In 2 frasi. Il Cloud Act (legge americana del 2018) consente a un procuratore USA di esigere l'accesso ai dati detenuti da un'impresa americana o da una sua filiale — anche se tali dati si trovano sul suolo europeo. SecNumCloud (qualificazione francese dell'ANSSI) garantisce che un servizio cloud sia immune da questa imposizione.
Il Cloud Act, in chiaro
Adottato nel marzo 2018 dal Congresso americano, il Clarifying Lawful Overseas Use of Data Act (CLOUD Act) consente alle autorità giudiziarie americane di esigere da un'impresa soggetta al diritto USA la comunicazione dei dati che detiene, indipendentemente da dove tali dati siano fisicamente conservati.
Esempio concreto: se i vostri dati sanitari sono presso AWS Parigi (AWS Europe SARL), un procuratore federale americano può obbligare Amazon Web Services Inc. a consegnarli. Anche se sono cifrati a riposo, se AWS detiene la chiave, deve fornirla. La società francese AWS Europe, filiale di Amazon, è soggetta a questa ingiunzione di riflesso.
Perché è un problema per la sanità
I dati sanitari sono classificati come «dati sensibili» dall'articolo 9 del GDPR. Possono essere trasferiti fuori dall'UE solo a condizioni rigorose. Il Cloud Act crea un conflitto di leggi: l'host americano è stretto tra un obbligo USA (consegnare) e un divieto europeo (non trasferire).
La CGUE ha invalidato il Privacy Shield nel 2020 (sentenza Schrems II), proprio perché le leggi di sorveglianza americane (tra cui il Cloud Act) sono giudicate incompatibili con il livello di protezione europeo.
Conseguenza pratica. Usare AWS o Azure per ospitare dati sanitari europei, anche in una regione europea, resta giuridicamente fragile. Le piattaforme che lo fanno lo sanno. Molte lo accettano scommettendo sul fatto che nessun procuratore americano si interessi a cartelle cliniche europee anonime.
SecNumCloud, l'antidoto francese
SecNumCloud è una qualificazione rilasciata dall'ANSSI (Agenzia nazionale francese per la sicurezza dei sistemi informatici) ai fornitori cloud che soddisfano criteri rigorosi:
- Giurisdizione francese o europea — la società che gestisce il cloud non è soggetta al Cloud Act
- Capitale a maggioranza europea — nessun controllo da parte di un'entità soggetta a diritto extra-europeo
- Infrastruttura fisica in Francia o UE — nessuna conservazione né trattamento fuori dall'UE
- Personale abilitato — le persone con accesso tecnico ai dati sono europee e abilitate
- Requisiti di sicurezza elevati — basati sugli standard ISO 27001, con SecNumCloud ancora più rigoroso
In Francia, solo alcuni fornitori sono ad oggi qualificati SecNumCloud: principalmente OVHcloud, Outscale (gruppo Dassault) e Scaleway.
SecNumCloud non è «solo» un host francese
Molte piattaforme sanitarie francesi ospitano presso un fornitore francese che rivende AWS: tecnicamente in Francia, giuridicamente soggetto al diritto americano tramite il subappalto. SecNumCloud vieta esplicitamente questa configurazione.
La qualificazione esige inoltre che il fornitore rifiuti qualsiasi ingiunzione straniera, documenti tutte le richieste giudiziarie ricevute e sia sottoposto a audit regolari dell'ANSSI.
La tabella comparativa
- AWS / Azure / Google Cloud Europe: soggetti al Cloud Act, un procuratore USA può imporre
- Fornitore francese che rivende AWS/Azure: stessa imposizione di riflesso
- Host HDS classico: hosting in Francia, ma non necessariamente SecNumCloud (può avere dipendenze USA)
- Fornitore SecNumCloud: immunità dal Cloud Act garantita dall'ANSSI
A che punto sono gli attori europei della sanità digitale?
La situazione è eterogenea:
- Portali sanitari nazionali: ospitati su infrastruttura sovrana
- Grandi piattaforme di prenotazione: hosting in Francia ma in parte AWS — punto di attrito durante l'audizione al Senato del 2021
- Software per studi medici: hosting variabile, spesso su fornitori francesi
- Numerose startup sanitarie: AWS o Azure di default, per ragioni di rapidità di immissione sul mercato
Come verificare dove sono ospitati i vostri dati sanitari
Avete il diritto di saperlo. Ecco come esercitare questo diritto:
- Consultate le note legali dell'applicazione o del sito — l'identità dell'host è obbligatoria
- Chiedete al loro DPO via email — la risposta deve arrivare entro 1 mese (articolo 15 GDPR)
- Verificate la certificazione HDS — obbligatoria per qualsiasi dato sanitario, verificabile sul sito dell'ANS
- Cercate la menzione SecNumCloud — se assente, chiedete esplicitamente la conformità al Cloud Act
L'impegno MDMC
My Data My Care ha scelto l'hosting presso un fornitore francese certificato HDS, con qualificazione SecNumCloud in corso. La nostra architettura cifrata end-to-end lato paziente aggiunge un ulteriore livello: anche in caso di ingiunzione, non deteniamo le chiavi di decifratura del vault del paziente. I vostri dati sono illeggibili senza il vostro consenso crittografico.
È scritto nelle nostre condizioni di vendita, verificabile nella nostra architettura e fa parte dei nostri impegni del manifesto.
Da ricordare
La scelta dell'hosting non è un dettaglio tecnico. Determina chi, nel mondo, può accedere legalmente ai vostri dati sanitari. SecNumCloud + cifratura end-to-end lato paziente è oggi il più alto livello di sovranità digitale in Europa. Le altre opzioni comportano, a vari livelli, compromessi sulla vostra privacy medica.