La Perdita di Controllo sui Dati e le Sue Profonde Implicazioni Geopolitiche ed Etiche

Per comprendere appieno le sfide attuali nel campo digitale, è fondamentale operare una distinzione tra i concetti di sovranità e indipendenza. La sovranità è la capacità di uno Stato ad operare il controllo autonomo di un interesse che riguarda tutti i cittadini. Essa può manifestarsi in ambiti tradizionali come la sovranità “territoriale” o la “difesa”, oggi anche nel digitale, rappresentando un interesse pubblico affinché lo Stato possa governare quel fenomeno e porre un limite totale alle influenze esterne. L’indipendenza, invece, è qualcosa di più inerente la capacità delle imprese e dei cittadini di operare senza vincoli imposti da terze parti. Tuttavia in senso lato non è un interesse meramente economico, come la capacità di produrre autonomamente o di agire senza vincoli finanziari, ma è diventato via via un interesse strategico di difesa che tocca la capacità di autodeterminazione e la sicurezza nazionale nel momento in cui anche la Pubblica Amministrazione dovesse essere soggetta a costrizioni di natura esterna di tipo tecnologico. Si, sono sinonimi ma con qualche distinguo. Nel servizio sovrano c’è un controllo dello Stato, un interesse alla governance diretta, e chiaramente un fattore di esclusione di altri Stati da possibili ingerenze nella gestione. Nell’indipendenza si coglie invece l’aspetto più dinamico, la volontà di produrre in casa un bene o un servizio strategico per le finalità che si intendono perseguire.

Uscendo dalla teoria, la colonizzazione digitale non ha risparmiato nessuno. Tutta Europa è stata assoggettata a una forma di “colonizzazione” che ormai non è più territoriale ma digitale, manifestandosi attraverso la progressiva perdita di controllo sui propri dati da parte degli Stati europei. E questo è accaduto progressivamente ed inesorabilmente, nonostante le numerose e complesse regole che l’Europa stessa ha prodotto per la protezione dei dati. Non siamo cioè riusciti a fermare due derive cruciali. Il primo fallimento è che i nostri dati vadano all’estero senza il controllo e le garanzie che abbiamo stabilito internamente. Questo significa che le nostre informazioni – siano esse personali, aziendali o strategiche – lasciano il perimetro di giurisdizione europea, e vengono esposte a trattamenti illeciti sotto normative diverse dalle nostre e dunque meno stringenti – nonostante nel tempo si siano sviluppati accordi di scarso valore che hanno mostrato da subito tutti i loro limiti. Il secondo fenomeno, ancora più preoccupante per la sovranità nazionale, è la portata extraterritoriale del Cloud Act americano. Attraverso questa legislazione, il giudice americano può ordinare all’operatore di cloud americano di fornire i dati anche di un server localizzato all’estero. Questo significa che, indipendentemente da dove i dati siano fisicamente ospitati – anche se su un server europeo di un’azienda americana – un’ordinanza di un tribunale statunitense può obbligare l’operatore a renderli disponibili. L’amministrazione americana ha ulteriormente stabilito che gli operatori cloud devono fornire l’elenco di tutti i loro clienti aggravando in questo modo il rischio di accesso abusivo a informazioni sensibili e strategiche, e configurando un’ingerenza diretta nella sovranità informativa di altri Stati. Questo quadro di “enclave dei nostri di dati” localmente residenti in Italia ma sostanzialmente all’interno di giurisdizioni straniere, configura una perdita sostanziale di sovranità, rendendo l’indipendenza digitale non più un’aspirazione meramente economica, ma un imperativo strategico di difesa nazionale e di autodeterminazione in un’era in cui l’informazione è potere e il controllo sui dati è il nuovo campo di battaglia geopolitico.

La protezione dei dati, sia personali che non personali, è dunque essenziale per la sovranità. Il concetto di “dati” va ben oltre i soli dati personali, che sono la prima cosa a cui si pensa per via della stratificazione interna del quadro giuridico. La distinzione per cui tutto quello che non è dato-personale è dato-non-personale, non appare più sufficiente nel 2025. Esistono, infatti, i dati aziendali, i dati sanitari, dati critici, i dati strategici, i dati ordinari e altro. Tutti questi tipi di dati sono ormai vitali per le nuove economie e per le capacità strategiche di uno Stato. Persino dati apparentemente innocui e “ordinari”, possono essere utilizzati per risalire all’identità di una persona e alla sua famiglia, rivelando l’ampiezza delle informazioni raccolte e la conseguente necessità di tutela. La dipendenza tecnologica, ridotta spesso solamente dalla mancanza di autonomia nella produzione di chip e dalla gestione dei dati, si è trasformata in una vera e propria “arma di ricatto”. Uno Stato che non controlla le sue infrastrutture digitali e i dati che vi transitano è intrinsecamente vulnerabile alle pressioni esterne e alle decisioni di giurisdizioni straniere.