I tuoi dati sono in Virginia. Ti spiego perché dovrebbe importarti.
Una legge americana del 2018 permette al governo USA di accedere ai dati gestiti da aziende americane, ovunque nel mondo. Se usi Microsoft 365 o Google Workspace, ti riguarda. Ecco come.
Il mito dice: "Sono in cloud, sono al sicuro." La realtà dice: una legge americana del 2018 permette al governo USA di accedere ai tuoi dati ovunque siano nel mondo. Anche se il server è a Milano.
Il mito
Lo sento ripetere almeno una volta a settimana. Un professionista, di solito qualcuno che gestisce dati sensibili, fiscali, legali, sanitari, che mi dice con tranquillità: "I miei dati sono in cloud. Sono al sicuro. Microsoft ha i datacenter in Europa."
E tecnicamente ha ragione. Microsoft ha datacenter a Milano e Amsterdam. Google ha server in Belgio e Finlandia. I dati, fisicamente, stanno in Europa.
Ma "fisicamente" non è la parola che conta.
La parola che conta è "giuridicamente".
Il CLOUD Act: cos'è e perché ti riguarda
Nel marzo 2018, il Congresso degli Stati Uniti ha approvato il CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Il nome è lungo. Il concetto è corto: qualsiasi azienda americana deve consegnare i dati in suo possesso alle autorità USA su richiesta, indipendentemente da dove quei dati siano archiviati nel mondo.
Indipendentemente. Dal luogo fisico.
Il tuo Microsoft 365 con datacenter a Milano? Giuridicamente americano. Il tuo Google Workspace con server ad Amsterdam? Giuridicamente americano. Il tuo Slack, il tuo Dropbox, il tuo Zoom: americani, americani, americani.
Non serve un mandato del tribunale italiano. Non serve notificare te o il tuo provider europeo. Un giudice americano emette un ordine, l'azienda consegna. Fine.
"Ma non succederà mai a me"
Probabilmente no. Non sei un terrorista, non ricicli denaro, non evadi le tasse (o almeno spero). L'FBI non sta cercando i file del tuo studio.
Ma il punto non è se succederà. Il punto è che può succedere, e tu non hai voce in capitolo. Un cliente di uno studio legale coinvolto in un'indagine internazionale. Un'azienda con rapporti commerciali in un paese sotto sanzioni. Un caso di contenzioso dove la controparte americana chiede una discovery, cioè l'accesso a tutti i documenti rilevanti, compresi quelli ospitati sui server del tuo provider.
Non è fantascienza. È procedura legale ordinaria.
Cosa ha detto Microsoft al Senato francese
Nel giugno 2025, il Senato francese ha convocato i rappresentanti di Microsoft per chiedere garanzie sulla protezione dei dati europei. La risposta di Anton Carniaux, direttore affari legali di Microsoft France, pubblica, a verbale, è stata di una trasparenza brutale: non possono garantire che i dati dei clienti europei non vengano consegnati alle autorità americane.
Non "non vogliamo garantirlo". Non possono. Perché la legge americana prevale sui contratti commerciali e sulle policy aziendali. Se un giudice americano ordina la consegna, Microsoft consegna. Punto.
Il presidente di Microsoft Brad Smith ha usato parole più diplomatiche in altre sedi. Ma la sostanza è quella: il CLOUD Act crea un conflitto tra la legge americana e il GDPR europeo, e per un'azienda americana la legge americana vince.
L'EDPS contro la Commissione Europea
Ecco la parte che trovo quasi comica, se non fosse seria.
Nel marzo 2024, il Garante Europeo della Protezione dei Dati (EDPS) ha stabilito che la stessa Commissione Europea ha violato le norme sulla protezione dei dati usando Microsoft 365. L'istituzione che scrive le regole sulla privacy non riesce a rispettarle quando usa gli stessi strumenti che usa tutto il mondo.
Il problema identificato dall'EDPS: la Commissione non ha fornito garanzie sufficienti riguardo ai trasferimenti di dati verso gli Stati Uniti. Tradotto dal burocratese: nemmeno la Commissione Europea è riuscita a ottenere da Microsoft garanzie reali sulla protezione dei dati dai tentacoli del CLOUD Act.
Se non ci riesce la Commissione Europea, pensi di riuscirci tu con il tuo contratto Business Premium da 19,10 euro al mese?
Il framework Schrems e la parete di cartongesso
Qui serve un po' di contesto. Max Schrems, avvocato austriaco, fondatore di NOYB, ha fatto invalidare per due volte gli accordi transatlantici sui dati. Prima il Safe Harbor (ottobre 2015), poi il Privacy Shield (luglio 2020). Ogni volta, la Corte di Giustizia Europea ha detto la stessa cosa: il livello di protezione dei dati negli Stati Uniti non è adeguato agli standard europei.
Nel luglio 2023 è arrivato il nuovo framework, il Trans-Atlantic Data Privacy Framework. Ma Schrems ha già annunciato che lo impugnerà, e molti esperti ritengono che seguirà la stessa sorte dei precedenti. Perché il problema di fondo non è cambiato: il CLOUD Act esiste ancora, e finché esiste, nessun framework può garantire che i dati europei in mano americana siano davvero protetti.
Fermiamoci un secondo. Stiamo parlando di un muro di protezione legale che è stato abbattuto due volte, ricostruito in cartongesso, e probabilmente verrà abbattuto di nuovo. E nel frattempo, i dati dei tuoi clienti stanno lì, esposti al vento giuridico americano.
Il problema del segreto professionale
Questo è il punto dove il discorso diventa personale... nel senso di: riguarda te, professionista italiano.
Se sei un avvocato, sei vincolato al segreto professionale per legge. Se sei un commercialista, gestisci dati fiscali riservati. Se sei un medico, tratti dati sanitari. In tutti questi casi, hai un obbligo legale e deontologico di custodia che non puoi delegare a un soggetto la cui casa madre risponde a un ordinamento giuridico dove quel segreto non è riconosciuto allo stesso modo.
Non lo dico io. Lo dicono gli ordini professionali, che però, e qui sta il paradosso, nella pratica non controllano quasi mai quale cloud usano i propri iscritti.
E adesso?
Non ho una risposta pulita. E questa è la cosa onesta da dire.
Le alternative europee esistono: Infomaniak in Svizzera, Hetzner in Germania, OVH in Francia. Soluzioni self-hosted come Nextcloud per i file, un mail server gestito per la posta. Ma nessuna di queste offre l'integrazione totale di Microsoft 365 o Google Workspace. Il compromesso c'è sempre.
Quello che posso dirti è questo: la scelta di dove metti i tuoi dati non è una scelta tecnica. È una scelta giuridica, deontologica e, diciamolo, politica. E come tutte le scelte che contano, va fatta con consapevolezza, non con un clic su "Accetto".
Il CLOUD Act non è un segreto. È una legge pubblica. Ma è una legge che la maggior parte dei professionisti italiani non conosce. E che i vendor americani non hanno nessun interesse a spiegarti.
Adesso la conosci.
Cosa ne fai, è una tua scelta.
Fonti
- CLOUD Act (H.R.4943), testo della legge
- The Register: Microsoft ammette di non poter garantire la sovranità dei dati UE (giugno 2025)
- EDPS: La Commissione Europea viola le norme privacy usando Microsoft 365 (marzo 2024)
- Wikipedia, EU-US Privacy Shield (Safe Harbor, Privacy Shield, Schrems I e II)
- NOYB, sfida al Trans-Atlantic Data Privacy Framework
