Il CLOUD Act e le imprese europee: quale ambito di applicazione?

Osservatorio Legale n. 40 – Ottobre 2021

Il CLOUD Act e le imprese europee: quale ambito di applicazione?La dematerializzazione dei dati e la loro conservazione nel “cloud” hanno conseguenze fondamentali e complesse sugli obblighi delle aziende.

Anche quando sono archiviati in Europa, i dati non sono immuni da una richiesta di divulgazione da parte di un paese terzo in un contesto legale.

Il tema sempre più attuale della sovranità digitale trova particolare eco nell'evoluzione del diritto degli Stati Uniti, con il CLOUD Act e il suo ambito di applicazione extraterritoriale.

In quali condizioni la filiale europea di una società americana o, viceversa, la filiale americana di una società europea può essere costretta a comunicare i propri dati alle autorità americane?

Il CLOUD Act (Clarifying Lawful Overseas Use of Data) è stato adottato negli Stati Uniti nel marzo 2018. Il suo obiettivo è consentire alle autorità penali statunitensi di accedere ai dati dei fornitori di servizi cloud statunitensi, indipendentemente da dove siano archiviati, e senza dover avviare procedimenti tramite assistenza legale reciproca internazionale.

Poco prima dell'adozione del CLOUD Act, Microsoft si era rifiutata di fornire alle autorità statunitensi i dati archiviati nel suo cloud irlandese, adducendo come motivazione la mancata applicazione della legge statunitense ai dati archiviati in Europa, il che aveva portato a lunghi procedimenti legali.

Il CLOUD Act chiarisce e amplia il suo ambito di applicazione per prevenire questo tipo di situazioni.

Il testo consente inoltre agli Stati esteri di accedere ai dati dei fornitori di servizi cloud con sede negli USA, senza dover presentare una richiesta di assistenza legale reciproca, in caso di accordo bilaterale.

Un accordo di questo tipo è stato recentemente concluso tra gli Stati Uniti e il Regno Unito, il primo del suo genere.

Il CLOUD Act si applica a qualsiasi società statunitense ai sensi della legge statunitense, vale a dire una società costituita negli Stati Uniti e le società da essa controllate.

Una filiale europea o una società europea controllata da una società americana potrebbe quindi essere soggetta a questa legge, il che causerà inevitabilmente conflitti di legge nella misura in cui anche queste società sono soggette al GDPR.

Da notare che il concetto si rivolge anche alle aziende europee con una "presenza" negli Stati Uniti, il che ne amplia notevolmente la portata.

È quanto sottolineano il Comitato europeo per la protezione dei dati in una posizione del 2019, nonché il Ministero della giustizia svizzero in un recentissimo studio del 17 settembre 2021 sul CLOUD Act.

Questa incertezza sulla portata del CLOUD Act è stata comunicata dallo stesso Dipartimento di Giustizia degli Stati Uniti in un white paper sull'argomento dell'aprile 2019, di cui ecco un estratto (traduzione non ufficiale):

"Se una società estera con sede al di fuori degli Stati Uniti ma che fornisce servizi negli Stati Uniti abbia sufficienti contatti con gli Stati Uniti per essere soggetta alla giurisdizione statunitense è un'indagine specifica che si basa sulla natura, sulla quantità e sulla qualità dei contatti della società con gli Stati Uniti.

Quanto più deliberatamente un'azienda ha indirizzato la propria condotta verso gli Stati Uniti, tanto più è probabile che un tribunale ritenga che l'azienda sia soggetta alla giurisdizione degli Stati Uniti.

Ad esempio, i tribunali statunitensi che applicano questa analisi nei casi civili che coinvolgono siti web si sono concentrati sul grado di interattività di un sito con i clienti nella loro giurisdizione, prendendo in considerazione fattori quali la funzione e la meccanica del sito web, eventuali promozioni specifiche ai clienti, la richiesta di affari tramite il sito e l'uso effettivo da parte dei clienti. 

Questa interpretazione espone potenzialmente un numero molto elevato di aziende europee a rivendicazioni legali negli Stati Uniti, anche quando i database sono ubicati in Europa. Tuttavia, ai sensi dell'articolo 48 del GDPR, la legge di un paese straniero non può costituire una base giuridica sufficiente per il trasferimento di dati personali alle autorità di quel paese.

Il testo del GDPR prevede esplicitamente che tali trasferimenti di dati possano avvenire solo nell'ambito di un accordo internazionale, come un accordo di mutua assistenza giudiziaria.

Questo principio mira a garantire sia la protezione dei dati trasferiti sia un minimo di sicurezza giuridica.

Quali soluzioni?

Da un punto di vista politico, innanzitutto, occorre sottolineare che la Commissione europea sta attualmente negoziando un accordo con gli Stati Uniti volto a facilitare l'accesso alle prove elettroniche nelle indagini penali, mentre il Consiglio d'Europa sta elaborando un secondo protocollo alla Convenzione di Budapest sulla criminalità informatica... due testi che chiarirebbero il quadro giuridico riguardante questi trasferimenti di dati nel rispetto del diritto europeo.

Più specificamente, il Cloud Act prevede che un'azienda che si trovi ad affrontare un conflitto di leggi possa invocare la legge a cui è soggetta, in questo caso il GDPR, per contestare la richiesta americana ("rischio materiale di violazione di leggi straniere").

Ciò comporta tuttavia procedure che possono rivelarsi lunghe e costose, e il cui esito non è certo.

Nella pratica, è possibile adottare misure tecniche per proteggere i dati, ispirandosi alle raccomandazioni del Comitato europeo per la protezione dei dati.

Conservazione dei dati in Europa, nessuna conservazione dei dati "in chiaro", misure di crittografia specifiche come quelle dettagliate dal GEPD nel suo parere del giugno 2021 sugli strumenti di trasferimento dei dati al di fuori dell'Unione europea (p. 30) e conservazione delle chiavi di crittografia nell'Unione europea.

Il CLOUD Act non proibisce la crittografia (sebbene gli Stati Uniti richiedano alle aziende di collaborare con le autorità governative su questo tema) e non prende posizione sulle norme di decrittazione dei paesi terzi.

Aggiungiamo infine che i primi cloud europei hanno recentemente ottenuto l'approvazione delle autorità europee per la protezione dei dati: la scorsa primavera, la CNIL ha approvato il primo codice di condotta europeo dedicato ai fornitori di servizi di infrastrutture cloud.

Ha inoltre appena autorizzato il Laboratorio Nazionale di Metrologia e Prove (LNE) e Bureau Veritas Italia Spa a effettuare controlli sul rispetto del presente codice di condotta.

Senza considerare il "tutto locale" come la panacea assoluta, le nuvole europee hanno il merito di offrire una maggiore sicurezza giuridica, finché un accordo internazionale non avrà chiarito la situazione.

E anche

Francia:

La CNIL ha formalmente notificato la società Franciatest per proteggere i dati sanitari (test di screening) raccolti per conto delle farmacie. Ha inoltre contattato più di 300 farmacie per verificarne la conformità al GDPR.

L'autorità ha inoltre pubblicato all'inizio di ottobre un Libro bianco sui dati e sui metodi di pagamentoe una consultazione pubblica su una bozza di guida al reclutamento.

Infine, la CNIL sta studiando la possibilità di Utilizzo del riconoscimento facciale per i Giochi Olimpici dal 2024.

Europa

L'autorità olandese per la protezione dei dati Il 21 ottobre il Regno Unito ha respinto una richiesta di autorizzazione a inserire nella lista nera le presunte frodi nelle telecomunicazioni e nei pagamenti online.

autorità spagnola ha multato di 16.000 euro il soggetto responsabile dell'implementazione di un sistema di identificazione biometrica sul posto di lavoro senza una preventiva valutazione d'impatto.

A seguito di una violazione della sicurezza nel contesto dell'utilizzo del sistema di riconoscimento facciale Clearview AI,Autorità finlandese per la protezione dei dati ha ritenuto che la polizia avesse utilizzato questo software senza una base legale e le ha ordinato di conformarsi alla legge e di informare le persone interessate.

Tribunale amministrativo provinciale di Varsavia ha ritenuto illegittimo per una banca trattare dati personali sulla base dell'articolo 6(1)(f) del GDPR (bilanciamento degli interessi), esclusivamente a causa della loro possibile utilità futura. Fonte delle decisioni nazionali: gdprhub

Amazon ha stipulato un contratto con Servizi segreti britannici (GCHQ, MI5, MI6), attraverso i quali la società ospiterà e gestirà analisi di intelligenza artificiale su dati sensibili provenienti da agenzie di intelligence. 

In Svizzera, Proton, il servizio di messaggistica sicura e VPN, ha vinto il 22 ottobre un ricorso contro l'obbligo impostogli di monitorare e archiviare i dati dei suoi utenti.

Il Parlamento europeo Il 6 ottobre il Senato degli Stati Uniti ha adottato una risoluzione che respinge il riconoscimento facciale e l'analisi predittiva basata sull'intelligenza artificiale nelle attività di polizia.

Internazionale:

Il 43° Conferenza internazionale delle autorità per la protezione dei dati si è svolto a Città del Messico e in videoconferenza dal 18 al 21 ottobre.

La conferenza ha adottato diverse risoluzioni, tra cui una sui diritti digitali dei bambini e un'altra sull'accesso delle forze dell'ordine ai dati del settore privato.

L'Autorità Garante per la Protezione dei Dati Personali Corea del Sud raccomanda un risarcimento di 257 dollari a ciascun utente i cui dati siano stati trasmessi impropriamente a terzi in caso di violazione della sicurezza di Facebook (Meta).

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.