Un tribunale dell’Ontario in Canada ha ordinato a OVHcloud, società francese soggetta agli standard europei, di consegnare alla polizia canadese dati di clienti archiviati su server in Francia, Regno Unito e Australia.
La Corte canadese ha motivato la decisione con il concetto di presenza virtuale, secondo cui offrire servizi in un Paese estende la giurisdizione anche sui dati archiviati all’estero e controllati da una società europea.
Indice degli argomenti
Conflitto tra legge canadese e normativa francese
L’ordine della Corte dell’Ontario si basa sull’articolo 487.014(1) del Criminal Code canadese. L’autorità in particolare richiede a OVHcloud metadati e informazioni sugli abbonati collegati a quattro indirizzi IP coinvolti in un’indagine penale.
Il nodo centrale del caso è che OVHcloud è una società di diritto francese con sede a Roubaix, soggetta agli standard e alla protezione dei dati europei. Pur esistendo una controllata canadese, Hebergement OVH Inc., questa opera come entità giuridica autonoma e non ha accesso tecnico ai dati della casa madre, archiviati in data center europei.
In Francia, poi, la Loi de blocage (legge n. 68‑678, rafforzata nel 2022) proibisce alle imprese di trasmettere dati a autorità straniere senza passare tramite i canali ufficiali di cooperazione giudiziaria internazionale, le cosiddette rogatorie internazionali.
“Loi de Blocage” (Art. 1 bis)
“Fatti salvi i trattati o gli accordi internazionali […], è vietato a chiunque richiedere, ricercare o comunicare […] documenti o informazioni di natura economica, commerciale, industriale, finanziaria o tecnica volti alla costituzione di prove nell’ambito di procedimenti giudiziari o amministrativi stranieri.”
Le violazioni possono comportare sanzioni fino a sei mesi di carcere e multe fino a 90.000 euro per ogni infrazione. OVH ha avvertito che rispettare l’ordine canadese significherebbe esporre dirigenti e legali interni a responsabilità penali mentre ignorarlo potrebbe generare procedimenti per oltraggio alla Corte in Ontario.
Nel ricorso presentato alla Corte superiore di giustizia dell’Ontario OVH sostiene che la giurisdizione canadese non può estendersi automaticamente ai dati esteri gestiti da un’entità autonoma.
La vicenda mostra come un ordine giudiziario estero, se eseguito senza usare lo strumento internazionale previsto, può creare conflitti legali transnazionali e minare la protezione dei dati promessa dalle aziende cloud europee.
La Francia reagisce e propone la rogatoria internazionale
Il caso ha attivato una risposta immediata di Parigi, innescata dagli obblighi previsti dall’articolo 2 del Décret n° 2022-207 du 18 février 2022.
Tale norma impone alle imprese l’obbligo di informare senza indugio il SISSE (Service de l’Information Stratégique et de la Sécurité Économiques, istituito con Décret n° 2019-206) di ogni richiesta di comunicazione emessa da un’autorità pubblica straniera.
Grazie a questa notifica obbligatoria, il Ministero dell’Economia francese è potuto intervenire formalmente presso le controparti canadesi, ribadendo che il percorso corretto è la rogatoria internazionale (MLAT).
Nonostante la disponibilità francese a collaborare tramite i canali ufficiali, la persistenza della Corte dell’Ontario mette in discussione la credibilità dei fornitori cloud europei che promuovono la protezione dei dati come scudo contro le richieste extraterritoriali.
Oltre il Cloud Act: la nuova frontiera della giurisdizione
Il caso OVH segna un’evoluzione critica rispetto al modello del Cloud Act statunitense. Se la normativa USA esercita un controllo basato sulla nazionalità del provider (vincolando le aziende americane ovunque operino), la pretesa canadese introduce un criterio puramente commerciale e, la semplice operatività sul mercato locale, diventerebbe il titolo sufficiente per sottomettere l’intera infrastruttura europea di una società straniera alla giurisdizione dell’Ontario.
In questo scenario, la “data residency” (la localizzazione fisica dei server) decade come garanzia di protezione. La sovranità non segue più il silicio, ma la governance legale e il cloud europeo perde la sua funzione di “porto sicuro”.
Il rischio concreto è che la presenza commerciale in un Paese terzo si trasformi in un varco giuridico per scavalcare le tutele del GDPR e delle leggi nazionali, rendendo di fatto i confini digitali del tutto permeabili.
Conclusioni e indicazioni operative
Il caso OVH evidenzia come la giurisdizione su dati esteri possa generare conflitti diretti tra ordinamenti, anche quando la localizzazione fisica dei dati è in un altro Paese e la controllata locale non ha accesso tecnico.
Per le aziende europee questo significa che non è sufficiente definire dove risiedono i dati, ma occorre valutare attentamente chi è giuridicamente responsabile e chi ha potere di accesso.
Dal punto di vista operativo, i provider devono aggiornare policy e contratti, prevedere la separazione delle entità giuridiche e implementare sistemi di governance dei dati che riducano l’esposizione a richieste extraterritoriali.
La conoscenza dei canali ufficiali di cooperazione internazionale, come le rogatorie MLAT, diventa essenziale per evitare violazioni della normativa nazionale.
Il caso OVH rappresenta un precedente che potrebbe influenzare l’industria cloud europea nei prossimi anni.
Le decisioni della Corte superiore di giustizia dell’Ontario saranno decisive per stabilire come le aziende devono conciliare la presenza commerciale internazionale con il rispetto delle leggi nazionali e la protezione dei dati, confermando che la sovranità digitale non può basarsi solo sulla nazionalità del provider e la localizzazione fisica dei server, ma sulla governance legale dei dati.
