesa, il cloud era prevalentemente pubblico, e i dati delle aziende transitavano o si archiviavano in luoghi fisici che nessuno sapeva localizzare con precisione, spesso neanche l’hyperscaler che li ospitava, a causa del massiccio ricorso alla virtualizzazione. Inoltre, come avrebbe stabilito il GDPR, l’esternalizzazione dei dati comportava un’estensione delle responsabilità a nuovi soggetti, anche se non proprietari dei dati stessi. Soggetti di cui non si ha la certezza di come utilizzino quei dati (li vendono, li usano, li interpretano?).

Insomma, spesso ci si è trovati di fronte a terabyte di dati aziendali preziosi e sensibili, in transito su data center non localizzati o residenti in Paesi esterni alla Unione Europea che, rispetto alla loro tutela, seguono una legislazione diversa, quando esiste. Ed è così giunto il momento di prendere in considerazione la questione.

Perché la sovranità dei dati riguarda le aziende

Dal momento che il GDPR considera le aziende responsabili dei propri dati, ma anche di quelli che transitano nella propria infrastruttura IT con tanto di applicazione di multe salate, va da sé che il problema le riguardi direttamente. Fabio Fregi, country manager per l’Italia di Google Cloud, considera la sovranità dei dati uno dei quattro “cloud macrotrend” per il 2022: “nel 2022, così come lo è stato per il 2021, il tema della sovranità digitale rappresenta una delle massime priorità per imprese, organizzazioni e governi europei”.

Dal punto di vista di Google Cloud, le aziende potrebbero risolvere facendo ricorso ai servizi open cloud, ovvero basati su codice open source, in quanto, sempre secondo Fregi: “offrono controllo e autonomia, alta capacità, usabilità, flessibilità e robusta protezione dei dati”. La visione di Google, uno dei maggiori fornitori di cloud pubblico mondiali (hyperscaler), tende ovviamente a spingere il cloud pubblico, considerandolo un ambiente trasparente, in quanto gestito da software aperti.

Ma il ricorso all’open cloud su cloud pubblico non è l’unico approccio possibile. E la crescente diffusione di ambienti IT realizzati su cloud ibrido e multicloud lo dimostra. La sovranità dei dati, infatti, è diventata la migliore testa di ponte per promuovere ambienti misti, composti da cloud pubblico e privato. Ed è proprio grazie alla necessità di sapere in ogni momento dove sono i dati e come si muovono, che i data center on premise stanno rivivendo una seconda giovinezza.

Trasformare il data center interno a un’azienda in un cloud privato, ovvero convertendo applicativi e processi in servizi cloud-native, permette di mantenere sotto controllo determinati set di dati all’interno di una struttura protetta e ben localizzata. Allo stesso modo, i Cloud Service Provider locali possono garantire con precisione, controfirmando specifiche clausole contrattuali, dove e come saranno gestiti i dati aziendali all’interno dei loro data center. Con questo approccio, un’azienda può rassicurarsi - essere conforme alla compliance, come si dice - e tutelarsi mettendo in sicurezza i dati più sensibili e delicati sulla struttura privata e lasciare “liberi di circolare” quelli meno critici.

Il cloud ibrido è la soluzione “politica”

La questione è, anche, politica, come detto. Per evitare ogni possibile “incidente diplomatico”, la dialettica di Gaia-X è stata accompagnata da un messaggio del tipo: non abbiamo nulla contro gli hyperscaler (che guarda caso sono tutti americani) ma vogliamo che l’Europa abbia il controllo sui dati dei suoi cittadini. Il che, meglio precisarlo, non vuol dire controllare i cittadini ma, semplicemente, avere la certezza su dove e come sono gestiti i loro dati.

E l’espressione tecnica che realizza al meglio questo delicato equilibrio diplomatico è certamente il cloud ibrido. L’ambiente misto composto da un cloud pubblico, eventualmente fornito dai colossi americani (AWS, Microsoft Azure, Google Cloud) e un cloud privato strettamente collegato, locale e localizzabile in Europa. Ed è proprio la comunicabilità tra i due ambienti, cloud pubblico e cloud privato, e quindi la transizione dei dati, la differenza principale tra cloud ibrido e multicloud. Se, dunque, un’azienda volesse proprio essere sicura che i propri dati sensibili prendano il volo per data center oltreoceano, l’approccio più corretto potrebbe essere il multicloud.

A questo punto non è difficile comprendere il perché di tanta attività da parte degli hyperscaler. Microsoft e Oracle sono solo i più eclatanti e recenti esempi di cloud provider che hanno inaugurato nuove cloud region, leggi data center, in Italia o, almeno, in Europa. Ed è facile che la tendenza non si concluda qui. D’altronde, se l’Europa vuole che i dati di aziende e cittadini europei non superino i confini del Vecchio Continente, quale migliore strategia c’è per tutelare il business se non portare gli hyperscaler in Europa?