Data protection e cloud, Rebattoni: “Ibm Italia applica norme Ue, Governo Usa non ha giurisdizione” - CorCom

L'INTERVENTO

Data protection e cloud, Rebattoni: “Ibm Italia applica norme Ue, Governo Usa non ha giurisdizione”

L’amministratore delegato chiarisce la posizione della società sulle questioni relative alla sicurezza delle infrastrutture e dei dati depositati e custoditi in Europa. “La situazione non è modificata né dal Cloud Act né da altre leggi”

16 Giu 2021

Domenico Aliperto

Ibm Italia chiarisce la propria posizione in merito alla sicurezza delle infrastrutture cloud e il rischio di esfiltrazione dei dati da parte di giurisdizioni straniere. È lo stesso Stefano Rebattoni, amministratore delegato della società, a sottolineare in una nota il fatto che “Ibm Europa e Ibm Italia sono società autonome rispetto alla casa madre e operano, quindi, in base al diritto dell’Unione Europea e alle leggi nazionali dei paesi in cui lavorano, incluse le norme a tutela della protezione dei dati personali”.

Questo, dice il manager, comporta una serie di implicazioni: “Il governo degli Stati Uniti non ha alcune giurisdizione in tema di accesso ai dati depositati e custoditi in Europa dalle società Ibm europee”, e la “situazione non è modificata né dal Cloud Act né da altre leggi”. Rebattoni conferma che “le organizzazioni Ibm in Europa non daranno seguito a richieste di accesso dati provenienti da paesi diversi da quello in cui opera l’affiliata Ibm a meno che non si sia tenuti a farlo in forza di norme o ordini applicabili nel territorio nazionale”.

Ibm non ottempera alle prescrizioni del Cloud Act

D’altra parte, da quando il Cloud Act è entrato in vigore nel marzo 2018, né Ibm Corporation né alcuna delle società Ibm operante sul suolo europeo hanno fornito dati dei clienti a soggetti terzi, proprio per effetto dell’applicazione di queste norme. “In tutte le sue organizzazioni nazionali, tra l’altro, Ibm ha ricevuto una sola richiesta di accesso”, precisa Rebattoni, “e ha ritenuto che essa non fosse coerente con i principi sull’accesso ai dati che la stessa Ibm ha stabilito e comunicato ai propri clienti, né che fosse in altro modo coerente con norme di diritto nazionale o internazionali che risultassero applicabili. Per questi motivi Ibm ha rifiutato di fornire i dati richiesti. Al contrario, ha insistito che il governo degli Stati Uniti contattasse direttamente il cliente o si attivasse attraverso il processo di mutua assistenza legale (Mlat) riconosciuto a livello internazionale. Questo risultato sarebbe stato lo stesso anche prima dell’approvazione del Cloud Act”.

WHITEPAPER
Minacce alle infrastrutture: come mettersi in sicurezza? Una guida per gli IT Manager
Sicurezza
Network Security

La differenza con gli operatori Cloud di stampo consumer

Rebattoni evidenzia inoltre che Ibm è una società con caratteristiche differenti rispetto agli operatori cloud del mercato che gestiscono piattaforme consumer. “Ibm è un fornitore di servizi cloud per aziende pubbliche e private, nonché per istituzioni anche governative e differisce, quindi, dai player che raccolgono grandi volumi dati, che sono il vero obiettivo di analisi del Cloud Act. Tutto ciò è confermato dal nostro ultimo rapporto sulla trasparenza: nel 2020, nessuna organizzazione Ibm, tranne l’unico caso sopra descritto, ha ricevuto o fornito dati dei clienti diversi da quanto strettamente necessari per consentire eventualmente alle autorità di contattare direttamente i soggetti interessati. “Grazie a Ibm ‘Only Eu‘ per l’archiviazione e l’elaborazione dei dati in Europa, alle tecnologie di crittografia ‘Keep Your Own Key’ e di Confidential Computing, nonché all’impegno profuso nei progetti europei (come l’Eu Cloud Code of Conduct e Gaia-X), Ibm continua a confermare il proprio impegno e leadership tecnologica per supportare la creazione di un cloud europeo sicuro ed affidabile, ispirato ai valori del nostro continente”, chiosa Rebattoni.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Personaggi

S
Stefano Rebattoni

Aziende

I
ibm

Approfondimenti

C
Cloud
C
cloud act
C
compliance
D
data protection

Articolo 1 di 4