Con il rapido sviluppo del modello SaaS (Software as a Service), le organizzazioni sono legittimamente preoccupate per la sicurezza dei dati in ambiente cloud. Il problema viene generalmente affrontato solo in termini di sicurezza tecnica e fisica dei dati. Tuttavia, la sicurezza giuridica dei dati può rappresentare una questione molto delicata da trattare.
Vista la predominanza di player in ambito SaaS sul territorio degli Stati Uniti, risulta fondamentale considerare i rischi a cui questi vanno incontro rispetto a quanto previsto dal “Patriot Act”, al contrario di quanto accade invece per le società di software e i provider SaaS europei.
La seguente posizione legale è stata redatta in collaborazione con legali esperti in materia di protezione dei dati, e fornisce una dettagliata analisi rispetto a questo problema.
La normativa derivante dall’attuazione del Usa Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) del 26 ottobre 2001, prorogato fino a giugno 2015, rende obbligatorio per le società statunitensi, nonché per le loro controllate in tutto il mondo, per gli hosting provider americani o hosting provider europei affiliati a società statunitensi, di consentire l’accesso a ogni dato personale da parte delle agenzie di intelligence degli Stati Uniti.
Va ricordato che per dati personali si intende: “(..) Qualsiasi informazione concernente una persona fisica identificata o identificabile, direttamente o indirettamente, in particolare mediante riferimento a un numero di identificazione o a uno o più elementi specifici caratteristici della sua identità. Per determinare se una persona è identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona. Per trattamento dei dati personali si intende qualsiasi operazione o insieme di operazioni svolte su tali dati, a prescindere dal procedimento utilizzato, in particolare la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modifica, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati anche se non registrati in una banca dati. Per archivio dei dati personali si intende qualsiasi insieme di dati personali strutturati e stabili, accessibili secondo specifici criteri. La persona interessata al trattamento dei dati personali è la persona a cui si riferiscono i dati”.
In particolare, la sezione 215 del Patriot Act e le sezioni 504, 505 e 358 autorizzano le ricerche sia sotto la supervisione di un giudice sia senza. Queste azioni possono rimanere segrete per un tempo indeterminato.
Rispetto a queste azioni, l’interessato ignora che i suoi dati sono stati consultati o confiscati a seguito di una ricerca, nonché sull’uso che è stato o può essere fatto di tali dati; la persona interessata è inoltre all’oscuro dei metodi di archiviazione e se i destinatari dei dati sono i servizi di intelligence o la polizia.
L’Unione Europea ha promulgato leggi per la protezione dei dati personali. La direttiva 95/46/CE del Parlamento e del Consiglio europeo del 24 ottobre 1995, richiama i principi secondo i quali i sistemi di elaborazione dei dati sono stati sviluppati per servire l’uomo e devono – a prescindere dalla nazionalità e dal luogo di residenza delle persone fisiche – rispettarne la libertà e i diritti fondamentali, in particolare il diritto alla privacy.
Il particolare meccanismo conosciuto come Safe Harbor, è stato messo in atto per salvaguardare le misure previste in caso di flusso di dati tra aziende americane ed europee. Il sistema è basato sull’autocertificazione delle imprese americane, che devono rispettare una serie di requisiti per la protezione dei dati personali e per la tutela della privacy. Questi principi, basati su quelli indicati dalla direttiva 95/46 del 24 ottobre 1995, sono stati negoziati tra le autorità americane e la Commissione Europea, e sono stati pubblicati dall’U.S. Department of Commerce.
Il 26 luglio 2000, la Commissione Europea ha preso una decisione sull’adeguatezza dei principi del Safe Harbor, per garantire una protezione adeguata per il trasferimento dei dati personali provenienti dall’Unione Europea.
Tuttavia, la decisione sull’adeguatezza della Commissione Europea del 26 luglio 2000, è precedente alla promulgazione della normativa inserita nel Patriot Act del 26 ottobre 2001.
La segretezza che circonda l’attività dei servizi di intelligence degli Stati Uniti impedisce qualsiasi verifica di conformità ai principi della direttiva, in particolare per quanto riguarda la raccolta, l’elaborazione e l’archiviazione dei dati, e ostacola ogni controllo da parte di tutti gli interessati a queste attività.
Di conseguenza, il meccanismo del Safe Harbor è inefficiente nel salvaguardare la riservatezza dei dati ospitati dalle aziende americane o dalle loro filiali, o in server siti negli Stati Uniti, in particolare su piattaforme cloud.
Al fine di mitigare l’inefficacia del Safe Harbor, l’Unione Europea ha proposto un regolamento denominato General Data Protection Regulation, nonché una direttiva, chiamata Police and Criminal Justice Data Production Directive che verrà pubblicata nella prima metà del 2012.
In questo settore, tali strumenti offrono un aumento delle garanzie che i paesi terzi beneficiari dei dati devono fornire, e in particolare la presa in considerazione da parte della Commissione, al fine di prendere decisioni adeguate come nel caso del Safe Harbor, della normativa in materia di sicurezza pubblica, difesa, sicurezza nazionale e criminalità, così come l’esistenza e l’effettiva operatività nel paese terzo di un’autorità indipendente per la protezione dei dati personali, responsabile per tale materia e che collabora con la UE.
Così come stanno le cose, è evidente che le disposizioni del Patriot Act evidenziate in precedenza, in particolare le sezioni 215, 504, 505 e 358, sono incompatibili con la tutela e gli obblighi di riservatezza dell’Unione Europea.
Va inoltre sottolineato che la decisione di adeguatezza della Commissione su cui si basa il meccanismo del Safe Harbor è nullo a causa dell’attuazione della predominante legislazione del Usa Patriot Act. Infatti, questa normativa vizia tutti i principi per la protezione dei dati personali, in quanto tali principi sono stati promulgati attraverso leggi europee. Di conseguenza, questo rende inefficace la presumibile riservatezza al trattamento dei dati effettuato all’interno del meccanismo del Safe Harbor, in particolare per quanto riguarda i dati ospitati sulla piattaforma Cloud.
D’altra parte, sembra che l’Usa Patriot Act non abbia nessun potere per costringere una società europea – anche se ha una filiale negli Stati Uniti – a trasmettere o a consentire l’accesso da parte delle autorità americane ai dati personali ospitati in Europa o in un altro paese al di fuori degli Stati Uniti.
Tuttavia, la filiale che si trova negli Stati Uniti è soggetta all’Usa Patriot Act per quanto riguarda i dati da essa ospitati. In altre parole, la presenza negli Usa di una filiale di una società europea, non consente alle agenzie di intelligence americane di raggiungere la casa madre o una consociata della suddetta filiale, e di accedere ai dati che esse ospitano al di fuori degli Stati Uniti.
