Un ecosistema unificato di servizi cloud e data center che siano disciplinati dalle leggi sui dati dell’Unione europea. Così si può riassumere la natura di Gaia-X, l’iniziativa europea nata nell’ottobre 2020 su proposta francese e tedesca che ora vede la partecipazione di tutte e 27 i membri dell’Ue, la Commissione europea e circa 100 aziende.
L’obiettivo è ambizioso: riportare il flusso e l’archiviazione dei dati europei sotto un maggiore controllo, affinché il GDPR sia sempre rispettato e la privacy dei cittadini Ue garantita.
Una interessante sfida a cui anche i big statunitensi dei cloud come Google, Amazon Web Services (Aws) e Microsoft non vogliono rinunciare, tanto da essere entrati a far parte del progetto in cui porteranno la loro esperienza pluriennale in soluzioni cloud e archiviazione dati. Ecco allora cos’è Gaia-X, cosa è importante e cosa implica il progetto per tutti noi.
Privacy: cos’è la sovranità dei dati
Per comprendere la necessità di Gaia-X, bisogna prima comprendere un concetto importante: la sovranità dei dati. Con questo termine, si intende che i dati e soprattutto le informazioni di identificazione personale, sono disciplinati dalle leggi per la protezione della privacy e dalle norme del Paese in cui vengono elaborati. In particolare, l’Europa ha adottato il regolamento generale sulla protezione dei dati (GDPR) e tutti sono tenuti a rispettarlo per i dati inerenti i suoi cittadini. Il problema arriva quando i dati vengono elaborati in un altro Paese, che avrà quindi un regolamento differente. Con l’introduzione del GDPR, i Paesi in cui vengono inviati i dati per elaborazione o archiviazione devono dimostrare di disporre di un trattamento dei dati e della privacy che sia almeno efficace quanto quello originale.
Per questo motivo, è importante comprendere la differenza tra residenza dei dati e sovranità dei dati. Nel primo caso, si intende il luogo geografico in cui un Paese o un’azienda archivia i dati raccolti. Potrebbe scegliere un determinato Paese per vantaggi legali o fiscali. La sovranità dei dati invece si basa sulle esigenze geografiche della residenza dei dati, che sono quindi soggetti alle leggi del Paese in cui si trovano fisicamente i server.
Gaia-X: cos’è il progetto europeo
I big del cloud come IBM, Microsoft, AWS, Alibaba e Google hanno fondi sufficienti per costruire e posizionare i propri data center in tutto il mondo. Una possibilità di scelta che viene influenzata dal concetto di sovranità dei dati e soprattutto delle leggi sulla conservazione e archiviazione di questi nei data center. Il 15 ottobre 2020 gli stati dell’Unione europea hanno lanciato il progetto Gaia-X, che nasce dalla collaborazione tra Commissione europea, i 27 Stati membri e circa 100 aziende e organizzazioni, tra cui Deutsche Telekom AG, Deutsche Bank AG, Siemens e Bosch.
Il progetto vuole riportare il flusso e l’archiviazione dei dati europei sotto un maggiore controllo dell’UE, basandosi sul principio di sovranità dei dati. Ad esempio, un cloud che abbia i propri data center negli Stati Uniti sarà più difficile da controllare da parte delle organizzazioni europee per verificare che siano rispettate le normative sulla conservazione dei dati personali. L’obiettivo è creare una infrastruttura cloud federata che permetta di accedere ai dati in modo sicuro, nel pieno rispetto della privacy e del GDPR.
Gaia-X: come sarà il progetto
Il progetto si basa su un ecosistema che dovrà essere interoperabile, portabile, trasparente, sicuro e privacy by design. Sono diverse le aziende che operano nel digitale che sono state coinvolte e che accedere coi propri servizi dovranno rispettare dei requisiti specifici emanati dalle leggi europee in materia, così da creare una vera e proprio Architecture of Standards. Nel dettaglio, dovranno essere implementati meccanismi di sicurezza e privacy by design che siano armonizzati a livello europeo, oltre che servizi che siano in grado di accertare l’identità della fonte e di chi riceve i dati, garantendo al tempo stesso pieno accesso ai dati e alla possibilità di esercitare i propri diritti per la privacy.
Un accesso semplice dovrà essere garantito a provider, nodi e servizi. Poi c’è integrazione degli standard esistenti per assicurare l’interoperabilità e la portabilità tra infrastrutture e applicazioni, la creazione di un sistema di compliance e di servizi di certificazione e accreditamento. Infine, è previsto il contributo di una combinazione disoftware, sia open source che standard, che supportino la realizzazione di un’infrastruttura che sia interoperabile e sicura. Entro la fine del 2021 le aziende e le istituzioni dovranno presentare i loro progetti, affinché sia possibile passare alla fase due: combinare gli investimenti per la realizzazione dell’ecosistema, definire l’approccio europeo al cloud e ai data center e promuovere l’interoperabilità e la sicurezza.