Che cos'è la Sovranità dei Dati?

La sovranità dei dati è il principio secondo cui i dati sono soggetti alle leggi e alle strutture di governance del paese o della giurisdizione in cui vengono raccolti o archiviati. Ciò può influenzare la capacità di un governo di esercitare l'autorità legale sui dati fisicamente residenti all'interno dei suoi confini, indipendentemente da dove l'organizzazione archivi principalmente i dati.

Questo è importante perché l'insieme di regole che disciplina i tuoi dati non dipende da dove si trova la tua azienda. È determinato da dove i dati sono archiviati. A titolo di esempio, un'azienda statunitense che ospita i registri dei clienti su server basati a Francoforte è soggetta alla legge dell'UE per tali registri, nonché alla legge americana.

Questi tre termini sono interconnessi ma non identici. Il rispetto della compliance può essere influenzato da variazioni nella sua applicazione.

•     La sovranità dei dati è un concetto legale. Il diritto di una nazione di regolamentare i dati all’interno del proprio territorio. Affronta la questione “Chi ha giurisdizione?”
•     La residenza dei dati è un requisito legale o contrattuale che stabilisce dove i dati devono essere geograficamente localizzati. Affronta la questione “Dove risiedono i dati?”
•     La localizzazione dei dati assume la forma più stringente. Un requisito legale che i dati siano sia archiviati che elaborati all'interno di un paese, con restrizioni sul trasferimento transfrontaliero. Risponde alla domanda: “I dati possono essere spostati all'esterno?”

Un cloud sovrano è un servizio cloud progettato in base alle esigenze di sovranità dei dati di un paese. Per avere la certezza che governi, tribunali e aziende stranieri non possano ottenere dati senza il permesso del paese ospitante, i cloud sovrani sono gestiti da entità locali (o tramite partnership strettamente controllate), a differenza dei cloud pubblici standard gestiti da hyperscaler globali.

•     Gestito e posseduto localmente: Gestito da un'azienda locale o da una joint venture in cui i locali detengono la maggioranza.
•     Isolamento Giurisdizionale: Le normative nazionali o regionali dove risiedono i dati possono influenzare il processo di trasferimento transfrontaliero dei dati.
•     Adeguamento Normativo: Sono realizzati in conformità con le leggi nazionali, come il GDPR, il SecNumCloud della Francia o lo standard C5 della Germania.

I rischi aziendali includono:

La sovranità dei dati non riguarda solo il rispetto dei requisiti legali; implica anche la disponibilità di sistemi tecnici adeguati. Per applicare veramente la sovranità, è necessario combinare diverse tecnologie:

1.   Le piattaforme cloud sovrane si riferiscono a infrastrutture locali gestite all'interno di confini legali e geografici definiti, evitando così la dipendenza da sistemi controllati da potenze straniere.
2.   Le Chiavi di Crittografia Gestite dal Cliente (CMEK) forniscono all'organizzazione il controllo sulle chiavi di crittografia, limitando potenzialmente la capacità del provider cloud di decriptare i dati, anche in risposta a richieste legali.
3.   Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK) sono due diversi livelli di offerta al cliente per mantenere la chiave. Il cloud facilita tipicamente le operazioni crittografiche ma generalmente non decripta i dati.
4.   I controlli di residenza dei dati sono configurazioni che limitano la replicazione o il backup dei dati a regioni specifiche.
5.   Il calcolo confidenziale fornisce supporto hardware (ad esempio, tramite Intel SGX o AMD SEV) per proteggere i dati mentre vengono elaborati, oltre ai dati a riposo o in transito.
6.   L'architettura a fiducia zero si basa sulla verifica costante dell'identità e sul principio del privilegio minimo per l'accesso.

L'applicazione pratica della sovranità dei dati può comportare considerazioni complesse. Le principali preoccupazioni sono classificate in tre aree chiave:

1.   Costo. Il costo associato alla costruzione di soluzioni sovrane infrastruttura cloud è distinto da quello di un cloud pubblico standard.
2.   Gestione. Le organizzazioni che operano in più giurisdizioni devono seguire diverse normative in ogni paese.
3.   Leggi. I sistemi legali sovrani possono accogliere interpretazioni divergenti, e le soluzioni tecniche potrebbero non costituire una risposta universalmente applicabile.

Altre aree da considerare includono:

•     A differenza degli hyperscaler globali, la quantità di fornitori più piccoli conformi ai requisiti sovrani potrebbe essere associata alle loro offerte di funzionalità.
•     Le differenze nello sviluppo degli standard tra i paesi possono influenzare la creazione di un approccio di conformità globale coerente.