La decisione dell’Agenzia per la Cybersicurezza Nazionale (ACN) di rendere più facile il trasferimento extra-UE dei dati critici delle Pubbliche amministrazioni è stata oggetto dell’interrogazione in Senato del dem Nicola Irto, firmata anche dal senatore PD Antonio Nicita.
L’interrogazione in Senato del PD
Nel testo dell’interrogazione si legge: “… l’Agenzia nazionale per la Cybersicurezza, con decreto del Direttore generale del 28 luglio 2023, recante ‘Modifiche ai livelli minimi delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni’, ha abolito l’obbligo di autorizzazione da parte dell’amministrazione e di comunicazione all’ACN per il trasferimento al di fuori dell’Unione europea dei dati conservati in cloud dalle pubbliche amministrazioni qualificati come “ordinari” e “critici”,
Il passaggio cruciale è se il governo ha una complessiva strategia di sostegno alle aziende extra UE?
Il riferimento è sia alla posizione, motivata, del Sottosegretario Butti contrario all’ipotesi di fair share sulle Big Tech per finanziare le reti in fibra e 5G sia alla “decisione adottata dall’Autorità per la Cybersicurezza nazionale di abolire”, continuano i due senatori PD, “la procedura di autorizzazione per il trasferimento al di fuori dell’Unione europea dei dati ordinari e strategici della pubblica amministrazione, liberalizzando così de facto la pratica di trasferimento del 95 per cento dei dati che la PA detiene in cloud in tutti i Paesi del mondo e rendendo compatibile la qualificazione in Italia come Cloud Service Provider di entità giuridiche extra UE, anche se sottoposte a vincoli normativi che impongono il trasferimento dei dati da Paesi UE verso i Paesi non UE a prescindere dall’autorizzazione delle autorità locali o dei proprietari dei dati stessi (ad esempio ‘Cloud Act’)”.
Le domande di Cybersecurity Italia
In attesa della risposta del Governo all’interrogazione dei due senatori PD, ecco le 7 domande di Cybersecurity Italia:
- Perché questa scelta di sdoganare del tutto anche i dati critici? Se sono stati denominati così un motivo ci sarà.
- Quali sono le garanzie sulle chiavi crittografiche generate dal cloud service provider?
- Ci possiamo permettere questo alto rischio per l’Italia nell’affidarli anche a cloud provider extra-UE?
- Prima di questa “mossa” tutti gli stakeholder sono stati ascoltati? Come il Garante Privacy?
- L’Autorità per la protezione dei dati personali esprimerà un parere su questo? Il suo parere andava chiesto in modo preventivo?
- Qualcuno dirà “ancora con questa fisima della privacy per i dati trasferiti in Usa dopo l’accordo Stati Uniti-Ue attraverso il Data Privacy Framework? Questo nuovo “Privacy Shield” riguarda i dati personali di noi consumatori e utenti delle piattaforme web. E non i dati in possesso alle organizzazioni pubbliche, come le PA italiane. Perché allora questa decisione?
- Allora la sovranità digitale italiana e europea come viene garantita con il cloud per le PA?
Se si considera che in Italia, dall’ultimo censimento realizzato dalla stessa ACN sui dati trattati da oltre 20mila PA italiane, i dati critici sono il 12% e quelli ordinari l’80%, significa che nelle mani di società cloud extra UE può finire, appunto circa il 95% dei dati delle Pubbliche Amministrazioni!