Cloud Act USA è realmente un problema? Si tratta della legge che permette di fatto l’accesso alle autorità federali statunitensi ai dati raccolti da un Service Cloud anche su server dislocati in paesi terzi rispetto al territorio USA, laddove questo operatore sia di diritto statunitense. Tradotto: se Microsoft ha una Farm in Germania non la pone al riparo da eventuali richieste di accesso ai dati ivi salvati.
Sì, ma in quale contesto? Il Procuratore Generale domattina si sveglia e decide di indagare su di me e chiede l’accesso ai miei dati e alla mia posta a Microsoft?
Andiamo con ordine
Dopo le recenti uscite dei Garanti austriaco, francese e, dulcis in fundo, italiano sulla questione Google Analytics (che abbiamo affrontato di recente in questo articolo), sotto la lente di ingrandimento sta finendo Microsoft. Ora io mi sento a questo giro di difenderla. E chi mi conosce, e sa quanto io abbia nel mio DNA informatico la Mela morsicata, può intuire quanto sia bizzarra questa mia difesa.
Veniamo ai fatti: in sostanza sebbene MS garantisca che i dati contenuti nei documenti che produciamo con la suite Office 365 stiano su server europei, ci sono almeno due profili di rischio da tenere sotto controllo.
Problema 1 – Cloud Act
Vale a dire la legge americana che consente al governo federale di mettere il naso nei dati anche se salvati su server europei di società di diritto americano. Come a dire mie care società americane inutile che andiate a salvare all’estero, vi prendo comunque? Quindi, il problema si ripeterà nuovamente con la suite di office automatico di Google? Parliamone.
Problema 2 – Metadati
Altra criticità. Questa brutta. Se i file generati con la suite Office 365 vengono sì salvati in Europa, i metadati da essi generati no. Vengono spediti dritti dritti a Richmond per analisi statistiche e di marketing. Così da capire le funzionalità dei programmi che sono più usate e indirizzare lo sviluppo applicativo seguente. Giusto per fare un esempio tranquillo di loro utilizzo. Peccato che sanno chi usa cosa quando quanto come per quanto tempo ecc.
L’articolo 48
uno degli articoli meno approfonditi del GDPR, ma che in questo periodo è sulla cresta dell’onda recita
Le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria, fatti salvi gli altri presupposti di trasferimento a norma del presente capo.
Il Cloud Act
The CLOUD Act has two distinct parts. First, the Act authorizes the United States to enter into executive agreements with other countries that meet certain criteria, such as respect for the rule of law, to address the conflict-of-law problem. For investigations of serious crime, CLOUD agreements can be used to remove restrictions under each country’s laws so that CSPs can comply with qualifying, lawful orders for electronic data issued by the other country. Second, the CLOUD Act makes explicit in U.S. law the long-established U.S. and international principle that a company subject to a country’s jurisdiction can be required to produce data the company controls, regardless of where it is stored at any point in time.
Il CLOUD Act ha due parti distinte. In primo luogo, la legge autorizza gli Stati Uniti a stipulare accordi esecutivi con altri paesi che soddisfano determinati criteri, come il rispetto dello stato di diritto, per affrontare il problema del conflitto di leggi. Per le indagini sui reati gravi, gli accordi CLOUD possono essere utilizzati per rimuovere le restrizioni previste dalle leggi di ciascun paese in modo che i CSP [Cloud Service Provider] possano conformarsi agli ordini legittimi e qualificati per i dati elettronici emessi dall’altro paese. In secondo luogo, il CLOUD Act rende esplicito nella legge statunitense principio stabilito da molto tempo e di portata internazionale per cui a una società soggetta alla giurisdizione di un paese può essere richiesto di produrre dati che l’azienda controlla, indipendentemente da dove viene memorizzato in qualsiasi momento.
Quindi…
Quindi attenzione, perché parliamo di un accordo che permette agli USA di metter il naso non a caso nei dati dei cittadini europei che usano il Cloud Microsoft, ma solo se coinvolti in indagini penali per reati gravi. Che non è proprio banale come precisazione ed è perfettamente in linea con l’articolo 48 del GDPR. Questo quanto veniva dichiarato sull’accordo nel 2019 dal Department of Justice (DOJ) statunitense.
I funzionari del Dipartimento di Giustizia e della Commissione europea si sono incontrati ieri per avviare negoziati formali su un accordo UE-USA per facilitare l’accesso alle prove elettroniche nelle indagini penali.
Per quale ragione cito questa dichiarazione? Banalmente per sottolineare che questo tipo di accordo non è in vigore da due minuti, ma da qualche anno ormai e non contraddice i principi del Capo V del GDPR. Cioè siamo in un contesto di mutua assistenza giudiziaria. Vale a dire che tendenzialmente quando viene richiesto dall’autorità giudiziaria americana di passare dei dati personali oltreoceano è sulla base di un accordo che esiste tra le due sponde atlantiche. Pertanto, a mio modestissimo avviso vedo l’agitazione da parte delle autorità garanti che stanno investigando Microsoft (Germania) per questo tema abbastanza pretenziose e figlie di un formalismo eccessivo che lungi dall’essere propositivo, rischia di diventare un arma che potrebbe ritorcersi contro il GDPR medesimo.
E i metadati?
Ecco, questo potrebbe essere il solo e unico aspetto sul quale Microsoft potrebbe avere voce in capitolo. Il trasferimento di quei dati a fini commerciali negli States non è legittimo. Punto. Non c’è molto da dire, salvo che in questo contesto l’azienda di Richmond può decidere lei cosa fare dei dati: analizzarli in loco senza trasferirli, oppure anonimizzarli e trasferirli anonimi (alla maniera del GDPR però).
Concludendo
L’isteria collettiva da trasferimento di dati personali sta assumendo i contorni del grottesco. Ormai ho visto aziende europee che chiedono ad alcuni miei clienti europei di compilare tra di loro le Clausole Contrattuali Tipo… Non ci siamo. Occorre calmarsi leggere il GDPR e sopratutto (e questo a mio parere devono averlo chiaro politici e garanti europei) non scaricare sulle aziende il costo tecnico e operativo di questa situazione. Quindi non ritengo opportuno vedere liste di operazioni complesse per impedire il trasferimento dei metadati verso i server americani di MS.
- effettuare il controllo delle trasmissioni di dati a Microsoft;
- l’intervento sulle impostazioni del sistema operativo, bloccando per quanto possibile i trasferimenti;
- l’utilizzo di firewall che impediscano la trasmissione;
- l’uso di indirizzi/account di posta elettronica ufficiali pseudonimi;
- l’utilizzo di un browser preconfigurato e protetto;
- l’uso di dispositivi terminali forniti dalle istituzioni e configurati per salvare i dati;
- il reindirizzamento del traffico attraverso un’infrastruttura separata, con mascheramento degli IP.
Questo genere di richieste possono essere accettabili (e potremmo discuterne comunque) se ti chiami multinazionale, ma non possiamo scordare che l’ossatura imprenditoriale italiana è fatta di microimprese che usano Office 365 e non sono in condizione di applicare simili misure tecniche e organizzative.
Credo che sia opportuno, oltre che serio, che certe decisioni vengano prese ad alti livelli e non scaricate sul groppone di chi già spesso fatica a capire perché sia necessario il GDPR. Se le autorità non saranno in grado di compiere questo passo (al di là di annunci firmali tra i capi di stato che non servono a niente) si produrrà quell’effetto boomerang che innescherà un circolo vizioso attorno alla protezione dei dati personali.
