Privacy Shield: come scegliere il Cloud Provider giusto

Il 16 luglio scorso la Corte di Giustizia dell’Unione Europea ha emesso una sentenza che è destinata, forse, a rivoluzionare il mondo del cloud computing, e che comunque avrà un forte impatto nei rapporti con i cloud provider statunitensi: ha dichiarato invalida la Decisione della Commissione UE sul “Privacy Shield”, l’accordo atto a regolare lo scambio di dati personali degli utenti tra Unione Europea e Stati Uniti.

Sul punto si leggono opinioni molto diverse: secondo alcuni tutto può continuare come prima, semplicemente utilizzando altri strumenti legali; secondo gli attivisti pro-privacy, ma anche secondo alcune autorità di controllo (come ad esempio il Commissario per la protezione dei Dati di Berlino), le aziende e le pubbliche amministrazioni dovrebbero invece cessare ogni trattamento “esternalizzato” negli Stati Uniti e portare immediatamente tutti i dati personali in Europa.

Chi ha ragione? Lo abbiamo chiesto all’avvocato Alberto Pianon dello studio legale Array, esperto di ICT Law e privacy, per capire i criteri da utilizzare nella scelta di un provider che ospita i nostri dati in Cloud.

 

Perché l’Unione Europea ha deciso di far cadere il Privacy Shield? Ci sono già stati precedenti in merito?

«Sì, è una storia che viene da lontano, e questo non è che l’ultimo episodio: nel 2015 c’era stato l’annullamento del Safe Harbour, ovvero il precedente meccanismo utilizzato per il trasferimento dei dati personali negli Stati Uniti. Per sostituire il Safe Harbour nel 2016 venne approvato il Privacy Shield.

È quindi la seconda volta che la Corte di Giustizia invalida una decisione della Commissione Europea sull’adeguatezza del livello di protezione dei dati personali negli USA, e non è detto che sia l’ultima.

Secondo la Corte infatti c’è un grosso problema di fondo, che non è mai stato risolto veramente: gli USA hanno delle norme speciali che consentono ad NSA, CIA ed FBI di intercettare dati e comunicazioni di milioni di cittadini stranieri, e quindi anche europei, andandoli a prendere direttamente dai provider di servizi internet, cloud e di social network basati negli Stati Uniti, o addirittura intercettandoli mentre sono ancora in transito nei cavi sottomarini di comunicazione nell’Oceano Atlantico. Queste norme USA autorizzano vere e proprie intercettazioni di massa senza le garanzie minime richieste in uno stato di diritto, ed è per questo che sono stati annullati sia il Safe Harbour che il Privacy Shield.

 

Ma quali sono queste garanzie che mancano quando i dati vengono trasferiti negli Stati Uniti? Sono strettamente collegate al GDPR?

«Non è solo una questione di GDPR, che tra l’altro è entrato in vigore solo successivamente: secondo la Corte di Giustizia, ad essere violati sono i diritti umani della Carta dei diritti fondamentali dell’Unione Europea, ed in particolare il diritto a non essere intercettati al di fuori di chiari limiti previsti dalla legge, e il diritto di poter ricorrere ad un giudice imparziale ed indipendente nel caso questi limiti vengano travalicati.

La Corte parla di mancanza di limiti perché l’unico criterio stabilito dalle norme USA è che la raccolta sia astrattamente idonea ad ottenere informazioni di intelligence estera: in questo modo viene autorizzata la raccolta in massa di enormi quantità di dati e comunicazioni di cittadini non americani senza che sia necessario aprire prima un’indagine ed anzi senza nemmeno sapere a priori quante e quali saranno le persone intercettate.

Quanto poi alla possibilità di ricorrere ad un giudice, alcune norme USA non la prevedono nemmeno per i cittadini stranieri, ed anche negli altri casi si tratta di una possibilità solo teorica per chi non è cittadino americano, per una serie di ostacoli procedurali e sostanziali.

 

C’è chi dice che i trasferimenti dei dati negli USA possono continuare sulla base delle clausole contrattuali standard, perché la Corte di Giustizia ha annullato solamente il Privacy Shield…

Questo è un punto fondamentale da chiarire, perché si presta ad equivoci.

La Decisione della Commissione Europea sul Privacy Shield riguarda specificamente gli Stati Uniti: è una decisione sull’adeguatezza della normativa di quel paese, ed è stata annullata appunto perché la Corte ha ritenuto che la normativa degli Stati Uniti sia inadeguata.

Invece la Decisione sulle clausole contrattuali standard non riguarda specificamente gli Stati Uniti: è un meccanismo che può essere utilizzato per trasferire i dati in qualunque stato al di fuori dell’UE. Ma proprio perché è un meccanismo generale, basato su un semplice contratto tra le parti che non vincola gli stati terzi, richiede delle garanzie in più, sia da parte di chi esporta i dati al di fuori dell’UE, sia da parte di chi li importa nel paese terzo.

A livello pratico, se voglio utilizzare le clausole standard con un cloud provider negli Stati Uniti, devo prima accertarmi se, nel caso concreto, questo provider potrebbe essere costretto a passare i dati e le comunicazioni dei miei utenti all’NSA, alla CIA o all’FBI sulla base di programmi di sorveglianza di massa, ed eventualmente prevedere delle misure ulteriori per impedirlo; e dall’altra parte il cloud provider dovrebbe informarmi prontamente (ammesso e non concesso che sia autorizzato a farlo) quando non è in grado di rispettare garanzie previste le clausole standard, ad esempio a causa di un ordine dell’autorità, e se succede deve cessare immediatamente di fornirmi il servizio.

Inoltre la Corte ha sottolineato che, nel caso di utilizzo di clausole contrattuali standard, se nel caso concreto il livello di protezione non è adeguato il Garante può sempre sospendere il trasferimento dei dati e quindi, di fatto, il servizio.

Se incrociamo tutto questo con il giudizio negativo della Corte di Giustizia sulla normativa statunitense, di cui abbiamo parlato prima, possiamo concludere che utilizzare le clausole contrattuali standard con un provider USA in molti casi potrebbe costituire un’impossibile quadratura del cerchio…

 

Se una multinazionale Americana ha server locati in Europa l’utente può considerare al sicuro i suoi dati?

«Purtroppo no: se ad esempio la succursale europea, per fornire il servizio, trasferisce i dati anche alla casa madre negli USA, siamo punto a capo: i dati sono potenzialmente soggetti a sorveglianza di massa da parte di NSA, CIA ed FBI, senza diritti e rimedi effettivi per gli utenti.

Ed anche se i dati rimangono in Europa, c’è un altro problema: nel 2018, dopo un lungo contenzioso con Microsoft che si rifiutava di fornire dei dati memorizzati presso i propri server in Irlanda, il Congresso USA ha approvato una legge chiamata CLOUD Act, con la quale ha chiarito che i cloud provider americani possono essere obbligati a fornire i dati alle autorità statunitensi anche se questi dati si trovano al di fuori degli Stati Uniti, ad esempio in un server fisicamente collocato in Europa. L’unica condizione è che il cloud provider abbia il controllo di questi dati: condizione che può verificarsi anche se il server è gestito da una succursale europea del provider USA.

Per correttezza, va detto che il rischio nel caso del CLOUD Act è diverso rispetto a quello esaminato dalla Corte di Giustizia, perché non parliamo di programmi di sorveglianza di massa, ma di richieste di accesso che dovrebbero generalmente basarsi su un mandato da parte di un giudice.

Tuttavia, come hanno rilevato sia l’European Data Protection Board che il Garante europeo, si tratta di richieste rivolte direttamente alle società private che processano i dati, bypassando gli accordi di cooperazione internazionale in materia penale, in violazione dell’art.48 del GDPR; con l’effetto di poter togliere ai soggetti interessati dell’UE la possibilità effettiva di ricorrere ad un giudice, e con una potenziale violazione del principio della doppia incriminazione. Inoltre bisogna tenere conto che il CLOUD Act può essere utilizzato anche da parte di altri stati che abbiano stretto accordi con gli USA, come ad esempio l’Inghilterra, di fatto creando una fast-track per le intercettazioni di cittadini di altri paesi che bypassa completamente gli accordi internazionali in materia.

Per tutti questi motivi, secondo l’EDPB e il Garante europeo, il CLOUD Act entra in conflitto sia con il GDPR che con la Carta dei diritti fondamentali dell’UE, ed è necessario approfondirne implicazioni e conseguenze.»

 

Al giorno d’oggi i dati locati nei Cloud sono la più grande risorsa per una realtà pubblica o privata. In qualità di decisore aziendale, come posso fare per scegliere una soluzione che vada a tutelare non solo i miei dati ma anche quelli dei miei clienti?

Se i dati sono la risorsa più preziosa, è fondamentale la scelta della cassaforte in cui decido di metterli – cioè è fondamentale la scelta del cloud provider cui li affido.

E non basta valutare le funzionalità offerte, che magari sono eccezionali, ma devo anche chiedermi: quali sono le promesse che il cloud provider fa in materia di protezione dei dati personali? E sarà poi in grado di mantenerle?

Se anche le promesse, da contratto, sono adeguate, ma quel provider non ha i mezzi tecnici e l’organizzazione per poterle mantenere, o se l’autorità del suo paese potrebbe costringerlo a violarle senza nemmeno avvisare, sicuramente non è la scelta giusta.

Questo vale non solo per le scelte future ma anche per i rapporti in corso. Se la risposta alla seconda domanda è negativa (cioè se il provider che utilizzo non può garantire di poter mantenere le proprie promesse in materia di privacy), fare affidamento sulle clausole contrattuali standard non serve, bisogna sospendere immediatamente l’utilizzo del servizio, e cercare un altro provider che offra garanzie adeguate in materia di protezione dei dati personali.

 

Quindi ha ragione chi dice che dobbiamo portare subito tutti i dati in Europa?

Non sarei così radicale, anche perché la collocazione geografica di un provider non è l’unico elemento su cui basarsi per accertare la sua capacità di mantenere gli impegni assunti in materia di privacy; ed anche la Corte ha ribadito che bisogna valutare caso per caso.

Ma è ovvio che dopo questa sentenza della Corte, la valutazione diventa molto più problematica se parliamo di cloud provider stabiliti negli USA: in molti casi potrebbe risultare difficile immaginare delle soluzioni che possano reggere con sicurezza ad eventuali contestazioni, e rimane sempre il rischio della sospensione del servizio da parte del Garante o dello stesso provider.

Prima quindi di affidarsi ad un provider statunitense è quindi opportuno chiedersi se non ci siano valide alternative offerte da provider europei, o meglio ancora delle soluzioni open source che possano essere gestite in forma self-hosted o su server dedicati. Ricordiamoci sempre che il cloud in realtà non esiste, si tratta solo di computer di qualcun altro: è una soluzione che ha perfettamente senso e può dare grandi vantaggi, a patto però di potersi fidare. Altrimenti, è come dare la chiave della propria cassaforte ad un soggetto che non è in grado di custodirla come merita.

 

Negli anni abbiamo aiutato molte aziende di qualsiasi settore e dimensione. Compila il form, saremo felici di ricontattarti al più presto:


Autorizzo al trattamento dei dati come da Informativa Privacy

Lascia un commento