Cloud Act e Unione europea: il buco di legge sui nostri dati di cui non si parla

Il garante per la protezione della privacy europeo ha aperto ufficialmente il 27 maggio una indagine per capire se sia adeguato utilizzare, nel cuore dell’Unione europea, i servizi di aziende come Microsoft e Amazon per trattare i dati delle istituzioni Ue e delle decine di migliaia di suoi funzionari. Un problema che era stato evidenziato da inchieste giornalistiche nell’indifferenza delle stesse istituzioni europee. I paesi Ue stanno affrontando la transizione digitale stipulando contratti con le aziende Big tech americane senza avere un accordo quadro con gli Stati uniti sulla gestione dei dati delle comunicazioni elettroniche. Il tutto mentre il mantra della sovranità tecnologica viene ripetuto nel mezzo di un conflitto di leggi. Il regolamento europeo sulla privacy (Gdpr) prevede una tutela senza confini dei dati personali dei cittadini europei. Come ha confermato le sentenze della Corte di giustizia europea, in particolare la sentenza Schrems due, alla luce delle leggi europee e delle leggi americane invasive come il Patrioct Act, che permette anche che le agenzie americane possano accedere a dati anche senza il mandato di un giudice ma con il via libera del Congresso, il Privacy Shield negoziato con gli Stati Uniti è stato ritenuto inadeguato, confermando tra le altre cose il fatto che i dati dei cittadini Ue non possono essere trasferiti negli Usa. E per questo ora il garante per la privacy europeo vuole vederci chiaro sul modo in cui Amazon e Microsoft trattano dati così delicati come quelli dei funzionari Ue. Il Cloud Act Ma c’è un’altra legge che insieme al Gdpr non ha confini ed è il Cloud act approvato nel 2018 dal Congresso degli Stati Uniti d’America. Il Cloud Act è nato per disinnescare un conflitto tra le autorità statunitensi e Microsoft Irlanda che si era opposta a una richiesta di accesso ai dati. Per risolvere la situazione il Congresso statunitense ha confezionato una legge che estende la giurisdizione americana a tutti i cloud service providers statunitensi a prescindere dal luogo in cui sono localizzati i loro server o data center. Il Cloud act si applica a tutti i dati e quindi anche a quelli che non rientrano sotto l’ombrello di tutela del regolamento per la privacy europeo come i dati commerciali delle aziende, una risorsa sempre più fondamentale. Il Cloud Act prevale anche sugli accordi bilaterali di mutua assistenza legale stipulati tra gli Stati Uniti e gli altri paesi. E prevede la possibilità di ricorso contro la richiesta di accesso ai dati solo di fronte a un giudice americano «solo in circostanze limitate e sottoposta a diverse condizioni», come spiega una prima valutazione dello European data protection board del 2019. Il parere dello European data protection board Il documento dello European data protection board sottolinea che la legge si applica anche se la richiesta non viene da un’autorità di sicurezza, ma anche da organi amministrativi e che si estende anche ai metadati. In più prevede la possibilità di accesso per intercettazioni in tempo reale a paesi terzi che abbiano un accordo esecutivo con gli Stati Uniti. Di più, l’unico paese che finora ha sottoscritto un accordo bilaterale specifico sul Cloud Act, la Gran Bretagna ha avvallato un meccanismo di trasferimento automatico dei dati e la decadenza della possibilità di ricorrere ai giudici. Il conflitto Ue – Usa Jennifer Daskal, professore associato della American University Washington College of law, ha spiegato il salto di qualità di questo conflitto, richiamando la definizione di Anu Bradford sull’«effetto Bruxelles», cioè la capacità dell’Unione europea di imporre standard regolatori in materia per esempio di salute e sicurezza e ora di tutela dei dati. «L'ascesa di grandi multinazionali che gestiscono gran parte dei dati mondiali - in modi che hanno profonde implicazioni per la privacy, la sicurezza, la parola e i diritti di associazione - porta questo tipo di regolamentazione internazionale in una nuova arena. Nel migliore dei casi, tali sforzi porteranno alla convergenza delle norme e all'adozione di standard, come mediato da queste grandi multinazionali, che proteggono sia la privacy che la sicurezza. Nello scenario meno ideale, i paesi potrebbero essere sempre più incentivati a perseguire la localizzazione dei dati e la segmentazione del mercato come mezzo per riaffermare il controllo». Al momento tuttavia siamo in mezzo al guado e questo significa che ci sono lacune normative in cui per affermare la sovranità dei Paesi dell’Unione europea bisogna trovare altre soluzioni.