La segnalazione

AIIP: ‘Bisogna proteggere i dati personali dei cittadini italiani dal CLOUD Act americano’

di |

Il Presidente AIIP Giovanni Zorzoni: 'Non ci sono informazioni pubbliche su come viene applicato, auspichiamo un intervento dell’Autorità garante per la protezione dei dati personali'.

Il Presidente di AIIP – Associazione Italiana Internet Provider, Giovanni Zorzoni, ha inviato oggi all’Autorità garante per la protezione dei dati personali una segnalazione e una richiesta di intervento urgente relative all’impatto del Clarifying Lawful Overseas Use of Data (CLOUD) Act americano sui dati personali dei cittadini italiani.

Cosa prevede il CLOUD Act. Ma è conforme al GDPR?

Emanato nel 2018, il CLOUD Act potrebbe consentire alle autorità statunitensi di ottenere l’accesso ai dati detenuti da aziende americane anche al di fuori degli USA – dunque anche nella UE e in Italia – senza adeguate tutele giuridiche. Il tema era già stato oggetto di due sentenze della Corte europea, che tuttavia si era limitata ad analizzare l’impatto di una sola norma, l’articolo 702 del Foreign Intelligence Surveillance Act (FISA). Il CLOUD Act, tuttavia, pone questioni altrettanto serie che richiedono di essere approfondite.

La segnalazione ha riguardato un prestatore di servizi di nomi a dominio ma, come è facile immaginare, il tema non riguarda solo una specifica azienda. “Nonostante un gran numero di soggetti, non soltanto Big Tech, operi anche indirettamente sul territorio italiano, salvo casi limitatissimi, non ci sono informazioni pubbliche su come viene applicato il CLOUD Act – ha dichiarato Zorzoni – e non sappiamo se le regole che eventualmente questi soggetti si fossero date siano conformi al GDPR”. Da qui la richiesta di accertare quali entità regolate dal CLOUD Act operino su dati di cittadini italiani e con quali modalità.

Per la quantità e varietà di dati coinvolti e per la numerosità dei soggetti potenzialmente sottoposti al CLOUD Act, la segnalazione di AIIP evidenzia un problema ben più serio di quello, pur rilevante, dell’uso di Google Analytics recentemente oggetto di un provvedimento del Garante italiano. Mentre, infatti, le criticità derivanti da Google Analytics si risolvono utilizzando servizi diversi, potrebbe non essere così per tantissimi altri casi.

“Siamo consapevoli che l’Autorità è già impegnata su svariati fronti – conclude Zorzoni – ma auspichiamo che troverà il modo di dare a questa segnalazione il dovuto peso dal momento che evidenzia un problema specifico, serio e urgente”.