L’Europa post Privacy Shield: è l’open source la via per uscire dal colonialismo digitale | Agenda Digitale

Cloud Sovrano Europeo

L’Europa post Privacy Shield: è l’open source la via per uscire dal colonialismo digitale

È arrivato il momento di pensare ad alternative open source al cloud delle multinazionali Usa, inadeguato a proteggere i nostri dati. È ora che istituzioni e imprese di rivedano i piani di trasformazione digitale e investano in progetti che permettano all’Ue di focalizzarsi su risorse e piattaforme sviluppate interne

14 Set 2020
Paolo Vecchi

esperto europeo di cloud


La sentenza Schrems II con cui la Corte di Giustizia Europea ha invalidato l’accordo tra gli Stati Uniti e l’Unione Europea chiamato Privacy Shield è una vittoria per la privacy dei cittadini ma conferma anche, ancora una volta, che non ci sono stati cambiamenti positivi, dai tempi dell’invalidazione dell’accordo precedente chiamato Safe Harbor nel 2015, nel modo in cui i dati dei cittadini Europei vengono abusati e trattati illegalmente non solo dalle corporation americane ma anche dalle varie agenzie governative.

In articoli precedenti sono state presentate le evidenze che avrebbero portato all’invalidazione del Privacy Shield, ulteriormente aggravate dalla promulgazione del CLOUD Act nel marzo 2018, come sono anche stati riportati chiari segnali che la Pubblica Amministrazione italiana ha continuato imperterrita ad affidare i dati dei cittadini ad organizzazioni non rispettose delle regole e tanto meno dell’etica.

Cosa significa per individui, aziende ed istituzioni

Per molti esperti del settore questa non è altro che una ripetizione dell’invalidazione di Safe Harbor.

Ci sono i soliti tentativi di minimizzare il problema, di legittimare l’uso dei contratti chiamati Standard Contractual Clauses (SCCs) ed in generale di ignorare che la sentenza ha confermato che per tanti anni il trasferimento ed il trattamento dei dati personali da parte di entità americane, private e governative, è stato fatto in modo illegale.

La sentenza della Corte di Giustizia Europea non è da considerare come la promulgazione di una nuova legge ma come una conferma che l’accordo (Privacy Shield) è stato firmato ignorando sentenze precedenti (Safe Harbor), accordi esistenti (Carta dei Diritti Fondamentali dell’Unione Europea) e leggi in fase di implementazione (GDPR) che lo hanno reso inefficace dal momento in cui è stato firmato.

La conoscenza del fatto che l’accordo facilmente attaccabile, cosi come lo strumento chiamato SCC, non solo crea dei dubbi sulla professionalità ed eticità delle persone coinvolte ma potrebbe anche esporre la Commissione Europea a cause legali permesse dall’articolo 340 del TFEU in quanto adesso buona parte degli utilizzatori di software e servizi Cloud, venduti dai soliti noti, saranno costretti ad implementare alternative per evitare multe per non conformità con il GDPR.

In breve, questa è la situazione attuale:

  • I titolari del trattamento non possono utilizzare responsabili esterni statunitensi o filiali europee di entità statunitensi che utilizzano il Privacy Shield come base legale per il trattamento e/o trasferimento dei dati
  • I titolari del trattamento non possono utilizzare responsabili esterni statunitensi o filiali europee di entità statunitensi che utilizzano Standard Contractual Clauses come base legale per il trattamento e/o trasferimento dei dati

Alcuni responsabili del trattamento statunitensi potrebbero essere utilizzabili ma il titolare del trattamento dovrà verificare che il responsabile del trattamento si idoneo e conforme al GDPR.

Se i fornitori sono soggetti a norme legali statunitensi quali la Sezione 702 del FISA o l’Executive Order 12.333, due degli elementi principali citati dalla Corte di Giustizia Europea per l’invalidazione del Privacy Shield, allora non saranno legalmente utilizzabili.

Per semplificare il processo i seguenti provider, in ordine alfabetico, sono soggetti alle leggi sopra elencate e quindi non dovrebbero essere utilizzati: Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon e Verizon Media (Oath e Yahoo).

Il sito NOYB, la non-profit creata da Max Schrems per gestire la causa legale che ha portato, dopo 7 anni, a invalidare il Privacy Shield, mette a disposizione diversi documenti e formulari che possono essere utilizzati per valutare se il responsabile del trattamento può essere utilizzato legalmente oppure no.

Per molti di noi significa che dovremmo smettere di utilizzare servizi ed applicazioni non permesse dall’articolo 49 del GDPR; in altre parole possiamo ad esempio prenotare un albergo o un volo con entità statunitensi e consentire il trattamento ed il trasferimento dei nostri dati personali in quanto necessari per completare la transazione commerciale. Il trattamento dei dati personali tramite l’articolo 49 è permesso solo se non continuativo ed ogni individuo dovrebbe essere cosciente del fatto che i propri dati personali saranno soggetti a programmi di sorveglianza di massa da parte del Governo statunitense e che in molti casi verranno utilizzati singolarmente ed in forma aggregata per supportare modelli di business che monetizzano le informazioni in modi più o meno etici.

Di seguito alcuni esempi di quando voi come individui, dirigenti aziendali, impiegati pubblici o anche ministri potreste privare altri cittadini del loro diritto fondamentale alla privacy e rendervi non conformi al GDPR:

  • quando installate applicazioni come Facebook, WhatsApp, LinkedIn, Instagram, ecc… o attivate un account Google sul vostro telefono generalmente la prima cosa che fanno è di caricare i dati sul vostro telefono sui loro server per correlare i vostri dati con quelli dei vostri famigliari, amici e colleghi senza ottenere il consenso dalle terze parti coinvolte;
  • quando utilizzate Microsoft Office, Microsoft 365, Google Docs o servizi e prodotti similari; Se scrivete documenti e fogli di calcolo o create presentazioni contenenti dati personali, condividerete quei dati in formato leggibile o li trasferirete una parola o frase per volta tramite i “Connected Services” senza consenso o basi legali. Questo purtroppo avviene tutti i giorni nella maggior parte delle organizzazioni pubbliche o private dove la maggior parte degli utenti non è a conoscenza del fatto che stanno trattando dati personali in modo illegale;
  • quando implementate servizi come Google Analytics, CloudFlare, Amazon AWS, Facebook, ecc. in quanto trattano e trasferiscono dati personali.

In molti hanno dichiarato che utilizzeranno come base legale per il trattamento dei dati personali gli SCC (Standard Contractual Clauses – o in Italiano Clausole Contrattuali Tipo) in quanto non sono stati invalidati esplicitamente dalla Corte (articolo 149 C-311/18). L’unico dettaglio che viene generalmente omesso è che quella base legale potrebbe essere utilizzata con altre nazioni ma sicuramente non gli Stati Uniti (articolo 138 C-311/18).

L’invalidazione del Privacy Shield si basa sul fatto che gli Stati Uniti hanno implementato leggi e programmi di sorveglianza di massa che non forniscono alcun diritto legale di opposizione al trattamento o rimedio (articolo 192 C-311/18) per cui le agenzie locali per la protezione dei dati, in Italia il Garante per la Privacy, avranno l’obbligo di interrompere il trattamento e trasferimento dei dati personali ai responsabili del trattamento statunitensi ed alle loro filiali (articolo 135 C-311/18).

Al momento, diversi noti responsabili del trattamento che, come indicato anche nella sentenza (articolo 139 C-311/18), sono obbligati a notificare al titolare del trattamento i cambiamenti nelle leggi locali che rendono impossibile il rispetto delle norme europee stanno chiaramente e deliberatamente utilizzando pratiche commerciali scorrette ed eticamente dubbie in quanto stanno cercando di convincere i loro clienti ad accettare nuovi contratti SCC, o strumenti similari come BCR e MCCs, invece di informarli del fatto che nessun nuovo contratto metterà al sicuro tali dati o renderà le aziende conformi con il GDPR esponendole al rischio di multe salate (articolo 140 C-311/18).

I titolari del trattamento potrebbero, se incapaci di implementare alternative, continuare ad utilizzare dei responsabili del trattamento non conformi ma dovranno notificarlo al Garante (articolo 145 C-311/18) e naturalmente ottenere esplicito consenso al trattamento da parte di ogni utilizzatore ed interessato.

Sia dal punto di vista etico che legale gli utilizzatori ed interessati dovranno essere debitamente informati che il titolare del trattamento utilizza strumenti che sono soggetti a programmi di sorveglianza di massa e che non permettono alcun ricorso o rimedio legale da parte degli interessati al trattamento.

I titolari del trattamento devono anche tenere in considerazione che è diritto di ogni interessato opporsi al trattamento dei dati tramite strumenti lesivi della loro privacy e presentare un ricorso presso il Garante il quale, essendo perfettamente a conoscenza degli elementi che hanno portato all’invalidazione del Privacy Shield e di conseguenza alla non conformità di altre basi legali, dovrà procedere immediatamente alla sospensione o blocco dei trattamenti e dei trasferimenti di dati tramite il responsabile del trattamento in questione (articoli 111 a 113 e 146 C-311/18).

WHITEPAPER
Perché e quando il provider può diventare un vero e proprio partner di sviluppo del business?
Cloud

La European Data Processor Board ha pubblicato un documento di FAQ che fornisce ulteriori chiarimenti riguardo all’inadeguatezza dal punto di vista normativo di numerosi provider di servizi Cloud forniti da entità statunitensi ed usati nell’Unione Europea.

Non solo una questione legale: in ballo anche etica e modelli di business

Anche per i non esperti del settore dovrebbe ormai essere chiaro che il diritto fondamentale alla privacy dei cittadini europei non è stato protetto, non solo dal governo e dalle corporation statunitensi, ma sfortunatamente neanche dalle istituzioni europee, da Governi e buona parte dei dirigenti a tutti i livelli.

Mentre erano pienamente consapevoli che il Privacy Shield non avrebbe fornito ulteriori garanzie rispetto all’invalidato Safe Harbor, diversi governi hanno deciso di dare l’esempio nell’implementare, promuovere e sovvenzionare piattaforme di fornitori, anch’essi consapevoli della loro non conformità con il GDPR, che non rispettano la privacy dei cittadini.

Ci sono diversi aspetti problematici a livello sociale ed economico nell’affidare le nostre infrastrutture digitali critiche a poche multinazionali ed almeno un paio di esempi sono emersi durante la crisi causata dal Covid-19 in quanto la risposta disponibile da parte dei governi è stata quella di promuovere ancora di più quelle piattaforme e, dovuto principalmente ad una carenza di fiducia nelle scelte digitali fatte dai governi stessi, solo una minoranza della popolazione ha accettato di utilizzare le app di tracciamento dei contatti che, oltretutto, hanno permesso alle stesse multinazionali di ottenere ancora più dati senza consenso.

Alcuni potrebbero avere l’impressione che la cittadinanza accetti silenziosamente l’utilizzo di piattaforme che indebitamente raccolgono e monetizzano ogni spostamento, parola o click che ognuno di noi fa ma, data l’opportunità, il malcontento si fa notare.

Naturalmente l’esempio fornito dalle pubbliche amministrazioni ha portato la cittadinanza a credere che non ci fossero problemi di rilievo e così facendo hanno aiutato a perpetuare la posizione monopolistica o dominante di certi fornitori che operano con modelli di business deleteri per l’economia e la società che alcuni chiamano “capitalismo della sorveglianza”.

Facebook, Instagram, Google, YouTube e tante altre piattaforme non nascondono il fatto che basano il loro business sulla vendita di pubblicità e la raccolta di quante più informazioni possibile in modi più o meno leciti. Sfortunatamente anche la pubblica amministrazione continua ad utilizzare quegli strumenti per monitorare le visite sui propri siti, per promuovere i propri contenuti ed anche per editare, salvare e scambiare documenti ed email contenenti dati personali, rendendo quasi impossibile il sottrarsi da programmi di sorveglianza implementati da agenzie governative straniere e da multinazionali probabilmente incentivate dalle stesse agenzie.

Anche un monopolista del mercato desktop e office come Microsoft trasferisce illecitamente dati verso gli Stati Uniti tramite il proprio servizio di telemetria e più direttamente tramite funzionalità integrate all’interno di Windows e della propria suite Office. Le DPIA (Data Protection Impact Assessment) effettuate per conto del Ministero della Giustizia Olandese su Microsoft Office e Office 365 confermano che i prodotti Microsoft ed i contratti imposti ai titolari del trattamento non sono conformi al GDPR.

Possiamo leggere nell’ultimo report uno dei tanti esempi di come, non solo Microsoft ma in generale tante altre aziende fornitrici di servizi e software basati sul Cloud, usino stratagemmi per accaparrarsi i dati dei loro utenti: “Microsoft ha un interesse economico su certi parametri standard. Microsoft ha dichiarato che subirebbe danni economici se i servizi “Connected Experience” fossero di default ‘disattivati’”.

Questo mette in dubbio tante altre dichiarazioni di Microsoft volte a rassicurare la propria clientela visto che i loro interessi economici, in questo caso 7 miliardi di dollari in un anno grazie ad un semplice parametro, sembrano venire prima del rispetto dei propri clienti e dei cittadini in generale i cui dati sono stati violati a loro insaputa.

Conferma dei problemi relativi all’uso dei prodotti Microsoft e del modello di business disonesto, probabilmente illegale, implementato dal monopolista viene anche dall’investigazione fatta da EDPS e probabilmente sollecitata dalle preoccupanti informazioni contenute nelle analisi menzionate qui sopra dove la non conformità con il GDPR dei contratti e dei prodotti è alquanto palese.

EDPS dichiara: “Quanto riscontrato e le relative raccomandazioni di questa investigazione sono probabilmente interessanti non solo per le istituzioni europee: potrebbero essere particolarmente interessanti per tutte le pubbliche amministrazioni degli Stati Membri dell’EU/EEA.”

Potremmo implicitamente dedurre che quelle raccomandazioni dovrebbero essere implementate anche da tutti i tipi di organizzazioni incluse aziende private che trattano dati personali in quanto anche loro stanno sicuramente trasferendo quei dati illecitamente a loro insaputa.

A titolo di chiarimento questo articolo menziona principalmente Microsoft non perché è il peggior recidivo anche se, essendo il loro sistema operativo e office suite presente sul 90% dei PC e laptop, è un vendor che desta non poche preoccupazioni. Tante altre organizzazioni sono equivalenti, o peggio, ma al momento, dopo anni di rimostranze da parte di specialisti sulla privacy e gli sforzi di alcune istituzioni, abbiamo finalmente una serie di analisi ed evidenze almeno su Microsoft.

Avendo probabilmente riconosciuto le problematiche presentate dai tanti provider di servizi IT e Cloud e dalla carenza di DPIA fatte in modo professionale ed esaustivo da parte delle istituzioni Europee, EDPS ha iniziato una serie di consultazioni volte a migliorare la qualità delle DPIA e, vorremmo sperare, ad ottenere delle analisi dettagliate e comparabili a quelle fatte dal Ministero della Giustizia Olandese su altri fornitori extraeuropei di servizi ed applicazioni.

Un’Europa post Privacy Shield

Al momento sembra che non vi siano soluzioni semplici e veloci riguardanti l’invalidazione di Privacy Shield a parte:

  • dire ai provider di servizi Cloud statunitensi di fare accordi con provider europei per fornire i loro servizi senza trasferire alcun dato verso gli Stati Uniti. (Nota: filiali, come quelle già esistenti, non sono conformi in quanto soggette alle stesse leggi della casa madre);
  • chiedere gentilmente al governo americano di dismettere i programmi di sorveglianza di massa ed alle multinazionali di sviluppare un senso dell’etica più spiccato;
  • ignorare l’evidenza ed annunciare un Privacy Shield 2 rassicurando i cittadini europei che questa volta non verrà sicuramente invalidato da uno studente di giurisprudenza;
  • convincere tutti i cittadini europei a rinunciare ai loro diritti fondamentali ed a partecipare attivamente a supportare il capitalismo della sorveglianza che principalmente arricchisce i conti correnti off-shore di alcune multinazionali

Mentre alcuni potrebbero essere soddisfatti dalle ultime due opzioni, in quanto già usate per approvare il Privacy Shield dopo l’invalidazione di Safe Harbor, la maggior parte dei cittadini vorranno probabilmente valutare opzioni più etiche ed efficaci.

Questo potrebbe essere il momento ideale per le istituzioni ed organizzazioni di rivedere i propri piani di trasformazione digitale ed investire in progetti che permettono all’Unione Europea di focalizzarsi maggiormente su risorse e piattaforme sviluppate e fornite da attori dei mercati interni.

Molti Stati membri hanno già lavorato per ottenere la loro sovranità digitale adottando ed investendo in software Open Source e servizi Cloud locali che forniscono livelli di protezione adeguata alla privacy dei cittadini.

Ci sono tantissimi esempi disponibili come ad esempio la Gendarmeria francese che usa Linux invece di Windows, il ministero della Difesa italiano che ha migrato più di 100.000 utenti da Microsoft Office a LibreOffice o il Governo francese che ha rimpiazzato WhatsApp con Riot e Matrix.

Un’altro progetto interessante in fase di sviluppo è Gaia-X il quale potrà un giorno essere la base per un Cloud sovrano europeo che permetterà migliori processi di interscambio dati nei settori pubblici e privati, standardizzazione con formati aperti e miglior protezione dei dati dei cittadini utilizzando infrastrutture concepite per proteggere i dati invece che monetizzarli ad ogni costo. Il progetto Gaia-X non è ancora pronto ma nel frattempo in diversi stanno preparando le infrastrutture di base come sta facendo il Governo olandese con piattaforme Open Source.

Per quanto riguarda i servizi che utilizziamo ogni giorno come la posta elettronica, la condivisione di file, le suite per ufficio, i siti web, ecc, che alcuni considerano “commodity”, dovrebbero invece essere visti come elementi critici delle nostre infrastrutture digitali in quanto la maggior parte dei nostri dati personali passa attraverso queste piattaforme e dovremmo mantenere questo flusso di dati nell’UE. L’Europa è la patria di un gran numero di aziende e organizzazioni senza scopo di lucro che offrono un vasto numero di piattaforme e software, spesso Open Source, in grado di soddisfare la maggior parte delle esigenze e di consentire miglioramenti collaborativi nel caso in cui siano necessarie alcune funzionalità mancanti.

Non ci vuole un genio per scoprire che ci sono vie d’uscita dal colonialismo digitale in cui ci troviamo; basti prendere d’esempio il CERN, dove il World Wide Web è stato “inventato”, per rendere il nostro percorso verso una Sovranità Digitale Europea sicuramente più semplice.

Il CERN ha sviluppato applicazioni Open Source per tanti anni in quanto ha dovuto creare da zero, o quasi, gli strumenti necessari alle proprie ricerche e più di recente hanno deciso di sviluppare un progetto chiamato MALT (Microsoft Alternative) per rimuovere i prodotti proprietari e sostituirli con le piattaforme Open Source selezionate in quanto perfettamente idonee a soddisfare le proprie esigenze che comunque coincidono, per quanto riguarda gli strumenti d’uso quotidiano ed amministrativo, con quelle di qualsiasi azienda o pubblica amministrazione.

Open Source First Policy

A livello globale tanti governi stanno riscoprendo o implementando alcune forme di policy Open Source. Alcuni governi, come quello Italiano con gli articoli 68 e 69 del CAD (Codice dell’Amministrazione Digitale), hanno varato leggi e normative dichiaranti che il software Open Source deve essere valutato prima di acquistare software proprietario ma molte amministrazioni hanno preferito la facilità e convenienza di acquistare il solito software proprietario anziché investire in un valore collettivo che avrebbe portato benefici non solo all’amministrazione locale ma a tante altre con le stesse esigenze. Negli ultimi anni l’attenzione sull’Open Source è stata ulteriormente distolta dal fatto che alcune multinazionali hanno iniziato ad investire su piattaforme di hosting distribuite, software Open Source venduto come servizio ed anche su grosse campagne marketing per vendere soluzioni complesse a manager diversamente abili in informatica sotto il semplice nome di “Cloud”.

La Commissione europea ha creato l’Open Source Observatory (OSOR) con l’intento di raccogliere informazioni riguardanti iniziative e politiche di sviluppo dell’Open Source nei vari paesi membri. I dati sembrano incoraggianti in quanto diverse nazioni stanno investendo in progetti Open Source che soddisfano le esigenze di specifici settori ma la maggior parte sembra non voler mettere in questione la posizione di certi monopolisti che continuano ad imporre il loro vendor lock-in tramite i loro prodotti ed ora anche con servizi Cloud.

Quello che sembra mancare al momento è una seria campagna d’informazione da parte del Governo stesso che spieghi chiaramente sia ai propri impiegati, dal piccolo comune al grande ministero, sia ai cittadini che è arrivato il momento di implementare seriamente una politica che prevede investimenti su alternative Open Source anziché affittare all’infinito programmi proprietari e servizi Cloud da terze parti che spogliano il paese di risorse economiche ed intellettuali.

Il Governo per primo dovrebbe formare correttamente i propri impiegati ed i cittadini aiutandoli a capire cos’è l’Open Source, l’idea di base della condivisione delle conoscenze, il fatto che nell’era digitale il software Open Source è un asset di grande valore tanto quanto i dati; va protetto e sviluppato in quanto crea posti di lavoro ad alto valore intellettivo ed economico e risorse che rimangono sul nostro territorio invece che essere dirottate altrove come sta succedendo con i nostri dati.

Il Governo non può pretendere che i cittadini abbiano fiducia nelle scelte fatte quando per anni ha dimostrato che la pigrizia, la convenienza ed a volte la forza delle lobby di diverse multinazionali portano a scelte che rendono un’intera nazione un territorio facilmente disponibile alla colonizzazione digitale.

Conclusioni

La crisi causata da Covid-19, le reazioni degli Stati Uniti ad una giusta digital tax e l’invalidazione del Privacy Shield, giusto per citare alcune problematiche evidenziate di recente, dimostrano quando vulnerabili le nazioni siano quando dipendono per i loro servizi e beni essenziali da poche multinazionali e da centri di produzione che sono dall’altra parte del mondo.

Anziché centralizzare, come proposto dal Ministero dell’Innovazione, è necessario decentralizzare per distribuire i rischi ed i carichi su tanti nodi locali standardizzati e tutti basati su Open Source, come con il progetto Gaia-X, che aiuteranno a sviluppare resilienza e conoscenze applicabili su tutto il territorio nazionale creando innovazione e valori reali.

Investimenti e collaborazioni con aziende nazionali potrebbero permettere di fornire un bonus ai cittadini per l’acquisto di tablet e PC con Linux preinstallato, anziché Windows, per permettere a tali cittadini di usufruire dei servizi presenti su Internet e di suite di produttività Open Source senza mettere a rischio la loro sicurezza e privacy ma facendogli invece fare uno sforzo intellettivo per imparare che c’è altro sul mercato e che funziona altrettanto bene. Questo potrebbe permettere ad operatori locali di organizzare corsi on-line per apprendere l’uso di nuovi strumenti creando più opportunità di lavoro e di crescita di conoscenza informatica in una popolazione che effettivamente è diventata un elemento passivo della trasformazione digitale.

Attivare la popolazione con un cambiamento di paradigma radicale potrebbe permettere di far fiorire nuovi talenti ed imprenditori “digitali” in quanto Internet stesso è basato principalmente su Linux e software Open Source. Quello di cui i cittadini hanno bisogno non è un bonus che perpetua la loro passività ma di un Governo che reinvesta il Recovery Fund per sviluppare competenze locali con tecnologie che non sono sotto il controllo di una multinazionale per poter far crescere aziende innovative che possono diventare parte di progetti nazionali ed internazionali indipendentemente dalle loro dimensioni.

Non c’è praticamente alcun motivo valido per non investire in infrastrutture digitali critiche che possiamo controllare in modo indipendente in quanto tutti i componenti e le conoscenze sono già disponibili e possiamo in modo collaborativo sviluppare il Cloud Sovrano Europeo che ci aiuterà a valorizzare i nostri dati in modo etico e sicuro.

*Articolo originariamente pubblicato sul portale della Commissione Europea JoinUp il lingua inglese ed intitolato “On the inadequacy of US Cloud providers”.

WHITEPAPER
Strumenti e strategie per affrontare al meglio le sfide del prossimo futuro
Cloud
Digital Transformation

@RIPRODUZIONE RISERVATA

Articolo 1 di 2