L’intelligence Usa può avere accesso ai file immagazzinati nei servizi di cloud computing in Europa (documenti medici, finanziari, segreti commerciali e persino documenti governativi) nonostante non sia previsto dalla legislazione dell’Unione europea sulla protezione dei dati.
L’avvertimento arriva da Caspar Bowden, ex capo della privacy di Microsoft, che la scorsa settimana, durante un intervento a Bruxelles, ha ribadito quanto alcuni sapevano già: le leggi Usa consentono al governo di spiare file e documenti di cittadini non statunitensi e la normativa europea non riesce a impedirlo.
A rischio sono i cittadini europei che usano prodotti cloud di aziende statunitensi come Amazon, Apple, Microsoft e Google.
In teoria, infatti, se un governo vuole accesso ai dati dei residenti in un altro Paese dovrebbe usare il trattato di Mutua assistenza legale (Mutual legal assistence, Mla), che prevede un percorso formale in base al quale il richiedente deve specificare, almeno in parte, per quale motivo ha bisogno di quelle informazioni (per esempio per prevenire un attacco terroristico). Ma il governo Usa preferisce non rivelare niente a Paesi terzi quando si tratta di queste materie.
D’altra parte gli Stati Uniti hanno prodotto una legislazione ad hoc: il Fisa (Foreign Intelligence Surveillance Act), approvato dal Congresso nel 1978 ed emendato dal Patrioct Act del 2001 (emanato un mese dopo l’attacco terroristico alle Torri gemelle), dà al governo americano tutto il potere per acquisire dati sui cittadini negli Usa e all’estero. All’epoca il cloud computing non esisteva ancora. Ma, quando il Fisa è stato emendato l’ultima volta nel 2008, è stata introdotta la “sezione 1881a” che estende i poteri di sorveglianza anche in ambito cloud.
Per contro nessun atto legale di un Paese terzo può prevalere sulla legislazione della Ue o degli Stati membri, e questo include anche le regole sulla protezione dei dati. Qualsiasi elaborazione di informazioni personali nell’ambito della Ue deve rispettare la legge europea in materia. Per cui, se gli Usa hanno bisogno di dati, devono usare i trattati di Mutua assistenza legale.
Ma, come spiega Zack Whittaker, giornalista newyorchese esperto della materia, se vivi in Europa o in qualsiasi altro Paese non americano ma usi servizi cloud di aziende con sede negli Usa (per esempio iCloud di Apple, Google Drive o persino Facebook), i tuoi dati sono passibili di ispezione da parte delle autorità Usa.
Non è importante se sono immagazzinati in un data center europeo. Peraltro quasi sempre i colossi informatici degli Usa aprono sedi nell’Unione europea, per esempio in Irlanda dove il regime fiscale è più favorevole. Ma, essendo comunque americani, hanno l’obbligo di rispondere alle leggi Usa. Eventualmente possono ricorrere in tribunale appellandosi al primo emendamento, ma più spesso scelgono di soddisfare le richieste.