Le realtà interessate a sfruttare i servizi cloud in Italia cercano e chiedono sempre più spesso informazioni sul Cloud Act, aggiornamento che dà ai fornitori di servizi nuovi mezzi per contestare le richieste che entrano in conflitto con le leggi di un altro paese o con gli interessi nazionali. Ad oggi, ci sono ancora idee inesatte su ciò che questa legge significa per la sovranità dei dati in possesso di società e organizzazioni. Jennifer Daskal, docente presso l’American University Washington College of Law, in un contributo esclusivo per CorCom spiega come stanno le cose.
Qualche mese fa, ero parte di un panel con un accademico straniero che ha descritto il Clarifying Lawful Overseas Use of Data Act (o Cloud Act) come un aggressivo tentativo di supremazia da parte degli Stati Uniti – quello che lui ha definito “sovranità espansiva”. Non avevo mai sentito questo particolare termine prima d’ora. Ma ho sentito lo stesso epiteto di base da numerosi funzionari governativi stranieri, molti dei quali temono che il Cloud Act venga usato dagli Stati Uniti per raccogliere dati sugli stranieri.
Il mondo, comprensibilmente, ha in serbo alcune domande sul Cloud Act. Il problema è che la retorica non corrisponde alla realtà. A differenza di quanto si è raccontato, il Cloud Act è una legge di applicazione e portata limitata. Il Cloud Act specifica che i funzionari delle forze dell’ordine statunitensi possono, in relazione a un’indagine penale e secondo norme e procedure dettagliate e specifiche, richiedere contatti e-mail e altri dati in possesso delle società soggette alla giurisdizione statunitense. L’obbligo di produrre i dati richiesti si applica indipendentemente dal luogo in cui sono conservati gli 0 e gli 1 sottostanti.
Il Cloud Act non è uno strumento di raccolta di dati e informazioni. Non è uno strumento di spionaggio economico. Le forze dell’ordine possono richiedere l’accesso ai dati solo se stanno svolgendo un’indagine penale su cui gli Stati Uniti sono competenti a perseguire penalmente. Per poter accedere ai dati, le forze dell’ordine devono soddisfare determinati standard e seguire specifiche procedure, che si applicano a tutti i livelli – sia che gli Stati Uniti stiano cercando i dati di un cittadino statunitense, residente o straniero. Per il contenuto, le forze dell’ordine hanno bisogno di un mandato emesso da un giudice indipendente, sulla base di una constatazione di causa probabile, imponendo un limite relativamente alto per le forze dell’ordine. In realtà, si tratta di uno standard di protezione della privacy più robusto e più severo di quello applicato in quasi tutti gli altri paesi del mondo.
Inoltre, la portata è limitata in quanto le forze dell’ordine statunitensi non possono emettere istanze per e-mail, e altri contenuti di comunicazione, da parte di società straniere che operano interamente al di fuori degli Stati Uniti. Si tratterebbe di una rivendicazione di autorità extraterritoriale, e la legge statunitense non prevede alcun meccanismo per l’emissione di mandati extraterritoriali.
In contrasto con la bozza di direttiva Ue sulle prove elettroniche, che richiede a qualsiasi società che offra servizi ai residenti dell’Ue di configurare un rappresentante con sede nell’Ue, garantendo così la giurisdizione su società con sede altrimenti extraterritoriale non esiste un requisito equivalente nella legge statunitense.
Contrariamente alla retorica, il Cloud Act include e adotta anche nuove disposizioni specificamente concepite per tener conto degli interessi sovrani stranieri. La legge prevede esplicitamente una nuova mozione legale per reprimere il conflitto con il diritto straniero e sono soddisfatte determinate condizioni. Inoltre, preserva espressamente il diritto dei fornitori di servizi di presentare ricorso in tribunale sulla base del diritto straniero in conflitto, anche in quelle situazioni in cui la mozione legale di respingere il mandato non è disponibile. Ciò contribuisce a garantire che gli interessi dei governi stranieri vengano tenuti in considerazione.
Finora non abbiamo assistito a contestazioni di questo tipo, in parte perché i conflitti sono stati, almeno finora, più teorici che reali. Consideriamo l’indagine ordinaria degli Stati Uniti su un cittadino americano in relazione a un’indagine locale per omicidio o frode, immaginate che le forze dell’ordine statunitensi abbiano notificato un mandato su Google o Facebook per dati rilevanti, ma, per qualche motivo, i dati sono conservati al di fuori degli Stati Uniti. Pochi, se ce ne fossero, governi stranieri rivendicherebbero un’invasione di sovranità se le società consegnassero quei dati.
Detto questo, possono esserci casi in cui si verificherebbe un conflitto – se, ad esempio, gli Stati Uniti imponessero la produzione di dati di stranieri protetti da leggi straniere. Qui entra in gioco un legittimo interesse del governo straniero, quello di proteggere i propri cittadini e residenti. Se e quando si verificasse un tale conflitto, i fornitori possono e devono presentare una mozione per respingere il mandato, come chiaramente consentito dal Cloud Act (anche i funzionari statunitensi dovrebbero prendere provvedimenti per evitare tali conflitti). Questo tipo di approccio ha senso perché ciò che conta è la protezione dei propri cittadini e residenti, non la localizzazione di bit e byte che attraversano i propri confini.
Nel frattempo, la seconda parte del Cloud Act è stata, come molti sembrano dimenticare, promulgata per volere dei governi stranieri, in particolare del Regno Unito. In particolare, è stata adottata in risposta alla frustrazione dei governi stranieri per le difficoltà di accesso ai contenuti delle comunicazioni dei propri cittadini e dei residenti da parte di fornitori con sede negli Stati Uniti. Essa mette in atto un meccanismo attraverso il quale i governi stranieri possono, subordinatamente a numerose salvaguardie e condizioni preliminari, richiedere determinate informazioni da fornitori con sede negli Stati Uniti. Ciò consente ai governi stranieri di accedere a specifici dati in modo più rapido, senza dover ricorrere al laborioso processo di assistenza legale reciproca.
Di particolare preoccupazione è il fatto che il Cloud Act viene indicato dai paesi di tutto il mondo come capro espiatorio per porre limiti al trasferimento di dati al di fuori dei propri confini. Il risultato ironico: gli Stati Uniti, attraverso il Cloud Act, hanno adottato misure per ridurre le restrizioni sui trasferimenti di dati, mentre i paesi di tutto il mondo indicano il Cloud Act a sostegno dei propri mandati di localizzazione dei dati. Il Cloud Act non è perfetto ma non è nemmeno l’affermazione malvagia ed espansiva del potere degli Stati Uniti che alcuni sostengono che sia. Al contrario, si tratta di una modesta disposizione di diritto penale che codifica in larga misura lo status quo e adotta nuove disposizioni esplicitamente concepite per accogliere l’interesse straniero per i dati detenuti dagli Stati Uniti.
