Pubblicato il 24 maggio 2023, nella seduta n. 71
CROATTI - Al Presidente del Consiglio dei ministri. -
Premesso che:
il regolamento generale per la protezione dei dati personali 2016/679 (general data protection regulation, GDPR) è la principale normativa europea in materia di protezione dei dati personali;
il garante europeo per la privacy ha disposto che il trasferimento dei dati delle pubbliche amministrazioni verso gli USA, e quindi fuori dalla protezione dei dati offerta dal GDPR, sia vietata. Questo a causa del “Cloud act”, che consente alle autorità statunitensi, forze dell’ordine e agenzie di intelligence di acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere dal luogo in cui questi dati si trovano, quindi anche se sono su server fuori dagli USA. La sola condizione è che questi operatori siano sottoposti alla giurisdizione degli Stati Uniti, anche se siano società europee che hanno una filiale negli Stati Uniti o che operano nel mercato americano;
i dati del polo strategico nazionale (PSN), l’infrastruttura per la gestione in cloud dei dati critici della pubblica amministrazione, finanziata da un miliardo di euro del piano nazionale di ripresa e resilienza, devono essere protetti secondo le norme del GDPR europeo e quindi non sono compatibili fornitori di servizi USA;
il bando per la realizzazione del PSN è stato vinto prima dalle società Aruba e Fastweb (22 giugno 2022) ed è stato poi assegnato per diritto di prelazione (8 luglio 2022) alle società SOGEI, Leonardo, CDP Equity e TIM. La convenzione è stata firmata il 26 agosto 2022 con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri. Nella convenzione si fanno espliciti riferimenti ai servizi cloud erogati da aziende USA quali “Google cloud” di Google LLC, “Microsoft azure” di Microsoft corporation e “Oracle cloud infrastructure” di Oracle corporation;
in particolare, a marzo 2020 TIM e Google cloud hanno sottoscritto un importante accordo di collaborazione della durata di 5 anni, rinnovabile per ulteriori 5. L’impegno congiunto di Google e TIM ha previsto la realizzazione di due region in Italia (per complessive sei availability zone) con rilascio progressivo ad iniziare dal primo trimestre 2022. TIM può comunque ospitare altri cloud provider nei propri data center. Le condizioni previste dalla partnership per quanto riguarda le attività commerciali possono essere estese ad altre aree geografiche dove è presente il gruppo TIM, previo accordo tra le parti. TIM e GCP (Google cloud platform) stanno lavorando congiuntamente per la realizzazione della soluzione a supporto della region dedicata a GCP per il mercato italiano con uno specifico focus per la realizzazione del polo strategico nazionale che costituirà la prima esperienza in assoluto di questo tipo in Italia per l’intero mercato dei CSP (cloud services provider);
a maggio 2021 Leonardo e Microsoft hanno sottoscritto un memorandum of understanding volto a dare il via ad una collaborazione industriale che ha come finalità anche la realizzazione di progetti per la trasformazione digitale della pubblica amministrazione italiana e per le infrastrutture critiche nazionali, focalizzandosi sulla protezione dei dati e l’impiego di tecnologie e soluzioni cloud avanzate, come quelle inserite nella proposta per il futuro PSN;
TIM, Oracle e Noovle (gruppo TIM) hanno firmato a luglio 2021 un memorandum of understanding che definisce una partnership industriale fondata sui seguenti punti: 1) utilizzo delle soluzioni Oracle cloud per gli ambienti della pubblica amministrazione e in particolare per il polo strategico nazionale; 2) ospitare una region italiana di Oracle nei data center di TIM; 3) abilitazione di Noovle come cloud service provider di Oracle. Attraverso questo accordo TIM completa il piano di servizio multicloud anche a livello di nodo di connettività e aggiunge ai precedenti accordi un tassello fondamentale per fornire ai clienti differenti opzioni di uso del cloud pubblico. L’accordo con Oracle mira alla creazione di soluzioni cloud di tipo data driven e abilita Noovle ad erogare servizi in ambito cloud di Oracle includendo specificamente servizi basati su appliance ingegnerizzate (exadata), il Cloud@Customer e la region dedicata. Oracle cloud infrastructure è una piattaforma ampia e profonda di servizi cloud pubblici che consente ai clienti di creare ed eseguire un'ampia gamma di applicazioni in un ambiente scalabile, sicuro, ad alta disponibilità e ad alte prestazioni;
il 25 marzo 2022 la presidente della Commissione europea, Ursula von der Leyen, e il presidente degli Stati Uniti, Joe Biden, hanno annunciato un'intesa “di principio”, che al momento è una dichiarazione di intenti politica tesa a “implementare riforme che rafforzino la protezione della privacy e delle libertà civili che siano compatibili con le attività di intelligence statunitensi”;
il riferimento è proprio al Cloud act, la legge federale del 2018, ma è difficile stabilire in che tempi l'accordo diventerà operativo, e, soprattutto, se sarà in grado di non essere invalidato di nuovo davanti alla Corte di giustizia dell'Unione europea,
si chiede di sapere:
se si ritenga che il Governo statunitense, che potrebbe legittimamente avere interessi strategici opposti ai nostri, possa arrogarsi il diritto assoluto di accesso, ad esempio ai database degli ospedali, dei medici, delle banche;
se il Governo intenda rispondere alle sollecitazioni del garante europeo per la privacy e rispettare le sentenze “Schrems I” e “Schrems II” della Corte di giustizia dell’Unione e come intenda proteggere i dati personali dei cittadini e quelli della pubblica amministrazione italiana, visto che al momento gli USA sono ancora un Paese terzo ai sensi del GDPR;
quali misure ulteriori siano state approntate per garantire la conformità con il GDPR e chi abbia effettuato la valutazione di impatto sulla protezione dei dati;
se ci sarà un soggetto incaricato di un audit prima del “go-live” e poi periodicamente, e se i risultati degli audit saranno resi pubblici;
poiché i dati saranno in data center di Google, Amazon o Microsoft su territorio italiano, quale livello di autonomia abbiano Google, Amazon e Microsoft su quei dati e, considerato che sono dati fondamentali, quali garanzie avranno i cittadini italiani. E se i dipendenti di Google, Amazon e Microsoft coinvolti saranno verificati dalla DIGOS;
quanta parte dei fondi del PNRR sarà impiegata per pagare i contratti con “i GAFAM” (Google, Amazon, Facebook, Apple, Microsoft), e quanta verrà investita nello sviluppo di tecnologie e di cloud europei.