L’archiviazione di dati online va a gonfie vele. I leader del mercato sono, ovviamente, americani. Con fornitori come Google Drive, iCloud e Dropbox, le aziende d’oltreoceano sono in testa alla classifica.
Tuttavia, sebbene i loro servizi siano di alta qualità, non è detto che non siano colpevoli di nazionalismo. Conservare i dati della sua azienda online con fornitori di servizi americani potrebbe essere un grave errore.
Gli Stati Uniti sono oggi la prima potenza mondiale, sia in termini militari che economici o industriali. Così facendo, il suo governo si sta arrogando prerogative che ha tutto il potere di imporre all’intera comunità internazionale.
In questo caso, le leggi statunitensi come il Patriot Act e il Cloud Act sono il braccio armato di una politica di governance applicata ai cittadini non americani. In altre parole, a seconda delle sue scelte, l’amministrazione e la magistratura statunitensi hanno autorità su di lei e sui suoi dati.
Si potrebbe pensare che gli Stati Uniti d’America, in quanto punta di diamante della democrazia nel mondo, abbiano il miglior sistema politico, in particolare nella teoria e nella pratica costituzionale dei pesi e contrappesi. In altre parole, la più compiuta separazione dei poteri, tanto cara ai teorici dello Stato come Montesquieu.
La realtà non è proprio la stessa. Le leggi sulla sorveglianza di massa messe in atto dagli Stati Uniti dalla seconda metà del XX secolo, culminate nel Cloud Act del 2018, sembrano non solo contrarie alla loro Costituzione, ma anche alla visione classica dello Stato di diritto. In altre parole, qualsiasi altro Stato che introduca una legislazione di questo tipo verrebbe probabilmente bollato immediatamente come Stato di polizia.
Questo perché, oltre al Patriot Act e al Cloud Act, gli Stati Uniti basano ancora il loro arsenale legale su una legge e un decreto presidenziale: il Foreign Intelligence Surveillance Act e l’Executive Order. Alla luce di questi testi legali, spiegheremo perché archiviare i suoi dati in un Cloud gestito da un’azienda americana è una scelta rischiosa. Per farlo, esamineremo la legislazione che si applicherà a lei una volta che avrà deciso di fare il grande passo.
Cos’è il Patriot Act e come funzionano le sue condizioni di extraterritorialità?
Il Patriot Act è una legge americana sulla sicurezza interna approvata appena 45 giorni dopo gli attacchi dell’11 settembre 2001. In altre parole, è stata approvata in gran fretta da un Congresso ancora traumatizzato dagli eventi di New York.
Il risultato è un assegno in bianco dato alle autorità di polizia per svolgere le indagini. Perché dovrebbe essere così? Perché, sebbene sia necessario un mandato del giudice, quest’ultimo non può più opporsi ad esso per mancanza di una “causa probabile”.
Di conseguenza, tutti i suoi dati possono essere sequestrati senza che lei venga informato o che un giudice statunitense possa opporsi. Non pensi che la Costituzione degli Stati Uniti sia di grande aiuto, perché secondo il Dipartimento di Giustizia degli Stati Uniti, il Patriot Act codifica semplicemente la giurisprudenza già riconosciuta dalla Corte Suprema.
Nel 1979, ad esempio, ha stabilito che l’argomentazione secondo cui le perquisizioni segrete erano incostituzionali era “frivola”. Dodici anni prima, aveva già stabilito che gli agenti di polizia non erano tenuti a comunicare all’imputato il motivo, o i motivi, di una perquisizione.
Tuttavia, la novità del Patriot Act per un’azienda francese o europea è la sua applicazione extraterritoriale. In altre parole, dal momento in cui la sua azienda è sospettata di avere legami con un individuo o un gruppo terroristico che minaccia il territorio americano o i suoi interessi, l’intero arsenale amministrativo può essere messo in moto contro di lei.
Non pensi di poterla fare franca, anche se non ha intenzione di stabilire legami con gruppi terroristici, o con un cliente le cui idee radicali potrebbero sfuggirle. Vedremo che il Patriot Act è molto meno chiaro nella pratica di quanto sembri. Prima di ciò, analizziamo un’altra controparte di sicurezza: il Cloud Act.
Cos’è il Cloud Act?
Il Cloud Act è stato approvato nel 2018 per consentire alle autorità statunitensi un maggiore accesso ai dati degli utenti di soluzioni di archiviazione dati online.
Ufficialmente, viene presentato dal Dipartimento di Giustizia come un provvedimento che consente alle autorità di Paesi terzi di richiedere a qualsiasi azienda americana che ospita dati, con l’obiettivo di accedervi nell’ambito di un procedimento penale.
Più in dettaglio, consente a qualsiasi amministrazione statunitense di ottenere i dati di qualsiasi utente, a condizione che siano :
– conservati negli Stati Uniti
– o conservati da un’azienda americana in qualsiasi Paese del mondo,
– il tutto senza che nessuno lo sappia, a parte l’azienda richiesta e il dipartimento governativo interessato.
Questo ultimo atto legislativo statunitense non è l’unico strumento al servizio del Governo degli Stati Uniti.
Che cos’è il Foreign Intelligence Surveillance Act (FISA)?
Il FISA è stato approvato nel 1978 da un Congresso che voleva regolare le pratiche di sorveglianza delle autorità federali. Come il Patriot Act, questa legge cercava di codificare le pratiche esistenti.
LaSezione 702, aggiunta nel 2008, obbliga le aziende statunitensi a facilitare la sorveglianza mirata di una persona al di fuori del territorio degli Stati Uniti.
Questa legge si rivolge specificamente a cittadini non americani sospettati di possedere, ricevere o comunicare informazioni di interesse per il controspionaggio. Il suo ambito di applicazione, come il Patriot Act, è ufficialmente finalizzato alla lotta contro il terrorismo internazionale.
Ordine esecutivo 12333
L’Ordine Esecutivo 12333, firmato da Ronald Reagan nel 1981, è, come sottolinea il Washington Post, un documento che offre possibilità ancora maggiori rispetto a quelle della sezione 215 del Patriot Act.
Tuttavia, il Decreto Presidenziale 12333 questa volta si applica solo ai cittadini statunitensi che vivono all’estero. Ciò consentirà comunque alle agenzie di intelligence statunitensi di accedere ai suoi dati se sono interessate a uno dei suoi clienti americani.
In base a questo decreto, tutti i dati sequestrati dalle agenzie di intelligence degli Stati Uniti avvengono senza alcun mandato e quindi senza alcun controllo da parte di un giudice o addirittura del Congresso.
Come può vedere, la legge non è sempre la garanzia dei più deboli contro il potere dei più forti. È ben lungi dal proteggere sempre le libertà individuali o, più in generale, le libertà pubbliche nel loro complesso. Soprattutto quando si considera la sua applicazione, e quindi la sua interpretazione.
La legge esiste solo attraverso la sua interpretazione
Una corretta comprensione della legge non può mai essere raggiunta semplicemente leggendo una legge. Perché? Perché è sempre impossibile applicare la legge alla lettera. In altre parole, per comprendere la portata di una legge, è necessario capire come si applica. Questo è il problema posto dall’American Patriot Act e dal Cloud Act.
Quando il Patriot Act fa riferimento a “attività sospette”, come viene definita tale attività? Cosa comprende questo concetto? È solo attraverso l’interpretazione che una particolare attività può essere definita sospetta. Il problema è che ogni amministrazione interpreta questa legge a modo suo, e in totale segretezza.
Ciò significa che una volta che i suoi dati sono stati archiviati da un’azienda americana, tutti i suoi dati sono accessibili a discrezione di amministrazioni come la CIA, la NSA e il Tesoro, per citarne solo alcune. Noioso, non è vero? E non pensi di essere immune dalle indagini solo perché non è un criminale o un terrorista.
Lo scopo principale di questo arsenale legale non è dare la caccia ai terroristi, ma distorcere la libera concorrenza. Pensava che gli Stati Uniti fossero l’esempio del libero commercio? Si sbagliava.
Inoltre, la raccolta di dati non riguarda solo i dati dei suoi clienti. Non per niente anche il Tesoro degli Stati Uniti è interessato all’acquisizione dei dati. L’FCPA le dimostrerà che l’archiviazione dei suoi dati digitali può avere un costo.
La legge FCPA, o la nuova tassa per le aziende non statunitensi
Il Foreign Corrupt Practice Act, approvato nel 1977, consente ai tribunali statunitensi di ordinare alle aziende di pagare somme considerevoli in sanzioni. Nel 2014, Alstom ha pagato 772 milioni di dollari, Siemens 800 milioni nel 2008, Daimler 185 milioni nel 2010 e Alcatel-Lucent 137 milioni nel 2010. Questi sono solo alcuni degli importi maggiori.
Come pensa che vengano prodotte le prove? Con qualsiasi mezzo, compresi i dati presenti nel suo Cloud. Se pensa di essere al sicuro perché non ha filiali o dipendenti negli Stati Uniti, deve sapere che l’FCPA si applica non appena sono in gioco gli interessi americani. Anche in questo caso, il concetto di ‘interessi americani’ è aperto all’interpretazione, e non è il suo che conta.
Alla luce di tutte queste informazioni sulla legislazione statunitense, l’opzione di un Cloud gestito da un’azienda francese o europea, sul territorio europeo, sembra più che interessante. Tuttavia, è ancora necessario fare il punto sul famoso RGPD.
Il GDPR, alla luce della legislazione francese ed europea
Il Regolamento Generale sulla Protezione dei Dati (GDPR) è stato adottato dall’Unione Europea per garantire la sicurezza dei dati che gli utenti affidano su Internet alle aziende che operano sul territorio europeo.
È importante esaminare gli obblighi imposti all’azienda responsabile del trattamento dei dati dei suoi utenti e le relative sanzioni, prima di comprendere il suo ruolo nel trasferimento dei dati, in particolare verso gli Stati Uniti.
Gli obblighi del responsabile del trattamento dei dati
In particolare, il RGPD garantisce la tutela dei diritti dei bambini nel contesto della raccolta dei dati. Mentre la raccolta di dati relativi a un bambino di età inferiore ai 13 anni è ancora vietata, per i bambini di età compresa tra i 13 e i 16 anni è consentita solo con l’autorizzazione dei genitori e se riguarda un servizio direttamente rivolto ai bambini.
Il RGPD richiede inoltre ai responsabili del trattamento dei dati di raccogliere solo i dati strettamente necessari allo scopo per cui sono stati raccolti e di garantire la possibilità di cancellare i dati su richiesta della persona interessata.
Il rispetto di tutti gli obblighi imposti dal RGPD può comportare il rilascio di un certificato da parte dell’autorità di vigilanza. Questo certificato è valido per un periodo rinnovabile di tre anni.
Per maggiori informazioni sui dettagli del RGPD, la CNIL (Commission Nationale de l’Informatique et des Libertés) ha pubblicato una guida online per le piccolissime imprese (VSE) e le piccole e medie imprese (PMI). Questa guida le insegnerà come redigere un elenco dei suoi file, ordinare i suoi dati e renderli sicuri.
Il mancato rispetto degli obblighi previsti dal RGPD può comportare sanzioni finanziarie molto pesanti.
Sanzioni applicabili in caso di non conformità
In Francia, la CNIL prende in considerazione un caso in tre modi:
– a seguito di un reclamo da parte degli utenti direttamente sul sito web del CNIL,
– a seguito di un’ispezione del sito web o dell’azienda,
– a seguito di una violazione dei dati.
Il CNIL ha quindi a disposizione una gamma completa di sanzioni, da un annuncio pubblico su Légifrance e sul sito web del CNIL a una sanzione finanziaria fino a 20.000.000 di euro o al 4% del fatturato mondiale dell’anno finanziario precedente.
La CNIL ha multato Google per 150 milioni di euro per la sua politica dei cookie su Google e Youtube. La CNIL ha criticato l’azienda americana per non aver permesso agli utenti di rifiutare i cookie con la stessa facilità con cui li accettano.
Lo stesso giorno, il 31 dicembre 2021, la CNIL ha multato anche Facebook per 60 milioni di euro per gli stessi motivi di Google.
Queste pesanti sanzioni evidenziano da sole l’importanza della questione della protezione dei dati in Europa. Tuttavia, in un mondo globalizzato in cui, soprattutto su Internet, tutte le reti si compenetrano, la condivisione dei dati rende l’articolazione della protezione dei dati alquanto complessa.
Dal Privacy Shield a Shrem II, il giudice diventa il custode dei dati personali
I dati raccolti in Europa possono essere trasferiti in Paesi terzi. Ciò avviene in particolare tra l’Europa e gli Stati Uniti, quando una società madre trasferisce i dati personali a una filiale o a un altro server.
Dal 2016 al 2020, le norme applicabili a questo trasferimento di dati dall’Unione Europea agli Stati Uniti sono state disciplinate dal Privacy Shield. Si trattava di un trattato bilaterale che offriva garanzie agli utenti europei in merito al trattamento dei loro dati personali negli Stati Uniti.
Tuttavia, questa garanzia di protezione dei dati non era così efficace da parte americana come il trattato vorrebbe farci credere. Un avvocato austriaco di nome Schrem ha portato Facebook Irlanda in tribunale, sostenendo che i suoi dati personali, che erano stati trasferiti in tutto o in parte negli Stati Uniti, non erano protetti allo stesso modo di quelli di tutti gli utenti del social network.
La Corte di Giustizia dell’Unione Europea, in una sentenza nota come Schrems II, ha dato ragione al querelante, ponendo così fine al Privacy Shield. Gli argomenti principali della sentenza riguardavano la facilità con cui le autorità pubbliche statunitensi e i loro servizi di intelligence potevano accedere ai dati personali trasferiti.
Nella stessa Francia, le associazioni si sono sollevate contro la raccolta di dati da parte del Governo. Ad esempio, il Consiglio di Stato ha dovuto pronunciarsi sulla partnership tra il Governo e la piattaforma Doctolib in relazione agli appuntamenti per la vaccinazione contro il Covid 19. Il Conseil d’Etat ha deciso di non prendere posizione.
Il Consiglio di Stato ha respinto la richiesta delle associazioni, dopo aver verificato la qualità della sicurezza dei dati, in quanto non sono stati raccolti dati medici.
Allo stesso modo, associazioni come La Quadrature du Net hanno contestato il decreto del 25 febbraio 2011 che impone la conservazione dei dati digitali ai fornitori di servizi Internet davanti al Consiglio di Stato.
I giudici amministrativi hanno respinto le loro argomentazioni per motivi legati alla sicurezza nazionale, alla difesa degli interessi fondamentali della nazione e alla lotta contro il crimine.
Tuttavia, non è possibile per le forze dell’ordine europee requisire un ISP o un’azienda senza l’autorizzazione preventiva di un magistrato. È quest ‘ultimo a valutare l’utilità di tale richiesta nel contesto delle indagini su cui gli investigatori gli riferiscono.
Conclusione
In conclusione, la situazione in Europa per quanto riguarda l’elaborazione dei dati e l’accesso a tali dati da parte delle autorità pubbliche, sia che rientrino nelle competenze dei Ministeri dell’Interno o della Giustizia degli Stati membri dell’Unione Europea, è altamente regolamentata. In Europa non esistono leggi paragonabili a quelle degli Stati Uniti.
Di conseguenza, se un’azienda desidera archiviare i dati online utilizzando soluzioni basate sul cloud, è importante selezionare un fornitore di servizi europeo che archivi i suoi dati sul territorio europeo.
In questo caso, è anche importante verificare che l’azienda non trasferisca i dati a una filiale con sede in un Paese al di fuori dell’Unione Europea, in particolare negli Stati Uniti. Sarà molto difficile che le leggi extraterritoriali degli Stati Uniti si applichino a un’azienda che non ha legami con gli Stati Uniti.
L’archiviazione dei dati tramite aziende americane spalanca le porte allo spionaggio industriale e alle pratiche di concorrenza sleale più tecnologiche. Come abbiamo visto con Siemens, Alcatel-Lucent e Alstom, il governo statunitense, sostenuto dai tribunali, non si fermerà davanti a nulla per indebolire la concorrenza di queste aziende.
Quindi non giriamo intorno al problema.
