Nuova normativa europea sulla libera circolazione dei dati non personali: una tappa importante per contrastare le limitazioni del vendor lock-in

Il 14 novembre 2018 ha sancito l’adozione definitiva della libera circolazione dei dati non personali nell’Unione Europea. Considerata la “quinta libertà fondamentale” dopo la libera circolazione di persone, merci, servizi e capitali, il regolamento Free Flow of Non Personal Data (FFoD) completa il recente GDPR. Per i provider di infrastrutture Cloud questa normativa verrà applicata grazie a un codice di condotta europeo alla cui elaborazione ha contribuito anche OVH, come spiega Alban Schmutz, Vice Presidente responsabile dello Sviluppo e degli Affari Pubblici di OVH.

 

Che ne pensa del nuovo regolamento europeo?

Alban Schmutz: Questa nuova normativa europea completa il GDPR. Meno mediatica dato il carattere B2B, segna comunque una tappa fondamentale nella costituzione di uno spazio europeo unico per la libera circolazione dei dati: da un lato, infatti, abolirà la maggior parte delle restrizioni geografiche relative all’archiviazione e al trattamento dei dati non personali in Europa (con implicazioni soprattutto per le strutture pubbliche), dall’altro permetterà ai clienti di servizi Cloud (Infrastruttura o Software) di cambiare provider con maggiore facilità.

Un’ottima notizia per i provider europei e, soprattutto, per i loro clienti. Oltre a costruire un vero e proprio spazio di libertà tra i membri dell’Unione Europea, la normativa consentirà di sviluppare il mercato europeo dei dati con una crescita del PIL stimata del 4%, pari a circa 8 miliardi di euro all’anno, secondo Deloitte.

 

Quale sarà l’impatto diretto per OVH e i propri clienti?

Alban Schmutz: L’articolo 6 del FFoD ci interessa particolarmente e porterà vantaggi diretti ai nostri clienti. Tratta nel dettaglio la portabilità dei dati non personali in Europa da un provider Cloud a un altro, senza nessun tipo di restrizione. Questa normativa segna una tappa importante per la lotta contro le pratiche di vendor lock-in messe in atto da alcuni provider Cloud, che bloccano o scoraggiano eventuali migrazioni verso altri operatori. Da questo momento, invece, i CIO potranno mettere in competizione i propri fornitori più facilmente e riprendere il controllo delle negoziazioni. A nostro parere si tratta di una misura fondamentale, perfettamente in linea con i valori che difendiamo fin dalla nascita di OVH: la libertà di scelta e la promozione di standard aperti. La portabilità dei dati non personali è, infatti, un modo per garantire la reversibilità. L’ideale sarebbe poter andare ancor più lontano, in particolare relativamente all’automatizzazione tecnica, ma questo punto non costituisce l’oggetto del nuovo regolamento.

 

Come assicurarsi della corretta applicazione della normativa?

Alban Schmutz: L’evoluzione legislativa della libera circolazione dei dati non personali costringe gli attori del mercato europeo ad adottare codici di condotta per garantirne l’applicazione. Attraverso il CISPE (l’Associazione di provider di infrastrutture Cloud in Europa), OVH ha preso l’iniziativa in tal senso fin dall’inizio del 2018 con la redazione di un codice sulle IAAS (Infrastructure as a Service) insieme a EuroCIO, l’associazione europea dei direttori informatici. A partire da aprile 2018, questo lavoro è stato integrato in un processo formalizzato dalla Commissione Europea. Denominato SWIPO (SWItching and POrting), include due gruppi di lavoro: IAAS e SAAS. La versione finale del codice di condotta IAAS sarà pubblicato nelle prossime settimane.

 

Quando diventerà operativo?

Alban Schmutz: La legge è stata votata dal Parlamento europeo il 4 ottobre 2018. Il 9 novembre è stata approvata una versione comune e finale tra il Parlamento Europeo e il Consiglio (Stati Membri dell’Unione Europea), che verrà pubblicata nella Gazzetta Ufficiale dell’Unione Europea tra qualche settimana. Il 4 dicembre 2018 presenteremo ufficialmente la versione finale del codice di condotta a Vienna, nel corso del grande evento ICT2018 organizzato dalla Commissione Europea. A febbraio 2019 sarà disponibile una documentazione complementare con alcuni esempi di utilizzo e i provider che aderiranno al codice inizieranno ad applicarlo nel corso dell’anno.

 

Quale sarà la prossima tappa?

Alban Schmutz: Al di là del nostro contributo sull’infrastruttura Cloud (IAAS), per prima cosa sarà necessario assicurarsi che l’intero mercato del Cloud sia coperto, in particolare il SAAS. Per i nostri clienti, ma anche per l’innovazione e la salute dell’ecosistema tecnologico europeo, è fondamentale accertarsi che l’intero mercato del Cloud rimanga aperto e applichi i principi di reversibilità. Inoltre, nello stesso modo in cui molti Stati non europei hanno adattato la propria legislazione nazionale per conformarsi agli obblighi imposti dal GDPR, anche questa normativa dilagherà nel mondo: i CIO dell’intero pianeta ne hanno bisogno e non accetteranno che i loro provider adottino in Europa una linea diversa da quella utilizzata nei propri confronti. Per la seconda volta dopo il GDPR, l’Unione Europea avrà la possibilità di dimostrare il forte impatto extraterritoriale delle regolamentazioni adottate.