Negli ultimi mesi, all’interno delle istituzioni europee, si è intensificato un dibattito destinato a incidere profondamente sul rapporto tra tecnologia, sovranità pubblica e diritto dell’integrazione europea: la Commissione europea, infatti, nell’ambito del cosiddetto Tech Sovereignty Package, previsto quale architettura normativa orientata a rafforzare l’autonomia strategica digitale dell’Unione, starebbe valutando l’introduzione di misure idonee a limitare l’utilizzo, da parte delle amministrazioni pubbliche degli Stati membri, di piattaforme cloud appartenenti a fornitori extra UE – e segnatamente statunitensi per il trattamento di dati governativi considerati sensibili.
Le discussioni, secondo le indiscrezioni emerse, riguarderebbero in particolare informazioni finanziarie, sanitarie, giudiziarie e, più in generale, dataset pubblici la cui compromissione potrebbe produrre effetti sistemici sulla sicurezza istituzionale europea.
Il tema, pertanto, lungi dall’essere una mera questione di procurement digitale o di preferenza industriale, si colloca al crocevia tra diritto pubblico europeo, geopolitica delle infrastrutture digitali, sicurezza normativa e ridefinizione contemporanea del concetto stesso di sovranità.
Indice degli argomenti
Differenti concezioni della territorialità del diritto nell’era digitale
Per comprendere la portata di tale prospettiva occorre partire da un dato spesso sottovalutato nel dibattito pubblico: l’ecosistema cloud europeo è oggi fortemente dipendente da operatori statunitensi quali Microsoft Azure, Amazon Web Services e Google Cloud.
Soggetti che, pur operando attraverso data center localizzati anche nel territorio europeo e rispettando formalmente il quadro regolatorio unionale, rimangono comunque assoggettati all’ordinamento giuridico degli Stati Uniti.
Quindi è precisamente in questa intersezione normativa che si annida il nucleo del problema: difatti, il Clarifying Lawful Overseas Use of Data Act del 2018, noto come Cloud Act, attribuisce alle autorità statunitensi la possibilità di richiedere dati detenuti da imprese americane indipendentemente dal luogo fisico di archiviazione degli stessi, configurando una forma di extraterritorialità giuridica che entra inevitabilmente in tensione con l’idea europea di autonomia normativa e protezione dei dati pubblici.
Ciò che si sta delineando, dunque, non è soltanto un conflitto tra modelli industriali concorrenti, bensì uno scontro più profondo tra differenti concezioni della territorialità del diritto nell’era digitale.
Il cloud assume la fisionomia giuridica di un’infrastruttura costituzionale
Il cloud, tradizionalmente rappresentato attraverso una metaforica narrazione di immaterialità e deterritorializzazione, si rivela in realtà come una delle più potenti infrastrutture di potere del XXI secolo e chi ne controlla la capacità computazionale, gli ambienti di elaborazione, le pipeline di dati, gli standard infrastrutturali e le logiche di accesso non governa soltanto un mercato tecnologico: governa la possibilità concreta di esercitare funzioni pubbliche, amministrare servizi essenziali, custodire segreti istituzionali, strutturare politiche sanitarie, fiscali, giudiziarie e di sicurezza.
In altri termini, il cloud cessa di essere un semplice servizio digitale e assume la fisionomia giuridica di un’infrastruttura costituzionale implicita dell’amministrazione contemporanea.
È proprio in questo passaggio concettuale che la riflessione europea acquisisce una rilevanza straordinaria. Se il dato pubblico rappresenta il materiale operativo attraverso cui si esercita il potere amministrativo, allora il controllo sulle infrastrutture che ne consentono l’elaborazione non può più essere trattato esclusivamente come questione di efficienza economica o neutralità tecnologica ma diventa, piuttosto, un problema di sovranità funzionale dello Stato e, nel caso dell’Unione, di autonomia strategica dell’ordinamento sovranazionale.
Il cloud, il GDPR e la sovranità digitale europea
La questione investe inevitabilmente anche il paradigma giuridico inaugurato dal GDPR.
Per anni, il dibattito europeo sulla protezione dei dati personali è stato letto quale espressione della capacità dell’Unione di esportare globalmente i propri standard regolatori attraverso il fenomeno del cosiddetto Brussels Effect.
Tuttavia, la possibile limitazione dei cloud provider extra UE per i dati pubblici sensibili segnala un mutamento paradigmatico assai più radicale: l’Europa sembra progressivamente comprendere che il governo dei dati non può esaurirsi nella sola dimensione della compliance normativa perché regolare il trattamento non equivale a controllare l’infrastruttura e proteggere i diritti fondamentali non implica automaticamente possedere la capacità tecnologica necessaria a garantirli in condizioni di autonomia geopolitica.
In questa prospettiva, la sovranità digitale europea non si configura più soltanto come diritto a disciplinare l’economia digitale, ma come capacità concreta di disporre di infrastrutture computazionali affidabili, resilienti e giuridicamente coerenti con il perimetro ordinamentale europeo.
Il passaggio dal costituzionalismo regolatorio a quello infrastrutturale
La differenza è tutt’altro che semantica ma segna il passaggio dal costituzionalismo regolatorio al costituzionalismo infrastrutturale.
Non è casuale, allora, che il dibattito si intrecci con strumenti quali il Cloud and AI Development Act e il futuro Chips Act 2.0, ossia con iniziative che non mirano unicamente a rafforzare la competitività industriale europea, ma ambiscono a costruire una capacità tecnologica sovrana in settori percepiti come strategici.
Si assiste qui alla progressiva emersione di una nuova grammatica giuridica dell’integrazione europea, nella quale il principio di mercato aperto e la tradizionale neutralità concorrenziale iniziano a confrontarsi con esigenze di resilienza, sicurezza tecnologica e autonomia strategica.
Si tratta di un passaggio estremamente delicato: l’Unione europea, storicamente edificata sulla promozione della concorrenza, della libera circolazione e della neutralità rispetto all’origine geografica degli operatori economici, sembra oggi interrogarsi sulla legittimità di introdurre forme selettive di preferenza infrastrutturale in nome della tutela dell’interesse pubblico digitale.
Tuttavia, tale tensione pone interrogativi giuridici di enorme complessità: fino a che punto l’autonomia strategica può giustificare restrizioni indirette all’accesso di operatori stranieri nei mercati pubblici europei? In che misura la sicurezza dei dati pubblici può diventare un criterio di differenziazione regolatoria senza scivolare verso logiche protezionistiche incompatibili con il diritto del commercio internazionale e con i principi fondativi dell’ordinamento europeo?
Rapporto tra sovranità e dipendenza nell’epoca delle infrastrutture digitali globali
Eppure, limitarsi a leggere il fenomeno attraverso la lente del protezionismo significherebbe probabilmente fraintendere la natura storica del mutamento in corso.
La vera posta in gioco sembra essere un’altra e cioè capire i confini per la ridefinizione del rapporto tra sovranità e dipendenza nell’epoca delle infrastrutture digitali globali.
Per decenni l’Europa ha concepito la trasformazione digitale prevalentemente come processo di modernizzazione normativa, interoperabilità amministrativa, innovazione dei servizi e sviluppo del mercato unico digitale.
Oggi emerge con crescente evidenza che la dimensione tecnologica possiede anche una componente eminentemente geogiuridica.
I layer infrastrutturali incorporano rapporti di potere, asimmetrie normative, dipendenze strategiche, l’amministrazione pubblica europea, affidando dati giudiziari, sanitari o finanziari a ecosistemi tecnologici sottoposti a giurisdizioni esterne, non effettua soltanto una scelta tecnica bensì trasferisce, almeno in parte, una quota della propria vulnerabilità istituzionale in un perimetro normativo non pienamente controllabile.
E in questo scenario, la crescente attenzione europea verso cloud sovrani, procurement strategico, soluzioni open source e capacità computazionali autonome sembra esprimere la consapevolezza, maturata forse tardivamente, che il diritto digitale contemporaneo non può più essere pensato esclusivamente come disciplina dei comportamenti, ma deve necessariamente confrontarsi con il governo delle infrastrutture.
Sovranità digitale e dati pubblici
La sovranità nel XXI secolo, quindi, non si esercita soltanto attraverso il monopolio della forza o della produzione normativa ma si misura anche nella capacità di decidere dove risiedono i dati pubblici, sotto quale giurisdizione vengono elaborati, quali attori controllano gli ambienti computazionali che sostengono il funzionamento quotidiano delle istituzioni democratiche.
E allora la domanda finale non riguarda soltanto il futuro del cloud europeo o il destino degli hyperscaler statunitensi nel mercato pubblico dell’Unione: riguarda, più radicalmente, la natura stessa del progetto europeo nell’era dell’intelligenza artificiale, delle infrastrutture distribuite e della competizione tecnologica globale.
Un’Europa che affida le proprie funzioni pubbliche critiche a infrastrutture soggette a potestà giuridiche esterne può davvero continuare a definirsi pienamente sovrana?
