cloud & privacy

Digitanomalie. La mano del governo USA sui dati dei cittadini europei. E’ la fine del cloud americano?

Nella causa Microsoft Corp. v. United States il Governo americano ritiene di avere diritto di accedere direttamente ai dati di chiunque, se detenuti da una filiale di un'azienda americana.

di Andrea Monti - avvocato, esperto di diritto delle telecomunicazioni |

La rubrica DigitAnomalie, ovvero riflessioni sul mondo della rete e della cybersecurity, è curata da Andrea Monti – avvocato, esperto di diritto delle telecomunicazioni. Per consultare gli articoli precedenti, clicca qui.

Il Governo americano ritiene di avere diritto di accedere direttamente ai dati di chiunque, ovunque localizzati nel mondo, se detenuti da una filiale di un’azienda americana.

 

Questa, in sintesi, è la materia del contendere nella causa Microsoft Corp. v. United States che si sta discutendo in questi giorni davanti alla Corte Suprema degli Stati Uniti d’America.

 

Tiesse, innovazione made in Italy

Da un lato, dunque, l’amministrazione Trump che ritiene di avere il diritto di accedere ai dati – posta elettronica, nel caso specifico – dei clienti di Microsoft Irlanda ordinando a Microsoft Corp. di procurarsi i dati in questione facendoseli dare direttamente dalla sua filiale europea. Con un sofisma degno della migliore tradizione greca, infatti, sostiene il Governo che gli investigatori metteranno le mani sui dati europei solo quando saranno arrivati, “privatamente”, in USA e dunque “tecnicamente” l’ordine di accesso/consegna delle e-mail viene esercitato esclusivamente all’interno dei confini americani.

 

Dall’altro i giudici di primo grado e – ovviamente – Microsoft, per i quali un provvedimento dell’autorità giudiziaria statunitense ha effetto solo all’interno dei confini USA e non può, anche solo per vie traverse, superarli.

 

Per quanto possa sembrare strano, il caso Microsoft Corp. v. United States non può essere affrontato in termini di trattamento dei dati personali, ma va considerato dalla duplice prospettiva del diritto di difesa e della tutela dell’inviolabilità del domicilio e della corrispondenza. Due diritti protetti dall’ombrello di precise garanzie costituzionali.

 

Il Regolamento CE 679/2016 (GDPR) non è infatti applicabile alle indagini giudiziarie per espressa previsione del Considerando n. 16 e la direttiva 680/2016 regola il trattamento dei dati personali in ambito giustizia, ma non incide sulle indagini di polizia e sul potere giurisdizionale della magistratura.

 

Ciononostante, queste norme sono state invocate a sproposito, senza considerare che tutte le Costituzioni occidentali proteggono in vario modo la riservatezza delle comunicazioni e condizionano la violazione dello spazio privato di una persona solo ed esclusivamente sotto il controllo di un giudice nazionale.

 

Tanto è vero che quando ci sono indagini  da eseguire in altri Paesi sovrani è possibile raccogliere prove solamente se sono stati stipulati – gli MLAT, Mutual Legal Assistance Treaties – cioè i trattati di mutua cooperazione giudiziaria, grazie ai quali si attivano le rogatorie internazionali.

 

Questa è la stessa identica logica adottata dal legislatore comunitario con la direttiva 2014/41/UE sull’ordine investigativo europeo, recepita in Italia con il decreto legislativo 108/2017.

 

Quando un magistrato di uno Stato membro ha bisogno di compiere un atto di indagine in un altro Stato, invia la richiesta alla Procura competente, la quale valuta la conformità della richiesta alla legge locale e poi ordina, alla forza di polizia nazionale di fare quanto necessario.

 

Applicando questi principi al caso Microsoft Corp. v. United States è chiaro che il sofisma del Governo americano sul fatto che i dati richiesti sarebbero acquisiti solo dopo il loro “rientro in patria”, si rivela per quello che è: appunto, un sofisma.

 

Quando si parla di diritto di difesa, ciò che conta è il suo rispetto sostanziale, cioè concreto ed effettivo e non di contorsioni logiche. Se l’effetto ultimo dell’ordine impartito dagli investigatori americani a Microsoft Corp. in assenza di un MLAT costituisce una violazione delle garanzie processuali di un cittadino di un altro Stato, questo ordine è illegittimo a monte e privo di valore a valle.

 

Questo è ancora più vero se si considera che Microsoft Irlanda – come qualsiasi altro fornitore di servizi di comunicazione elettronica europeo – non è proprietario dei dati (personali e non) inseriti dal cliente o generati dal cliente nell’utilizzo dei servizi internet. A maggior ragione, dunque, Microsoft Irlanda non potrebbe accedere a proprietà altrui senza un ordine legittimo di un giudice irlandese.

 

Ma questo caso, aspetti giuridici a parte, ha un clamoroso effetto collaterale per l’industria IT extra-europea: l’incertezza strutturale sulla inaccessibilità dei dati europei da parte di Stati extra-comunitari.

 

La giurisprudenza, infatti, cambia con il passare del tempo e quindi, anche se Microsoft Corp. dovesse vincere questo round nulla garantisce che in un’altra occasione qualche giudice americano – o di qualche altro Paese – decidano in modo differente, consentendo domani ciò che oggi è stato negato.

 

Tradotto: non basta dire “siamo una società di diritto europeo” per garantire che i dati dei clienti siano a disposizione dell’autorità giudiziaria secondo le leggi del Paese ospitante. Bisogna anche vedere in quale Paese è stabilito il “proprietario”  della società in questione per essere certi che non ci possano essere interpretazioni “creative” delle leggi che si traducono in violazioni delle garanzie che l’Unione Europea offre ai propri cittadini.

 

Morale: prima di scegliere di mettere la propria azienda nelle mani di un soggetto (indirettamente) straniero, è meglio pensarci prima, e più di una volta.

© 2002-2018 Key4biz

Instant SSL