È nella legislazione USA il “bug” alla tutela della privacy

Che cosa succede ai nostri dati personali o addirittura sensibili quando raggiungono un Cloud?
È bene subito dire che siamo protetti da leggi sulla privacy potenzialmente poco efficaci se il cloud è statunitense. Recenti fatti di cronaca si sono infatti recentemente incaricati di dimostrarlo.
Alcune vicende abbastanza eclatanti hanno sollevato il clamore dell’opinione pubblica sulla questione della riservatezza delle informazioni, il tutto alla vigilia dell’entrata in vigore della nuova LPD o Legge per la Protezione dei Dati e della Trasparenza nella Confederazione Elvetica.

Al LAC di Lugano un “LPD Day” 2022 denso di grandi novità

Un’inchiesta tedesca ha scoperchiato il vaso di Pandora

Nella puntata del 6 maggio della trasmissione “Patti Chiari” della di RSI è stato sollevato il problema della tutela dei dati personali legati al loro impiego da parte di un noto produttore statunitense di auto elettriche.
Vengono evidenziati diversi episodi, ma principalmente si parla di tre casi molto significativi in cui il Procuratore Pubblico di Berlino, Andreas Winkelmann, richiese i dati relativi a due incidenti stradali e a un caso di eccesso di velocità al costruttore dei veicoli coinvolti: la Tesla.
Con sorpresa, non ottenne soltanto i dati che, obbligatori e utili per legge, corrispondono alla dinamica del veicolo relativa ai cinque secondi prima dell’impatto: il Procuratore ricevette anche i dati relativi all’apertura della portiera del mezzo ben quarantotto secondi dopo l’impatto e addirittura il video, registrato dalla telecamera posteriore del veicolo, relativa all’intervento dei soccorritori a seguito dell’incidente.
Nel servizio della Radiotelevisione Svizzera non viene fatta menzione se ci sia stata o meno l’autorizzazione di un Giudice alle richieste di accesso ai dati da parte del Pubblico Ministero.

Data room sicure e autodeterminazione digitale: due “must”

Il problema di fondo: gli Stati Uniti non sono la… UE

Facciamo un passo indietro però. Perché si parla tanto di Tesla e pochissimo di Renault, BMW, Mercedes e altri costruttori automobilistici? Il problema è uno, e uno soltanto: è la localizzazione della sede centrale delle aziende. Mentre Renault, BMW, Mercedes sono imprese europee, anzi dell’Unione Europea, Tesla è un’impresa americana.

Quella strana percezione del digitale in assenza di know-how

Il Cloud Act statunitense è molto meno “rigoroso”

Ciò che diciamo è un problema per la nostra privacy?
Certamente sì, in quanto le aziende statunitensi, pena la cessazione totale delle loro attività, devono sottostare a una legge americana, il Cloud Act, dove “Cloud” non sta per il normale servizio Internet che probabilmente ognuno di noi utilizza, ma è in realtà un acronimo che sta per “Clarifying Lawful Overseas Use of Data”.
Ciò stabilisce che anche i dati memorizzati “overseas”, quindi al di fuori degli Stati Uniti, debbano essere sempre accessibili da parte del Governo USA, delle forze di polizia, e di altri organi ufficiali, siano essi statunitensi o di Stati esteri, che possano farne richiesta.
Ciò vuol dire che se qualche ente titolato richiede al produttore del veicolo o a un qualsiasi altro service provider l’accesso ai dati di un utente, sia esso un privato o un’azienda, il provider può muovere obiezione sulla liceità di tale richiesta al tribunale competente negli USA.
Tuttavia, il Cloud Act, approvato a livello federale il 23 marzo 2018 superando lo Stored Communications Act (SCA) del 1986, autorizza i giudici degli Stati Uniti a far procedere tali provider alla consegna dei dati anche senza uno specifico motivo giuridico.

Responsabilità digitale: svizzero il primo marchio al mondo

Le conseguenze potenziali? Non ci si può opporre

Questo apre la porta all’accesso ai dati senza che gli organi richiedenti siano in possesso delle autorizzazioni specifiche.
L’unica condizione per la consegna dei dati è che la richiesta provenga da un organo con sede in uno Stato che adempia ai requisiti standard di rispetto dei diritti umani e della privacy.
Non essendoci una regolamentazione specifica in merito, a questo punto il provider si trova obbligato a fornire i dati richiesti senza potersi, di fatto, opporre in alcun modo.
Non sappiamo quindi quali e quanti dati i produttori di veicoli trasmettono alla sede centrale, ma possiamo essere sicuri di una cosa: se il costruttore è americano, non siamo protetti in alcun modo da un accesso alle informazioni che ci riguardano, anche senza il nostro esplicito consenso.
Il Procuratore Pubblico di Berlino ovviamente opera nell’interesse della collettività, ma senza l’autorizzazione di un Giudice tedesco, se avesse richiesto i dati direttamente a Tesla, la quale è obbligata a fornirli, probabilmente avrebbe commesso un illecito nel proprio Paese.
La questione è addirittura più sottile: con il Cloud Act, non potendo di fatto ricevere un rifiuto da parte del tribunale, un qualsiasi Procuratore potrebbe richiede, sulla base di indagini preventive non relative a un fatto accaduto, ma soltanto fondate su un sospetto, i dati di chiunque in qualunque circostanza.
Questo permetterebbe di trovare le prove necessarie per richiedere ex post l’autorizzazione legale per un nuovo accesso ai dati (in quanto i primi sono stati assunti illecitamente, secondo la legislazione europea).

Tutto sulla privacy ai tempi della condivisione di massa

Moltissimi dei nostri dispositivi sono made-in-USA

Quindi basta evitare di comprare automobili americane?
Non proprio: la nostra vita digitale viaggia spesso su dispositivi che si interfacciano con software prodotti negli Stati Uniti e che cercano in tutti i modi, attraverso pop-up o richieste di autorizzazione, di accedere ai nostri dati mentre svolgiamo le nostre azioni quotidiane.
E la UX (o User eXperience), se decideste di ignorare questi tentativi di accesso, diventerebbe davvero poco pratica: verreste inondati di e-mail e di notifiche in rosso.
Consiglio sempre a tutte le aziende e a tutti i privati di interfacciarsi il meno possibile con questo tipo di imprese, per avere un maggior controllo della propria vita digitale e dei propri dati personali.
Con la nuova legge LPD (Legge sulla Protezione dei Dati Personali e la Trasparenza), che entrerà in vigore in Svizzera il primo settembre 2023, sarà più facile per un cittadino della Confederazione Elvetica approcciarsi al rispetto dei propri dati.
La nuova normativa incentiva i sistemi di privacy con sede interna ed esterna alla Svizzera a collaborare fra di loro, incontrando anche il GDPR .
In questo modo ognuno potrà ottenere il rispetto dei propri dati anche fuori dalla Confederazione semplicemente rivolgendosi alle autorità elvetiche.

Facebook, i dati di milioni di profili divulgati pubblicamente online

Siamo al sicuro? Lugano andrà in cerca di risposte…

Proviamo a ricapitolare: con la nuova legge LPD i nostri dati sul Cloud saranno al sicuro? Sarà sufficiente che i server di un’azienda statunitense siano fisicamente in Svizzera per essere tutelati?
Non proprio: il Cloud Act permette in ogni caso l’accesso ai nostri dati.
C’è ancora molto su cui lavorare, anche per informare il cittadino dei propri diritti. Io ci proverò organizzando il primo “LPD Day” il 14 giugno al LAC a Lugano.

La Guardia di Finanza avvia controlli a tappeto sulla privacy online