I dati aziendali non sono semplicemente informazioni tecniche. Contengono conoscenze, processi, informazioni sui clienti, contratti, procedure interne, stati di progetto, contenuti di conversazioni, decisioni e spesso anche segreti commerciali.

Proprio nell’uso dell’IA è quindi fondamentale dove vengono elaborati i dati, chi può avervi accesso tecnicamente e a quale ordinamento giuridico è soggetto il fornitore impiegato.

Un tema importante in questo contesto è il US CLOUD Act.

La denominazione esatta è:

Clarifying Lawful Overseas Use of Data Act, in breve CLOUD Act.

Il CLOUD Act è una legge statunitense del 2018 e ha integrato, tra l’altro, lo US Stored Communications Act. Ai sensi del 18 U.S. Code § 2713, alcuni fornitori statunitensi possono essere obbligati a consegnare dati che si trovano in loro possesso, custodia o controllo, indipendentemente dal fatto che tali dati siano archiviati all’interno o all’esterno degli USA.

Cosa disciplina il US CLOUD Act?

Il CLOUD Act mira a facilitare alle autorità investigative l’accesso alle informazioni elettroniche, in particolare quando i dati sono archiviati presso fornitori di comunicazione o cloud attivi a livello globale. Il Dipartimento di Giustizia statunitense descrive lo scopo soprattutto in relazione alle indagini su reati gravi e alle prove elettroniche.

Importante: il CLOUD Act non significa che le autorità statunitensi possano accedere arbitrariamente e senza procedura a tutti i dati. Si tratta di richieste legali di consegna rivolte ai fornitori soggetti alla giurisdizione statunitense.

Per le aziende europee il punto resta comunque rilevante: non conta solo il luogo di archiviazione, ma anche a quale ordinamento giuridico è soggetto il fornitore e se può controllare tecnicamente i dati.

Perché questo è critico per i dati aziendali?

Per le aziende il CLOUD Act è critico soprattutto perché la sovranità dei dati non deriva soltanto da un data center in Europa.

Se un fornitore è soggetto a un ordinamento giuridico extraeuropeo e al tempo stesso ha accesso ai dati o può controllarli tecnicamente, possono sorgere conflitti legali. Ciò riguarda in particolare dati aziendali riservati, segreti commerciali, comunicazioni interne, dati sensibili dei clienti, dati di progetto, documentazione tecnica o patrimoni di conoscenza per l’IA.

Dal punto di vista della protezione dei dati si aggiunge che il GDPR impone requisiti specifici per i trasferimenti di dati personali al di fuori dello Spazio economico europeo. Il Comitato europeo per la protezione dei dati sottolinea che, nei trasferimenti internazionali di dati, deve essere garantito un livello di protezione dei dati sostanzialmente equivalente a quello europeo.

Anche le autorità europee per la protezione dei dati vedono un rischio quando dati particolarmente sensibili vengono archiviati presso fornitori non soggetti esclusivamente al diritto europeo. La CNIL, autorità francese per la protezione dei dati, osserva che i dati presso aziende soggette a un diritto non europeo possono essere esposti al rischio di consegna alle autorità straniere. Per trattamenti particolarmente sensibili raccomanda fornitori soggetti esclusivamente al diritto europeo e in grado di offrire un livello di protezione adeguato.

Cosa significa questo per i sistemi di IA?

I sistemi di IA elaborano spesso informazioni aziendali particolarmente preziose. Tra queste, ad esempio, documenti, basi di conoscenza interne, configurazioni di sistema, cronologie di chat, contenuti di riunioni, cartelle di progetto, conoscenze di processo, dati dei clienti e informazioni tecniche.

Quando tali dati vengono inseriti nei sistemi di IA, deve essere chiaramente regolato:

• dove i dati vengono archiviati ed elaborati,
• quali fornitori sono coinvolti,
• a quale ordinamento giuridico sono soggetti tali fornitori,
• quali accessi sono tecnicamente possibili,
• quali dati vengono crittografati o archiviati separatamente,
• quali dati possono essere esportati, cancellati o limitati,
• se e come i dati dei clienti vengono utilizzati per le funzioni di IA.

Per Vimmera è quindi chiaro:

L’IA non deve trasferire in modo incontrollato il sapere aziendale in sistemi esterni. L’IA deve essere progettata in modo che sovranità dei dati, sicurezza e trasparenza rimangano garantite.

Come ha strutturato Vimmera il proprio sistema in funzione di questo?

Vimmera sviluppa e gestisce soluzioni di IA per le aziende con particolare attenzione alla protezione dei dati, alla sicurezza dei dati e a un’elaborazione controllata dei dati. La struttura tecnica è progettata per non esporre inutilmente i dati aziendali, limitare gli accessi e mantenere tracciabili i flussi di dati.

Elaborazione orientata all’Europa

Nella progettazione della propria struttura software, dati e hosting, Vimmera punta a un’elaborazione il più possibile orientata all’Europa. L’obiettivo è trattare i dati aziendali, per quanto possibile, all’interno dell’UE o dello Spazio economico europeo ed evitare riferimenti a paesi terzi o almeno garantirli in modo controllato.

Solo su richiesta specifica e con chiara indicazione vengono impiegati sistemi soggetti al US CLOUD Act!

Misure di protezione contrattuali e tecniche

Quando vengono coinvolti fornitori, ciò avviene sulla base di adeguate disposizioni contrattuali, misure di protezione tecniche e responsabilità documentate.

Tra queste possono rientrare in particolare:

• contratti di nomina a responsabile del trattamento,
• clausole di riservatezza,
• misure tecniche e organizzative,
• limitazioni degli accessi,
• crittografia,
• concetti di cancellazione e conservazione,
• registrazione dei log,
• verifica dei subfornitori,
• disposizioni su luogo di archiviazione e flussi di dati.

La nostra visione

Il US CLOUD Act mostra perché architettura tecnica e quadro giuridico devono essere considerati insieme.

Non basta guardare all’IA solo dal punto di vista funzionale. È decisivo anche se un sistema è adatto ai requisiti di protezione di un’azienda.

Vimmera sviluppa quindi soluzioni di IA non secondo il principio «tutto in un grande cloud», ma con una struttura chiara:

• elaborazione il più possibile europea,
• selezione controllata dei fornitori,
• aree dati separate,
• diritti di accesso chiari,
• flussi di dati tracciabili,
• possibilità di esportazione e cancellazione,
• tutela contrattuale,
• protezione del sapere aziendale.