spot_img
HomeDIRITTO
DIRITTOLast__

DIRITTO E ALGORITMO

diritto e algoritmi italo red italo 
Claudio Caldarola
Avvocato specializzato in diritto delle tecnologie.
Dal 2018 Presidente di Global Professionals for Artificial Intelligence

LA SOVRANITÀ DIGITALE TRA IL CLOUD ACT AMERICANO, IL GDPR, L’AI ACT, LA NIS 2 EUROPEA E LA LEGGE ITALIANA N. 132 SULL’INTELLIGENZA ARTIFICIALE

INTRODUZIONE

Immaginiamo un magistrato italiano che, per analizzare un fascicolo digitale, si affidi a una piattaforma di intelligenza artificiale ospitata su server ubicati negli Stati Uniti. I dati del procedimento – atti, prove, corrispondenze – oltrepassano i confini giuridici nazionali e viaggiano in infrastrutture soggette a legislazioni differenti. È questo lo scenario, oggi reale, nel quale il diritto si confronta con la perdita della territorialità del dato e con la nascita di una nuova sovranità, quella digitale.

La domanda, ineludibile, è se l’ordinamento europeo e quello italiano riescano a garantire la tutela effettiva dei diritti fondamentali di fronte a un sistema, quello statunitense, che ammette l’accesso extraterritoriale alle informazioni archiviate su server americani. Il confronto tra il Clarifying Lawful Overseas Use of Data Act (CLOUD Act), il Regolamento (UE) 2016/679 (GDPR), il Regolamento (UE) 2024/1689 sull’intelligenza artificiale (AI Act), la Direttiva (UE) 2022/2555 (NIS 2) e la Legge italiana 23 settembre 2025, n. 132 offre un terreno di riflessione imprescindibile per comprendere il futuro della giustizia digitale e della sovranità europea dei dati.

1) IL CASO CONCRETO E LA GIURISDIZIONE EXTRATERRITORIALE

Il CLOUD Act (Pub. L. 115–141, Division V, 2018) ha inserito nel diritto federale americano la disposizione 18 U.S.C. – 2713, che impone ai fornitori di servizi di comunicazione elettronica o cloud di consegnare i dati richiesti dalle autorità statunitensi, indipendentemente dal luogo in cui essi siano fisicamente conservati.

La sezione 18 U.S.C. – 2703(h) introduce una comity analysis, ossia una valutazione discrezionale volta a contemperare l’esecuzione degli ordini americani con il rispetto delle leggi straniere eventualmente in conflitto. Tuttavia, nella prassi, l’effetto della norma è quello di subordinare la tutela europea a una valutazione unilaterale, accentuando la tensione fra ordinamenti.

L’origine della controversia è il noto Microsoft Ireland Case, deciso dalla Corte d’Appello degli Stati Uniti, giurisdizione di secondo grado federale, competente per gli Stati di New York, Connecticut e Vermont³. In tale occasione la Corte negò l’estensione extraterritoriale di un mandato di perquisizione relativo a dati archiviati in Irlanda. Il Congresso reagì approvando il CLOUD Act, con l’intento di riaffermare che la giurisdizione segue il fornitore, non la localizzazione del server.

2) IL QUADRO NORMATIVO EUROPEO E NAZIONALE

Nel contesto europeo, la disciplina dei trasferimenti verso Paesi terzi è contenuta nel Capo V del Regolamento (UE) 2016/679 (GDPR).

L’Art. 44 prescrive che ogni trasferimento avvenga nel rispetto di garanzie adeguate; l’Art. 45 riconosce validità alle decisioni di adeguatezza della Commissione europea; l’Art. 46 prevede le clausole contrattuali tipo; l’Art. 48 vieta espressamente l’esecuzione di ordini stranieri non fondati su accordi internazionali vigenti, sancendo la centralità del principio di sovranità giuridica dell’Unione.

A tale quadro si aggiunge il Regolamento (UE) 2024/1689 (AI Act), che disciplina l’impiego dei sistemi di intelligenza artificiale “ad alto rischio”, imponendo requisiti di trasparenza, tracciabilità e qualità dei dati. L’Art. 10 stabilisce che i dati utilizzati per l’addestramento debbano essere documentati e verificabili, rafforzando così l’interoperabilità con i principi di sicurezza del GDPR.

La Direttiva (UE) 2022/2555 (NIS 2) amplia il perimetro della cibersicurezza, imponendo obblighi di gestione del rischio, continuità operativa e notifica degli incidenti (Art. 23).

In Italia, la Legge 23 settembre 2025, n. 132 recepisce e coordina tali normative: l’Art. 3 riconosce il diritto alla trasparenza algoritmica e l’Art. 4 afferma la necessità di assicurare la sicurezza lungo l’intero ciclo di vita dei sistemi di intelligenza artificiale.

3) ANALISI DI COMPATIBILITÀ GIURIDICA

Il conflitto tra il CLOUD Act e il GDPR è sostanziale. L’Art. 2713 del Titolo 18 U.S.C. impone un obbligo di cooperazione ai provider americani, mentre l’Art. 48 GDPR vieta la trasmissione di dati in assenza di una base convenzionale riconosciuta. Ne risulta un contrasto fra obblighi nazionali statunitensi e limiti europei di legittimità.

La comity analysis (18 U.S.C. – 2703(h)) attenua parzialmente tale frizione, consentendo al giudice americano di valutare la gravità del conflitto e la possibilità di soluzioni alternative. Tuttavia, naturalmente, essa non garantisce in via generale la prevalenza del diritto europeo.

Sul fronte europeo, l’Art. 46 GDPR consente di mitigare il rischio attraverso clausole contrattuali tipo e misure supplementari, quali la cifratura end-to-end con gestione europea delle chiavi e la segregazione dei flussi informativi.

L’Art. 10 dell’AI Act integra questa prospettiva, imponendo requisiti di tracciabilità che rendono verificabile ogni fase del ciclo dati. La Legge n. 132/2025 completa il sistema, vincolando l’utilizzo dell’intelligenza artificiale in ambito giudiziario alla conformità etica e alla sicurezza tecnica.

4) LA SICUREZZA, LA RESILIENZA E LA GOVERNANCE

La protezione dei dati non può prescindere da un approccio integrato, che unisca strumenti giuridici e tecnologie di difesa.

Fra le misure più efficaci si annoverano:

– la minimizzazione dei dati (Art. 5, par. 1, lett. c) GDPR);

– la cifratura end-to-end con gestione interna delle chiavi (Art. 32 GDPR);

– la tracciabilità delle operazioni e auditing periodico (Art. 30 GDPR);

– la notifica immediata delle violazioni (Art. 33 GDPR, Art. 23 NIS 2).

L’Art. 3, comma 6, della Legge n. 132/2025 riconosce che la cybersicurezza costituisce condizione di liceità per l’impiego dell’intelligenza artificiale nella pubblica amministrazione e, in particolare, nella giustizia.

Non si tratta soltanto di un obbligo tecnico, ma di un presupposto sostanziale di legittimità giuridica.

5) LA VIGILANZA, LE RESPONSABILITÀ E LE PROSPETTIVE

A livello europeo, le funzioni di vigilanza sono affidate all’European Data Protection Board (EDPB), all’ENISA e all’Ufficio europeo per l’intelligenza artificiale, istituito dal Regolamento (UE) 2024/1689. Invece in ambito nazionale operano il Garante per la protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale, in coordinamento con i ministeri competenti.

È necessario promuovere audit indipendenti, valutazioni d’impatto e sistemi di certificazione periodica dei trasferimenti internazionali di dati.

La prospettiva di lungo periodo impone l’adozione di un diritto adattivo, capace di evolversi con la tecnologia senza smarrire la propria funzione garantista.

Come già accaduto in altri settori, il diritto dovrà divenire architettura, progettato, quindi, insieme alla tecnologia, non successivo ad essa. Solo così sarà possibile un equilibrio autentico tra efficienza, trasparenza e tutela della dignità personale.

CONCLUSIONI

Il dialogo, e talvolta il conflitto, tra il CLOUD Act e il GDPR rappresenta il punto di svolta di una riflessione più ampia sulla giurisdizione nell’era digitale. L’Art. 48 GDPR rimane il presidio normativo contro gli ordini stranieri privi di base convenzionale, ma il suo valore simbolico va oltre il dato tecnico perché incarna la riaffermazione della sovranità europea come capacità di autodeterminare le proprie regole nel cyberspazio.

L’intelligenza artificiale può divenire strumento di emancipazione giuridica solo se accompagnata da governance etica, responsabilità e vigilanza.

La sovranità, oggi, non risiede più nello spazio fisico dello Stato ma nella qualità giuridica delle regole che ne tutelano i dati.

E, in definitiva, nella forza del pensiero umano che continua a presidiare il diritto, anche quando questo si traduce in linguaggio di codice.

fonti

Clarifying Lawful Overseas Use of Data Act, Pub. L. 115–141, Division V, 2018;

Dipartimento di Giustizia degli Stati Uniti, CLOUD Act White Paper, aprile 2019;

In re Warrant to Search a Certain E-Mail Account Controlled and Maintained by Microsoft Corporation, Corte d’Appello degli Stati Uniti, giurisdizione di secondo grado federale, 829 F.3d 197 (2016);

Corte di Giustizia dell’Unione europea, Data Protection Commissioner v. Facebook Ireland & Maximillian Schrems (Schrems II), causa C-311/18, sentenza del 16 luglio 2020;

Commissione europea, Strategia per un’Europa resiliente e sicura nel cyberspazio, COM(2020) 605 final.

By Claudio Cadarola

Previous article
ESTRARRE l’ACQUA dall’ARIA… Vibrando
Next article
La METAMORFOSI PEDAGOGICA: l’IA cambia l’EDUCAZIONE.

suggeriti

- Advertisement -spot_img

Latest Articles

Load more

ItaloRED informazione corretta e puntuale ed IperBlog transgenerazionale
Direttore: Antonio Maria Gallo

Contatto: contact@italored.it

privacy & cookie

© Copyright: italoRED 2023 - Design: anticheofficine.it

INFORMATIVA  cookie policy 
Su questo sito utilizziamo strumenti di 
prime o terze parti che memorizzano
piccoli file (cookie) sul tuo dispositivo. 
I cookie sono normalmente utilizzati
per consentire il corretto funzionamento
del sito (cookie tecnici), 

UTILIZZIAMO SOLO COOKEI TECNICI ESSENZIALI

ATTENZIONE! 
SE DISABILITI i cookie NON POTRAI:
visualizzare filmati di YOUTUBE, ANIMAZIONI 
ed altre FUNZIONI.