Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GDPR

Cloud act, la norma USA che fa a pugni con la privacy europea: i nodi

Le criticità del Cloud Act in rapporto al Gdpr, le implicazioni di privacy, efficacia extraterritoriale dei provvedimenti e compliance normativa. Tutto ciò che c’è da sapere sulla legge che consente alle autorità Usa di acquisire dati dagli operatori di servizi cloud a prescindere dal luogo dove sono situati i server

11 Giu 2019

Barbara Calderini

Legal Specialist - Data Protection Officier


Sono molti i problemi legati all’implementazione del “Clarifying Lawful Overseas Use of Data (CLOUD) Act” – approvato dal governo Usa lo scorso anno –  che dovranno essere elaborati, sia dalle corti statunitensi che in coordinamento con partner stranieri in Europa e altrove. Il modo in cui tali problemi verranno risolti contribuirà, infatti, a determinare l’efficacia della legge e il suo effetto sulla privacy e sulla sicurezza globali.

Ricordiamo che il Cloud Act consente alle autorità statunitensi, forze dell’ordine e agenzie di intelligence di acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere dal posto dove questi dati si trovano; quindi anche se sono su server fuori dagli Usa. La sola condizione è che questi operatori siano sottoposti alla giurisdizione degli Stati Uniti  oppure anche – attenzione – siano le società europee che hanno una filiale negli Stati Uniti o che operano nel mercato americano.

Dal punto di vista dell’Ue è innanzitutto lecito domandarsi come, ad oggi, il CLOUD Act si possa conciliare con le istanze di protezione dei trattamenti dei dati personali e se, nella sua forma attuale, tale legge statunitense non contrasti con il GDPR ed in particolare con l’art. 48 ed il Considerando 115.

L’intento di questa analisi è quello di mettere in luce le criticità insite in un simile provvedimento, i rischi di disinformazione, scarsa cognizione e strumentalizzazioni economiche di parte, in rapporto alle istanze di tutela dei diritti umani, privacy in primis, cercando di evitare letture eccessivamente retoriche e superficiali.

Il Clarifying Lawful Overseas Use of Data (CLOUD) Act

I trattati di mutua assistenza per l’acquisizione transfrontaliera di prove digitali non sono più adeguati. Troppa burocrazia. Troppe lungaggini. I singoli interlocutori giudiziari preesistenti sono inadatti, se comparati alla velocità con cui dati rilevanti circolano, compaiono e spariscono dalla rete. C’è la necessità di nuovi meccanismi di cooperazione diretta tra gli Internet Service Provider (ISP) e gli Stati coinvolti in processi penali di ampia portata. L’uso sempre più diffuso, anche a scopi illegali di applicazioni via internet comporta un aumento dei flussi transfrontalieri di dati. Di conseguenza, un numero crescente di indagini penali si avvale di prove elettroniche rispetto alle quali la questione della loro accessibilità è divenuta una questione urgente.

Questa è l’idea che avrebbe portato il Congresso degli Stati Uniti a promulgare, il 23 marzo dello scorso anno, il “Clarifying Lawful Overseas Use of Data (CLOUD) Act”, in concomitanza con la legge di bilancio “omnibus”. La legge ha apportato significative modifiche allo Stored Communications Act del 1986, affermando che la richiesta di produzione dei dati in possesso degli ISP prescinde dal luogo dove sono situati i server.

In breve: è sufficiente che tali provider siano subordinati alla sovranità statunitense, e che esercitino il controllo sui dati informatici richiesti, per vincolarli al rispetto della pretesa. E’ stata prevista, inoltre, la possibilità di stipulare accordi esecutivi tra Stati esteri e Stati Uniti per consentire ai fornitori di servizi statunitensi di rispondere a determinati ordini stranieri che chiedono accesso ai dati delle comunicazioni.

Ma il CLOUD Act ha tratto origine anche da una nota disputa del 2013, in cui il Federal Bureau of Investigation (FBI), ai sensi dello Stored Communications Act del 1986 (SCA), chiese l’accesso alle informazioni presenti nei server di Microsoft situati in Irlanda. Microsoft si oppose, affermando che lo Stored Communications Act (SCA) del 1986, su cui era basata la richiesta, non si applicava ai dati ubicati al di fuori del territorio degli Stati Uniti. Prima che il caso venisse deciso, fu adottato il CLOUD Act.

Un provvedimento altamente impattante che ha generato polemiche sia all’interno che all’esterno degli Stati Uniti. I critici lo hanno descritto come “un fulmine” precipitato attraverso il Congresso a spese della privacy e delle libertà civili. Altri hanno criticato l’espansione del potere di imposizione degli Stati Uniti: le autorità statunitensi sarebbero in grado di minare i requisiti della GDPR dell’UE costringendo i fornitori americani a consentire l’accesso a determinati tipi di dati archiviati al di fuori degli Stati Uniti.

keyboard_arrow_right
keyboard_arrow_left
“L’ironia è che lo US CLOUD Act consente alle entità governative di accedere ai dati dei cittadini nei confini, pensiamo al Datagate e a Prism. Chi è più affidabile tra noi e loro? È una domanda fondamentale, che gli americani dovrebbero farsi. E chi non la capisce dovrebbe fare un salto da Edward Snowden”. Così Guo Ping, chairman a rotazione di Huawei, in un intervento al Mobile World Congress di Barcellona.

“Le prove elettroniche sono sempre più importanti nei procedimenti penali. Non possiamo permettere che i criminali e i terroristi sfruttino le moderne tecnologie di comunicazione […] per occultare le loro azioni criminali e sottrarsi alla giustiziaCosì, Commissione europea – Comunicato stampa, Unione della sicurezza: la Commissione facilita l’accesso alle prove elettroniche emesso nel contesto della proposta di Regolamento e-Evidence (aprile 2018).

Innanzitutto, sottovalutare la portata di un simile atto sarebbe senza dubbio un errore strategico di grande rilevanza. Basti pensare alle implicazioni che sarebbero potute scaturire se fosse andato a buon fine il tentativo di acquisizione da parte del fornitore americano di software “Diligent”, di Brainloop, il fiore all’occhiello tedesco della protezione dei dati. Con sede a Monaco di Baviera, Brainloop protegge il 70% dei dati delle società tedesche.

Le aziende, specie europee, non possono più ignorare l’entità del conflitto economico intercontinentale, né l’effettiva portata di tutte le regole presenti.

E ancora una volta, gli eventi spingono a valutare la pressante necessità di accelerare lo sviluppo dell’economia comunitaria dei dati, il Digital Single Market. Proprio il CLOUD Act è indicativo del fatto che i concorrenti d’oltreoceano non solo hanno avvertito la stessa necessità, ma sono passati ben prima di noi alla fase di concreto sviluppo.

Le reazioni all’introduzione del CLOUD Act

In Europa

  • Il Consiglio Europeo pare voler sostenere un approccio comune a livello dell’UE e incoraggia la Commissione a proseguire i contatti con le autorità statunitensi e a presentare urgentemente un mandato di negoziato.
  • Provvedimenti normativi in parte analoghi al CLOUD Act sono attualmente in via di elaborazione: la Commissione il 17 aprile 2018 ha proposto sia un’ipotesi di Direttiva che una di Regolamento noto come Regolamento e-Evidence, relativo agli ordini europei di produzione e conservazione di prove digitali. Senz’altro un rilevante punto di svolta nel processo di adeguamento degli strumenti di formazione e circolazione probatoria in ambito transnazionale.
  • La Commissione, il 5 febbraio 2019, ha pubblicato la “raccomandazione di decisione del Consiglio che autorizza l’avvio di negoziati in vista di un accordo tra l’Unione europea e gli Stati Uniti d’America sull’accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale” con l’obiettivo di stabilire “norme comuni per affrontare la questione giuridica specifica per l’accesso ai dati relativi al contenuto e a quelli non relativi al contenuto detenuti dai prestatori di servizi nell’Unione europea o negli Stati Uniti” nonché integrare “le proposte dell’UE riguardanti le prove elettroniche affrontando i conflitti di legge e rendendo più rapido l’accesso alle prove elettroniche
  • Il Garante Europeo della protezione dei dati ha espresso la sua visione di tali negoziati nel suo parere 2/2019 del 02/04/2019 con una chiara enfasi su una solida procedura di protezione per i diritti fondamentali, come la privacy e la protezione dei dati.
  • ll Consiglio degli ordini degli Avvocati Europei (CCBE), di tutt’altro tenore, ha espresso le sue preoccupazioni in merito ad un importante conflitto tra la legge CLOUD e Regolamento generale sulla protezione dei dati (GDPR).

“La legge CLOUD è in conflitto con i diritti umani fondamentali, poiché non fornisce gli standard minimi stabiliti dalle corti europee per limitare la sorveglianza elettronica da parte del governo. Secondo la giurisprudenza della Corte europea dei diritti dell’uomo e della Corte di giustizia europea, qualsiasi interferenza con il diritto alla privacy deve essere conforme alla legge, per uno scopo legittimo e limitato a ciò che è necessario in una società democratica”

  • Francia, Paesi Bassi e Belgio stanno premendo affinché l’UE presenti un fronte comune. Un parlamentare olandese al Parlamento europeo, Sophie in ‘t Veld, ha recentemente espresso la sua frustrazione per ciò che ha definito “l’enorme debolezza” dell’UE di fronte alla “fame di dati illimitata” degli Stati Uniti. Il Ministro francese, fervido difensore della sovranità economica francese ed europea, Bruno Lemaire, nell’inerzia europea, si è schierato a favore della creazione di un “CLOUD strategico nazionale”. Ha esortato le aziende francesi ad adottare una strategia cd “multiCLOUD” dove dare la preferenza agli host e agli sviluppatori francesi di applicazioni per l’archiviazione e l’elaborazione dei dati più sensibili, consigliandole di fare affidamento su altri fornitori, compresi gli stranieri solo per informazioni meno cruciali.
  • In Germania,Ulrich Kelber, commissario federale tedesco per la protezione dei dati e la libertà di informazione – in merito alla proposta per cui dotare migliaia di agenti di polizia federali di dispositivi di registrazione Motorola (che caricano i dati su Amazon Web Services) – si è posto in contrasto con le determinazioni del Ministero dell’ Interno e della Polizia Federale. Ha affermato in particolare che le autorità statunitensi potrebbero invocare la legge CLOUD per richiedere l’accesso ai dati detenuti da Amazon Web Services, creando un rischio per gli enti governativi tedeschi che memorizzano i dati servendosi di quel fornitore. E’ bene evidenziare che secondo il piano suddetto, 475 dipartimenti di polizia federali in tutta la Germania verrebbero equipaggiati entro la fine del 2020 con 2.300 sistemi di telecamere in grado di registrare ogni aspetto relativo alla giornata lavorativa degli agenti. Attualmente, 285 di tali bodycams sono già in uso.
  • In Inghilterra, l’accordo esecutivo ai sensi della legge sul CLOUD sembra essere diretto verso l’annuncio pubblico e la presentazione al Congresso.

Negli USA:

  • Le organizzazioni per i diritti umani e le libertà civili come l’Electronic Frontier Foundation (EFF) si oppongono; altre scrivono per esprimere le loro preoccupazioni circa la prospettiva della conclusione di un accordo esecutivo ai sensi della Legge CLOUD tra Usa e Regno Unito di Gran Bretagna e Irlanda del Nord.
  • Il Dipartimento di Giustizia degli Stati Uniti (DOJ), a distanza di un anno dalla promulgazione del CLOUD Act, ha lanciato una campagna per favorire una maggiore comprensione di ciò che la Legge CLOUD si propone di realizzare.

Il vice Procuratore generale Richard Downin ha pubblicato le Osservazioni espresse all’Academy of European Law Conference il 05 aprile 2019.

Sul sito web del DOJ è stata introdotta una pagina dedicata dove reperire i materiali del CLOUD Act.

In particolare, è stato diffuso il white paper intitolato “Promuovere la sicurezza pubblica, la privacy e lo stato di diritto in tutto il mondo: lo scopo e l’impatto della legge CLOUD”. Quest’ultimo, compilato con l’intervento di avvocati della divisione penale del Dipartimento di Giustizia e della Divisione di sicurezza nazionale, si conclude con un elenco di risorse utili e una serie di 29 domande e risposte riguardanti la suddetta legge.

I pilastri del provvedimento

Il CLOUD Act è caratterizzato da due linee direttrici che ne costituiscono i pilastri portanti.

  • Consente alle autorità statunitensi, forze dell’ordine e agenzie di intelligenze di acquisire dati informatici dagli operatori di servizi di cloud computingregardless of whether such communications, record or other informations is located within or outside of USA” ossia indipendentemente dal fatto che tali comunicazioni, registrazioni o altre informazioni si trovino all’interno o all’esterno degli Stati Uniti. Gli ISP, interessati dalla misura, sono le compagnie private sottoposte alla giurisdizione degli Stati Uniti ovvero le società costituite negli States e le loro filiali all’estero (Google, Microsoft, Amazon…) ma anche le società europee che hanno una filiale negli Stati Uniti o che operano nel mercato americano. Per quanto riguarda i dati richiesti e la natura della misura, quest’ultima è considerata una misura nazionale e le autorità statunitensi devono rispettare rigorosamente le tutele legislative e costituzionali proprie degli Stati Uniti: a seconda dei casi mandato, ordinanza o ordine di esibizione amministrativo.
  • Innova il meccanismo dei trattati di reciproca assistenza giudiziaria con un sistema imperniato su accordi bilaterali, i cosiddetti executive agreements che l’esecutivo statunitense potrà stipulare con Stati stranieri in determinate circostanze e secondo requisiti sostanziali e procedurali di base (ad esempio, l’archiviazione sicura di qualsiasi dato divulgato, la cancellazione o la segregazione di informazioni non rilevanti e revisioni periodiche per garantire che i requisiti previsti siano soddisfatti) e a meno che il Congresso non si opponga.

Tali executive agreement potranno, inoltre, essere sottoscritti solo con “qualifying foreign States” ossia Stati che assicurino adeguati meccanismi di protezione della privacy e delle libertà civili attraverso misure che sono state dettagliate nel CLOUD Act medesimo. Tale possibilità riguarda, tuttavia, solo dati di soggetti non statunitensi. Per richieste riguardanti dati relativi a soggetti statunitensi, il governo estero dovrà ricorrere alla procedura prevista dal trattato di mutua assistenza giudiziaria o ottenere assistenza nell’ambito di un’indagine o azione penale.

Altri criteri riguardano l’emissione degli ordini di produzione dei dati ed il fatto per il quale questi dovranno riguardare soltanto indagini e procedimenti penali relativi a reati di una certa gravita’, incluso il terrorismo. Tuttavia l’interpretazione del giudice statunitense potrebbe includere “reati economici” strumentali ai primi come è stato visto nei casi Alstom, BNP Paribas. Dovranno individuare una specifica persona. E non è previsto che l’individuo interessato dalla richiesta di divulgazione delle autorità statunitensi venga preventivamente informato in merito. Dovranno essere emessi in conformità alla legge statale di riferimento oltre che contenere una giustificazione ragionevole della richiesta: se dovessero riguardare intercettazioni di comunicazioni elettroniche dovranno indicare una data limite di durata e rispettare il principio di proporzionalità rispetto allo scopo.

Le principali criticità rispetto al Gdpr

Il CLOUD Act solleva numerosi problemi di implementazione e questa analisi ne identifica i principali. E’ stato, in particolare, percepito come la risposta degli Stati Uniti al regolamento generale sulla protezione dei dati. Una sorta di controffensiva potenzialmente in grado di consentire il trasferimento di dati dall’Europa agli Stati Uniti finanche a scopo di spionaggio industriale.

Quel che è certo è che un tale provvedimento conferisce al Dipartimento di Giustizia statunitense un’enorme discrezione, che contrasta coi dettami del Gdpr, in particolare con l’art. 48 ed il Considerando 115.

Nel considerando 115, il GDPR afferma letteralmente che la legislazione dei paesi terzi, dove è prevista un’applicazione extraterritoriale con controllo diretto del trasferimento dei dati, potrebbe essere contraria al diritto internazionale e costituire un ostacolo alla protezione delle persone come sancita nel GDPR. Secondo l’art. 48 del GDPR dell’UE, inoltre, le organizzazioni non sono legittimate a trasferire dati personali verso un paese terzo sulla base di una sentenza o di una decisione amministrativa a meno che non si fondino su un accordo internazionale, come un mutuo trattato di assistenza legale. In altri termini, il trasferimento di dati senza una legittima base (e ameno che non si applicano altre deroghe per situazioni specifiche previste dal GDPR in UE), porterebbe ad una violazione del GDPR e probabilmente a sanzioni elevate.

I fornitori americani, così come le società europee associate a questi, si trovano, pertanto, in una situazione di stallo: incorrere nel serio rischio di violazione del GDPR o esporsi alle sanzioni americane.

Proprio in tale ottica, il 5 febbraio 2019 la Commissione Europea è intervenuta adottando una proposta di decisione del Consiglio che autorizza a negoziare quanto prima un accordo internazionale con gli USA. Accordo al momento inesistente.

L’extraterritorialità dell’efficacia normativa del CLOUD Act (che peraltro contraddistingue per certi aspetti anche il GDPR consentendo all’UE di porsi nel ruolo di indiscussa superpotenza legislativa) spaventa il Vecchio Continente (la Cina non perde tempo ad alimentare a suo favore il dibattito).

Gli Stati Uniti rispondono sostenendo che un meccanismo di tutela e protezione è stato incorporato nel CLOUD Act: se, infatti, l’ordine americano di divulgare dati fosse in conflitto con la legislazione del paese terzo in cui i dati sono archiviati è prevista una procedura di cortesia che stabilisce le modalità con cui un prestatore di servizi può eventualmente contestare un ordine di produzione di informazioni situate al di fuori degli Stati Uniti sulla base di un conflitto di leggi.

Questa resistenza, tuttavia, sembra essere piuttosto limitata ed asimmetrica.

Entro 14 giorni può’ essere presentata una contestazione sole se:

  • il contenuto della comunicazione riguarda un soggetto estero ossia né cittadino USA né residente negli Stati Uniti, e
  • l’ottemperanza all’ordine determinerebbe un rischio sostanziale di violazione del diritto di un paese terzo.

Affinché il diritto del paese terzo sia tenuto in considerazione, il paese terzo deve essere considerato un “governo estero qualificato” e, per qualificarsi, il paese deve aver concluso un accordo esecutivo con gli Stati Uniti sulla questione .

La procedura prevede che, dinanzi a una contestazione, l’ente governativo statunitense che ha avanzato la richiesta originaria abbia la possibilità di rispondere.

L’organo giurisdizionale ha la possibilità e non l’obbligo di annullare l’ordine sole se:

  • venissero violate leggi estere,
  • gli “interessi della giustizia” ne imponessero l’annullamento sulla base dell’insieme delle circostanze”e
  • l’individuo è un soggetto estero che risiede al di fuori degli Stati Uniti.

Nel caso in cui non sia stato concluso alcun accordo esecutivo, sembra che la divulgazione possa essere contestata solo sulla base di un esame alla luce del principio di cortesia previsto dal common law.

Tali circostanze ovviamente non paiono garantire adeguata tutela a garanzia del diritto alla privacy, specie considerato il grande margine di apprezzamento che il CLOUD Act consente al giudice americano.

Vero è che le società soggette a un ordine di rilascio potrebbero fare una distinzione nella memorizzazione dei dati tra i dati di cittadini americani e quelli di altri cittadini (ad esempio europei). Ma questo a sua volta causerebbe due diversi standard di protezione della privacy e dei dati che non e’ validamente sostenibile: il diritto alla sicurezza del trattamento dei dati personali è un diritto umano fondamentale e garantisce una pari protezione senza alcuna forma di discriminazione.

L’accordo sul Privacy Shield, tuttora in via di definizione, non agevola la rapida risoluzione di tali questioni controverse.

Infografica Housing VS Hosting: cosa c'è da sapere per scegliere la soluzione migliore per i propri server? Scarica l'Infografica

Gli aspetti che necessitano opportuni adeguamenti

Posto che il CLOUD Act non è un’arma sofisticata in mano al servizio dello spionaggio industriale negli Stati Uniti e non può certo concedere un diritto indiscriminato all’accesso ai dati presenti nei data center europei, tuttavia è innegabile che molti aspetti necessitano di opportuni adeguamenti:

  • Il Dipartimento di Giustizia darà al Congresso e al pubblico un preavviso dei paesi con i quali intende negoziare accordi bilaterali?
  • Renderà pubblico il Dipartimento, dopo averlo trasmesso al Congresso, il testo di ciascun accordo e la sua spiegazione di come sono soddisfatti i requisiti del CLOUD Act?
  • Gli accordi bilaterali tra gli Stati Uniti e i governi stranieri includeranno disposizioni che consentano a tali paesi di impedire che i dati ottenuti in base all’accordo vengano utilizzati per perseguire la pena capitale? Per molti Paesi la pena di morte è un anatema per i diritti umani ed e’ stata infatti abolita.
  • Il Dipartimento di Giustizia si consulterà con esperti in diritti umani prima di stipulare accordi sulla legge CLOUD con determinati paesi, inclusi esperti basati in tali paesi?

Non dimentichiamo tuttavia che, in termini colonizzazione del cyberspazio, già la sezione 702 del Foreign Intelligence Surveillance Amendment Act (FISA) ha permesso al servizio segreto statunitense dal 1978 di raccogliere dati da cittadini non statunitensi al di fuori degli Stati Uniti senza un mandato da parte di compagnie statunitensi (pensiamo alle note vicende del febbraio 2015, tra il presidente degli Stati Uniti Barack Obama e le accuse di spionaggio digitale dopo le molte rivelazioni del caso Snowden).

Questa disposizione è stata rinnovata dal presidente Trump il 19 gennaio 2018 per sei anni.

L’approccio corretto per le organizzazioni pubbliche e private europee e non

Assumere consapevolezza in primis.

La disinformazione rimane uno degli ostacoli maggiormente incidenti sulla concreta cognizione che le organizzazioni dovrebbero perseguire con priorità massima.

Prima del CLOUD Act, nel condurre indagini transfrontaliere gli Stati Uniti potevano accedere ai dati archiviati all’estero tramite rogatoria o attraverso Mutual Legal Assistance Treaty (MLAT), ossia trattati di mutua assistenza giudiziaria.

Contrariamente a molte percezioni il meccanismo MLAT, anche in costanza di CLOUD Act rimane disponibile e non viene meno in caso di sussistenza di un accordo esecutivo. Per ora, inoltre, in mancanza di executive agreements, il sistema MLAT rimane il principale meccanismo attraverso il quale le forze dell’ordine possono chiedere l’assistenza delle loro controparti straniere: nello specifico si tratta di Accordi tra due o più paesi, che impongono obblighi ai sensi del diritto internazionale, affinché i governi si assistano reciprocamente nelle indagini e nei procedimenti penali. Le forze dell’ordine o i pubblici ministeri se ne avvalgono quando hanno bisogno di collaborazione per ottenere prove dalla giurisdizione di un altro paese (es. ottenere dati bancari, record online di un utente, e.mail, metadati). Per intenderci, la Central Authority di uno Stato (solitamente il Dipartimento di Giustizia) richiede informazioni alla Central Authority di un altro Stato, utilizzando il format specificato nei trattati MLAT. Lo Stato ricevente determina se esiste una ragione legittima per negare la richiesta di informazioni e in caso contrario, la evade. Il processo secondo MLAT richiede l’approvazione dal Dipartimento di Giustizia e un ordine del giudice in ogni singolo caso.

Secondo un rapporto del 2013, le richieste tramite MLAT impiegano in media 10 mesi per essere evase con evidente rischio di mancanza di attualità per i dati coinvolti.

Il risultato della digitalizzazione ha rivoluzionato le tradizionali modalità di formazione, archiviazione e scambio di dati. Di conseguenza, ogni intervento o misura direttamente o indirettamente in correlazione con l’accesso a dati in formato digitale si pone in naturale tensione con un compendio di diritti non circoscritto alla sola privacy e alla tutela dell’identità personale, che pure rappresentano gli interessi immediatamente attinti.

Se, dunque, da una parte i nuovi paradigmi della società moderna, ovvero la maggiore digitalizzazione delle informazioni, il potere delle società private che gestiscono e controllano gran parte di tali dati, la maggiore internazionalizzazione delle indagini, sembrano essere le ragionevoli istanze alla base del provvedimento CLOUD Act (peraltro le bozze di proposte di e-Evidence dell’Unione Europea, presentano notevoli somiglianze con la legge CLOUD), dall’altra mal si conciliano con l’esigenza di tutela della riservatezza e della sicurezza dei trattamenti dei dati personali.

Opportunità e sfide per le istituzioni europee

Per le istituzioni europee questi cambiamenti offrono opportunità tanto quanto creano sfide.

L’adozione di una normativa puntuale e rigorosa quanto condivisa sembra essere tutt’altro che facile da concepire e predisporre. La disomogeneità sostanziale delle legislazioni nazionali – anche con tradizioni giuridiche comuni – in materia di trattamento del materiale probatorio e ammissibilità della prova digitale, di sicuro non agevola.

La complessità della suddetta problematica richiama, inoltre, l’attenzione sul ruolo fondamentale che il Secondo Protocollo Addizionale della Convenzione di Budapest può rappresentare in tale contesto. Potrebbe infatti contribuire efficacemente ad individuare regole uniformi in materia di inutilizzabilità nel processo penale delle prove digitali: da quelle acquisite in violazione dei diritti umani, a quelle in materia di impiego degli strumenti di hacking da parte degli investigatori delle forze dell’ordine nel corso delle indagini, peraltro notoriamente consentito in molti Stati.

Le aziende, dal canto loro, dovrebbero quanto prima adottare un approccio olistico e attuare misure legali, tecniche e organizzative orientate a soluzioni idonee a trattare i dati in modo efficace, in linea con i requisiti di sicurezza, riservatezza, disponibilità e integrità dei dati informatici ai quali sono tenute.

Un’attenzione particolare dovrebbe essere dedicata alla “due diligence” della configurazione organizzativa dei servizi forniti tramite ISP, specialmente quando questi incidono in più giurisdizioni: laddove i dati critici, le informazioni riservate e i dati personali degli individui siano archiviati nel cloud, dovranno essere adeguatamente valutate le relative conformità normative ed applicate specifiche misure di sicurezza come la crittografia dei canali di trasmissione e dei repository di dati. Diverse società, tra cui una statunitense di gestione dei dati mobili, sono già uscite dalla “modalità stealth” per aiutare le aziende a gestire le implicazioni tra GDPR, legge CLOUD e altre sfide di conformità e normative: l’interesse dimostrato verso le soluzioni proposte e’ un dato di fatto gia’ riscontrabile in diverse sedi e organizzazioni di tutte le dimensioni.

Nell’ottica di miglioramento dell’accesso transfrontaliero alle prove elettroniche, la tutela della privacy e di altri diritti fondamentali costituisce il nucleo fondante che informa il funzionamento dei meccanismi di cooperazione tra Stati e presuppone un livello di protezione invalicabile che non consente compressioni. L’obiettivo imprescindibile è assicurare che l’esistenza di meccanismi di cooperazione tra autorità di diversi Stati circa l’accesso ai dati degli individui non divenga strumento di violazione di diritti fondamentali.

L’Unione Europea, anche attraverso la proposta di Regolamento e-Evidence (che sebbene abbia suscitato reazioni contrastanti tra legislatori e stakeholders, costituisce senza ombra di dubbio una base confortante sulla quale lavorare in vista di un suo affinamento) dovrebbe efficacemente porsi come l’altra metà di un possibile accordo transatlantico per la raccolta di prove, in ambito penale, nell’ecosistema digitale. Dovrebbe in particolare dare prova di reale maturità e fermezza orientata alla creazione di uno spazio comune basato non solo sul paradigma della sicurezza, ma anche su quello della libertà e della giustizia.

Sfortunatamente, a queste istanze l’Europa non ha sinora fornito risposte sufficienti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4