L’ordine di un tribunale canadese rivolto a OVHcloud apre un fronte inedito nel dibattito sulla sovranità digitale europea. La richiesta, avanzata dalla Royal Canadian Mounted Police, impone alla società francese di consegnare dati conservati in server situati in Francia, Regno Unito e Australia. Ma ciò che appare come un atto giudiziario ordinario nasconde un potenziale terremoto giuridico: per la prima volta, una giurisdizione estera tenta di forzare l’accesso a dati europei sfruttando la presenza commerciale di una filiale locale, senza passare dai canali di cooperazione internazionale.
Un conflitto di leggi che supera i confini
La decisione canadese aggira i tradizionali strumenti di mutua assistenza giudiziaria, gli MLAT, e si rivolge direttamente alla filiale canadese di OVH, pretendendo la consegna di dati custoditi in Europa. Questo salto di livello crea un effetto domino che mette in crisi il principio cardine della sovranità digitale. La protezione dei dati deve valere nel luogo in cui sono conservati, non in base al domicilio della controllata commerciale.
OVH si trova così in una posizione definita dai propri legali come “materialmente impossibile”. La legge francese vieta di trasmettere dati a Stati terzi al di fuori dei canali ufficiali, con sanzioni che possono arrivare a sei mesi di reclusione. Allo stesso tempo, disattendere l’ordine canadese potrebbe essere considerato oltraggio al tribunale. La giudice Heather Perkins-McVey ha riconosciuto il conflitto, ma ha privilegiato l’interesse nazionale dell’indagine, fissando una data perentoria per la consegna dei dati. Da qui la richiesta di revisione avanzata da OVH, che teme di dover infrangere la legge di uno dei due Paesi qualunque decisione prenda.
Il rischio di un nuovo paradigma
La vicenda tocca un nervo scoperto. Negli ultimi anni, i provider europei hanno fondato la loro credibilità sulla promessa di essere liberi dal CLOUD Act statunitense, presentandosi come custodi di una sovranità tecnologica che garantisce la sicurezza dei dati nel perimetro europeo. Oggi, però, il Canada tenta un approccio simile, appellandosi non alla nazionalità del provider ma alla sua presenza commerciale. Se questa logica dovesse consolidarsi, la localizzazione dei dati perderebbe valore giuridico: non conterebbe più dove i dati si trovano, ma dove si trova la filiale del gruppo.
Mark Boost, amministratore delegato della società Civo, ha sintetizzato il paradosso: “Se un governo può ottenere dati solo perché esiste una filiale nel proprio Paese, la nozione di sovranità digitale perde senso”. È un rischio che potrebbe spingere molte aziende a ridisegnare la propria struttura, creando entità indipendenti, statuti anti-interferenza e infrastrutture realmente isolate dalle holding extraeuropee.
Geopolitica e cloud, una tensione crescente
Il contesto internazionale rende la vicenda ancora più delicata. Con i rapporti tra Unione Europea e Nord America sempre più incerti, anche colossi come Microsoft hanno ammesso di non poter garantire una piena autonomia dei dati europei in ogni scenario geopolitico. Oggi, paradossalmente, un provider europeo rischia di subire le stesse pressioni che un tempo provenivano da Washington, ma questa volta da Ottawa.
La reazione della comunità tecnologica è stata immediata. Il progetto open source GrapheneOS ha annunciato il trasferimento dei propri server fuori dalla Francia, definendo il Paese “non più sicuro per progetti orientati alla privacy”. È un segnale estremo, ma mostra quanto la fiducia nella protezione dei dati europei sia fragile.
Un effetto domino per l’Europa
Le conseguenze potenziali sono profonde. Se l’ordine canadese dovesse essere confermato, i provider si troverebbero di fronte a tre possibili strade: una ristrutturazione delle proprie holding con governance separate, la nascita di casi simili da altre giurisdizioni come Australia o Singapore, e infine un intervento normativo dell’Unione Europea per rafforzare il concetto di “trusted cloud”.
La sovranità digitale, quindi, si rivela una questione non solo tecnologica ma politica e giuridica. Finora l’Europa ha investito sul principio della localizzazione, ma questo caso mostra che la geografia dei server non basta più. Serve una nuova architettura di regole che protegga i dati lungo l’intera catena societaria, indipendentemente dalla presenza commerciale dei gruppi.
L’urgenza di una risposta europea
Il caso OVH segna un punto di svolta. Se una semplice filiale può diventare la chiave per scardinare la protezione dei dati, la sovranità digitale europea rischia di trasformarsi in una promessa vuota. L’Unione Europea dovrà decidere se intervenire per rafforzare la propria autonomia o assistere, impotente, alla frammentazione del suo spazio digitale.
