Falle nel firmware di dispositivi NAS TVS-663 di QNAP: utenti esposti ad attacchi su larga scala
18 Gennaio 2017
Gestire il cambiamento del software nel sistema informativo sanitario
20 Gennaio 2017

Privacy Shield e Cloud

Il Cloud computing e il trasferimento dei dati verso gli USA sono, di fatto, un binomio molto stretto; nell’attuale assetto di mercato è vero, infatti, che la maggior parte dei servizi Cloud si fondano su server collocati, appunto, negli Stati Uniti o che, comunque, molti fornitori di servizi Cloud abbiano li la loro sede. In tale ottica assume quindi una grande importanza l’accordo EU-USA Privacy Schield (di seguito solo “Privacy Schield”) che dovrebbe assicurare ai cittadini dell’Unione Europea un trattamento dei dati da parte delle aziende americane in conformità con la normativa europea per la tutela del trattamento dei dati (c.d. normativa privacy).

Prima però di entrare nel merito di questo provvedimento è bene ripercorrere, seppure in maniera sintetica, gli antefatti che hanno determinato il presente quadro giuridico-fattuale. Come noto, il 6 ottobre 2015, la Corte Europea di Giustizia si è pronunciata sulla causa C–362/14 Maximillian Schrems v Data Protection Commissioner con una sentenza dagli effetti dirompenti e che hanno determinato il venir meno del Safe Harbour (ovvero, in maniera molto semplicistica, quell’accorto fra USA e EU in base al quale il trasferimento di dati verso le società americane che aderivano a detto protocollo era lecito).

I punti salienti della sentenza possono essere così sintetizzati

  • in virtù delle normative vigenti negli USA, le società americane, anche se aderenti al Safe Harbour, devono rivelare i dati personali in loro possesso alla Autorità americane preposte alla sicurezza nazionale, se destinatari di specifica richiesta;
  • tale incondizionato e generalizzato accesso ai dati è lesivo del contenuto essenziale del diritto fondamentale al rispetto della vita privata e contrasta con i principi sanciti dalla Direttiva europea per la protezione dei dati 95/46/EC e dalla Carta dei diritti fondamentali dell’Unione europea;
  • la mancata previsione di qualsiasi facoltà per il singolo di esperire rimedi giuridici diretti ad accedere ai dati personali che lo riguardano o ad ottenerne la rettifica o la cancellazione viola il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva, facoltà, questa, che è connaturata all’esistenza di uno Stato di diritto;
  • la decisione della Commissione Europea che attesta che le società aderenti al Safe Harbour degli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti da paesi UE (Decisione 520/2000/EC) è invalida in considerazione del fatto che priva le autorità nazionali di controllo dei loro poteri nel caso in cui una persona contesti la compatibilità della decisione con la tutela della vita privata, delle libertà e dei diritti fondamentali delle persone: la Commissione non aveva la competenza per limitare in tale modo i poteri delle autorità nazionali di controllo;
  • spetta quindi alle Autorità nazionali UE per la privacy procedere con le loro valutazioni e determinazioni e decidere l’adeguatezza o meno del livello di protezione dati offerto da un Paese Terzo alla luce sia della Direttiva europea per la protezione dei dati 95/46/EC, sia della Carta dei diritti fondamentali dell’Unione europea.

A valle di questa sentenza, il nostro Garante per la protezione dei dati ha emesso il Provvedimento n. 564 del 22 ottobre 2015 intitolato Trasferimento dati personali verso gli USA: caducazione provvedimento del Garante del 10.10.2001 di riconoscimento dell’accordo sul c.d. “Safe Harbor” (Pubblicato sulla Gazzetta Ufficiale n. 271 del 20 novembre 2015), vietando così il trasferimento dei dati personali basato su tale delibera e sui relativi presupposti dal territorio dello Stato verso gli Stati Uniti d’America. Rimaneva, quindi, lecito il trasferimento dei dati personali verso gli Usa se basato sull’adozione di clausole contrattuali standard approvate dalla Commissione Europea o in forza delle Binding Corporate Rules (BCR) oltre, ovviamente alle altre ipotesi contemplate dall’art. 43 codice privacy (ad es. il consenso dell’interessato); così come persisteva la possibilità per ogni singola organizzazione o per ciascun professionista di richiedere al Garante, ex art. 44 codice privacy, una specifica autorizzazione all’esportazione dei dati verso un determinato soggetto USA (in linea teorica l’eventuale risposta autorizzativa dovrebbe intervenire entro 45 gg. come previsto dalla tabella B del Regolamento n. 2/2007 del 14 dicembre 2007 del Garante).

In questo improvviso quadro di incertezza per gli operatori europei, interveniva in data 16 ottobre 2015 il WP29 (come noto l’Article 29 Working Party o Gruppo di Lavoro ex Articolo 29 è l’organismo che riunisce i rappresentanti delle Autorità Garanti per il trattamento dei dati di ciascun Paese europeo) che indicava la fine del mese di gennaio 2016 quale termine per permettere di trovare un’adeguata soluzione con le autorità americane. Detto termine, come prevedibile, non veniva però rispettato. Il 2 febbraio 2016 si giunge alla definizione di un bozza di accordo, denominato EUUSA Privacy Shield, volto a consentire i trasferimenti di dati personali dall’Unione Europea agli Stati Uniti.

Questo accordo quadro è composto da una serie di documenti fra cui:

  • i Principi del Privacy Shield;
  • l’Allegato 1 redatto dall’International Trade Administration (ITA) del Dipartimento del Commercio americano che regola il programma e descrive gli adempimenti per rendere effettivamente operativo il Privacy Shield;
  • l’Allegato 2 relativo agli impegni del Dipartimento del Commercio americano in merito al modello arbitrale previsto dal Privacy Shield;
  • una lettera della Commissione Federale del Commercio (FTC) che descrive come darà esecuzione al Privacy Shield;
  • una lettera del Dipartimento dei Trasporti che descrive come darà esecuzione al Privacy Shield;
  • una lettera dell’Ufficio del Direttore dell’Intelligence nazionale (ODNI) riguardante le garanzie e le limitazioni applicabili alle Autorità di sicurezza nazionale americane;
  • una lettera del Dipartimento di Stato americano con un memorandum che descrive il suo impegno ad instituire un nuovo Privacy Shield Ombudsperson per le richieste riguardanti l’ingente attività di intelligence americana;
  • una lettera del Dipartimento di Giustizia americano concernente le garanzie e i limiti di accesso ai dati da parte del Governo americano per motivi di amministrazione della giustizia e di pubblico interesse.

Ciò premesso è bene ricordare che la Direttiva 95/46/EC prevede la legittimità del trasferimento di dati personali verso Paesi extra-UE quando questi assicurino un adeguato livello di protezione degli stessi ovvero quando il trattamento risulti conforme ai principi ed alla normativa europea; questo giudizio di adeguatezza è preso con una decisione della Commissione Europea. Lo scopo precipuo dell’EUUSA Privacy Schield è proprio quello di assicurare un adeguato livello di protezione dei dati personali trasferiti, appunto, verso gli Stati Uniti.

I principi cardine sui cui si fonda questo nuovo accordo quadro possono sintetizzarsi nei seguenti punti:

  • l’imposizione di precisi obblighi alle società americane che trattano dati personali di cittadini europei nonché una solida applicazione delle regole previste da questo accordo quadro; questo deve quindi essere trasparente e prevedere dei meccanismi efficaci di vigilanza, delle sanzioni per i casi di inadempimento e delle condizioni rigorose per trasferimenti di dati successivi ad altri partner effettuati dalle società che aderiscono a questo accordo quadro;
  • la previsione di garanzie chiare e di obblighi di trasparenza per i casi di accesso ai dati da parte del governo americano; questo principio si fonda su una garanzia scritta degli Stati Uniti all’UE in base alla quale gli accessi delle autorità pubbliche governative americane ai dati dei cittadini europei saranno soggetti a precisi limiti, a meccanismi di controllo, al divieto di accesso generalizzato: quindi un accesso solo se necessario e in maniera proporzionata;
  • la possibilità per i cittadini europei di ricorrere, in materia di Intelligence nazionale, alla figura di un Ombudsman, inquadrato all’interno del Dipartimento di Stato americano, che deve essere indipendente dai servizi di sicurezza nazionali: l’Ombudsman si occuperà dei reclami e delle richieste di informazioni presentate dai singoli cittadini europei e avrà l’obbligo di informarli sul rispetto delle normative in materia; questi impegni saranno pubblicati nel U.S. Federal Register;
  • la previsioni di diverse possibilità di ricorso per garantire l’effettiva protezione dei diritti dei cittadini europei basate sui seguenti punti:
    – i reclami devono essere risolti dalle imprese americane entro 45 giorni;
    – dovrà essere disponibile un meccanismo di composizione stragiudiziale e gratuito delle controversie;
    – ci dovrà essere la possibilità per i cittadini europei di rivolgersi anche alle loro rispettive Autorità Garanti nazionali che collaboreranno con la Commissione Federale per il Commercio per garantire l’esame e la risoluzione dei reclami proposti dai cittadini europei;
    – esisterà, in ultima istanza, la possibilità di ricorrere ad un meccanismo di arbitrato che sfocerà in una decisione esecutiva;
    – le imprese americane potranno impegnarsi a rispettare il parere delle Autorità Garanti europee, facoltà che diventa un obbligo per le imprese che trattano dati inerenti le risorse umane;
  • la previsione di un meccanismo di riesame congiunto annuale in grado di monitorare il funzionamento di questo accordo quadro, ivi compresi gli impegni e le garanzie inerenti l’accesso ai dati per finalità di contrasto alla criminalità e di sicurezza nazionale; questo riesame dovrà essere operato dalla Commissione europea e dal Dipartimento del Commercio degli Stati Uniti con l’intervento di esperti dell’intelligence americani e delle Autorità Garanti europee.

Attualmente il Privacy Shield è sottoposto ad una analisi da parte di un Comitato europeo composto dai rappresentanti degli Stati membri e dal WP29 che dovrà esprimere il proprio parere prima della decisione finale. Analogamente le Autorità governative americane dovranno compiere i passi necessari per porre in essere quanto di competenza. In quest’ottica si deve considerare quanto previsto dagli USA con il Judicial Redress Act. Questa norma, firmata dal Presidente Obama il 24 febbraio u.s., dovrebbe attribuire il diritto ai cittadini europei di adire le Corti giurisdizionali americane per l’esercizio dei diritti in materia di privacy in relazione al trasferimento di dati personali verso gli USA; tuttavia occorre anche segnalare che per l’applicazione del Judicial Redress Act è preventivamente necessaria l’esistenza dell’accordo sul trasferimento dei dati e che tale accordo non deve interferire con la sicurezza nazionale.

In questa nuova prospettiva di un Privacy Shield ancora da perfezionarsi, si ritiene interessante proporre, a chiusura di questo scritto, alcuni spunti di riflessione senza però trarre, volutamente, alcuna considerazione:

  • la Corte Europea di Giustizia, con la sentenza sopra citata, ha ritenuto che l’accesso indiscriminato ai dati, quindi anche quelli dei cittadini europei che, ad esempio, utilizzavano e utilizzano servizi cloud di provider americani, da parte delle autorità americane violasse la Direttiva 95/46/EC nonché i diritti della Carta dei diritti fondamentali dell’Unione europea;
  • nulla viene detto dalla Corte Europea di Giustizia o dalle Autorità Garanti nazionali sull’analogo accesso ai dati dei cittadini europei effettuato senza distinzione e in maniera massiva da parte delle Autorità pubbliche dei singoli paesi europei (come emerso, ad esempio, dal c.d. Datagate a proposito della Gran Bretagna ed il sistema Tempora);
  • le autorità pubbliche americane ritengono di poter accedere tranquillamente ai dati di server cloud ubicati all’interno dell’Unione Europea quando questi sono di proprietà o sono gestiti da società americane (a tale proposito è interessante notare la battaglia legale che Microsoft sta portando avanti in merito ad un ordine di un Giudice americano di produzione di dati di un cliente salvati su uno dei suoi server posti in Irlanda, sostenendo che il Giudice dovrebbe, per accedere a detti dati, seguire la strada della rogatoria internazionale prevista dai tratti);
  • il secondo comma dell’art. 3 della Direttiva 95/46/EC prevede espressamente che Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali “… aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale”;
  • il nuovo Regolamento UE sulla protezione dei dati personali prevede analoghe disposizioni al considerando n. 14, all’art. 2 comma 2 lettera e) ed all’art. 21.

A cura di: Valerio Vertua, Vice Presidente di CSA Italy e Presidente di Digital Forensics Alumni

Articolo pubblicato sulla rivista ICT Security – Aprile 2016

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy