La guerra per i confini di Internet
Perché tutti i dati personali degli utenti europei sono custoditi in territorio americano? Una questione di diritti (e di cavi)
La questione è: Internet ha confini? L’ambito
territoriale è infatti l’oggetto di una nuova disputa che contrappone
le due sponde dell’Atlantico, Europa e Stati Uniti [1].
Il contrasto nasce dal fatto che, nonostante il 90% degli utenti di Internet viva fuori dagli Usa,
i dati personali che li riguardano sono in America, custoditi nei
server delle cinque maggiori aziende digitali del pianeta: Google,
Facebook, Microsoft, Amazon e Yahoo!. Edoardo Segantini. «Parafrasando
Churchill sull’eroismo dei piloti della Raf, si potrebbe dire che mai,
nella storia umana, tante persone siano state creditrici d’informazioni
verso così poche» [1].
Stiamo parlando di dati che possono essere utili non
solo per la lotta contro i crimini cibernetici, ma anche per le
indagini su reati comuni che lasciano tracce e prove elettroniche, ad
esempio omicidi, furti e rapine. Negli ultimi 12 mesi solo dal Regno
Unito sono partite verso l’America 54mila richieste di dati, rivolte ai
cinque big della Rete. Le richieste attendono in media un anno [1].
Questo squilibrio nella gestione globale dei dati personali poggia su due pilastri. Il
primo è la legge americana del 1986, che prescrive alle aziende
tecnologiche di cedere i file conservati in America solo in risposta
all’ordine di un giudice americano [2].
Il secondo pilastro è il Safe Harbour Agreement tra Unione europea e Stati Uniti,
l’accordo approvato dalla Commissione europea 15 anni fa, che ha
consentito a Facebook di raccogliere i dati sui suoi 23 milioni di
utenti italiani per poi trasferirli sui propri server in territorio
americano. La Corte di Giustizia europea due mesi fa ha però bocciato
l’accordo[1].
È stato Maximillian Schrems, uno studente di legge austriaco e utente di Facebook dal
2008, a mettere in moto il meccanismo. Come accade per gli altri
iscritti al social network che risiedono nell’Unione, i dati forniti a
Facebook sono trasferiti su server situati nel territorio degli Stati
Uniti, dove sono oggetto di trattamento [3].
Schrems ha presentato una denuncia presso l’autorità irlandese di
controllo ritenendo che, alla luce delle rivelazioni fatte nel 2013 da
Edward Snowden in merito alle attività dei servizi di intelligence negli
Stati Uniti (in particolare della National Security Agency, o Nsa), il
diritto e le prassi statunitensi non offrissero una tutela adeguata
contro la sorveglianza svolta dalle autorità pubbliche sui dati
trasferiti verso tale paese. Gli irlandesi non hanno accolto la sua
istanza e, del resto, la Commissione Ue aveva detto che negli Usa non
c’erano problemi. Schrems è così arrivato alla Corte di Giustizia Ue,
che il 6 ottobre scorso gli ha dato ragione [3].
Massimo Russo: «La Corte europea ha tralasciato però il fatto che gli strumenti di raccolta di dati a strascico sono oggi utilizzati anche da buona parte dei governi europei» [4].
Di fatto negli ultimi anni non c’è Stato europeo che non abbia implementato o
tentato di implementare la capacità intrusiva dei propri apparati di
prevenzione senza incontrare limiti da parte della normativa a
protezione dei dati. Claudio Blengino: «Mentre il Governo americano
approva il Freedom Act, che ridimensiona in parte i poteri dell’Nsa,
Francia, Spagna, Austria e Inghilterra si dilettano con black box,
malware, dati e metadati da conservare, in spregio alla nota sentenza
della Corte Europea sul data retention, per periodi anche maggiori
rispetto a quanto volontariamente facciano buona parte dei provider
americani» [5].
Da ultimo c’è il caso – criticato anche dal Garante italiano della Privacy e da Apple,
sul Financial Times di martedì scorso – della proposta di legge inglese
chiamata Snooper’s Charter (Carta dell’impiccione), che autorizzerebbe
la polizia a violare i computer e obbligherebbe gli Internet provider a
tener traccia per un anno delle attività di navigazione dei clienti [1].
Va ricordato poi che ad accrescere i data center dell’Nsa con
interi data set di informazioni sui cittadini europei non sono solo le
imprese commerciali, ma è lo stesso Governo europeo che dal 2004
costringe tutte le nostre compagnie aeree a trasferire i Pnr (Passenger
name record) direttamente al Department of Homeland Security. Una
straordinaria raccolta in massa di dati personali “made in europe” [5].
«Se debbo dire, conscio della globalizzazione del big data, io preferisco che ci sia l’oceano tra
i miei dati privati e gli occhi indiscreti al servizio del mio governo.
La prossimità è ancora un elemento fondamentale nel concetto di
riservatezza e di privacy» (Claudio Blenigo) [5].
Così, due settimane fa, a chiusura di un anno che ha visto l’affossamento del Safe Harbour e
scontri ad alto livello con i colossi americani dell’informatica, è
arrivato in sede europea l’accordo tra Parlamento e Consiglio, per la
riforma del quadro comunitario in materia di protezione dei dati
personali. Un compromesso che mira a chiarire i diritti per i cittadini
in ottica di controllo e definire meglio il perimetro legale per le
imprese che vanno a operare nel mercato digitale. Il testo finale
dell’accordo dovrà ora essere votato dal Parlamento europeo [6].
La decisione di lasciare alle singole autorità nazionali la possibilità di opporsi al
fatto che i fornitori americani di beni e servizi tengano a casa loro
le informazioni di tutti noi quando usiamo la posta elettronica, i
social network o compriamo online, ha un effetto immediato. Massimo
Russo: «Iscrive l’Europa alla lista dei Paesi che lavorano per la
balcanizzazione di Internet, per un suo spezzettamento in sottoreti
nazionali. Ci ritroviamo in compagnia della Cina, che già da anni ha
realizzato un’efficiente intranet chiusa dal grande firewall e può così
controllare cittadini e imprese, e la Russia di Putin, che di recente ha
approvato un provvedimento che impone alle aziende di tenere i propri
server in Russia» [4].
Alla questione sui dati personali, la privacy e le competenze giuridiche se ne aggiunge una pratica:
i cavi sottomarini che consentono la connessione intercontinentale. Il
traffico internet aumenta ogni anno dal 20% al 25% a livello mondiale,
ma all’incirca del 40% sulle linee che collegano gli Usa con il resto
del mondo. La crescita è in gran parte generata da Google, Facebook e
Microsoft e le loro applicazioni video. Quando Facebook ha deciso di
mettere i filmati sulle sue pagine, ad esempio, il traffico video sui
cavi sottomarini è quadruplicato in sei mesi [7].
Lunedì 14 dicembre una delle sette navi posacavi della flotta di Alcatel Lucent ha
lasciato il porto di Calais per lo Sri Lanka, nell’Oceano Indiano, dove
poserà cavi di fibra ottica per 5.300 chilometri tra Colombo e Gibuti, a
una profondità di circa 1.500 metri. È la parte centrale del sistema di
quasi 20mila chilometri denominato SeaMeWe5, che metterà in
comunicazione Tolone con Singapore, con allacci verso l’Italia, la
Turchia, gli Emirati, il Pakistan, l’India, il Bangladesh e la Birmania [7].
Simonetta Scarane: «Il cavo sottomarino è stato inventato nel XIX secolo ma
dopo l’avvento di Internet e l’esplosione delle comunicazioni
elettroniche sta conoscendo una seconda giovinezza. Contrariamente
all’idea radicata, i satelliti giocano un ruolo minimo nel funzionamento
di Internet. Quasi il 99% del traffico telefonico internazionale e di
dati passa dai cavi. Nel 2015, le comunicazioni intercontinentali sono
assicurate da 900mila chilometri di cavi sottomarini (più di 340 reti
che collegano tutti i continenti)» [7].
In Europa i nuovi progetti obbediscono anche alle priorità fissate dagli Stati Uniti,
dal momento che Google e Microsoft hanno scelto la Finlandia per
costruire centri dati europei. E il governo finlandese ha deciso di
costruire un cavo sotto il Baltico verso la Germania. Hibernia Express e
AeConnect, due nuovi cavi che collegano l’Irlanda all’America del Nord
messi in servizio nel 2015, sono utilizzati principalmente da Microsoft e
accessoriamente da Google e Facebook che hanno stabilito le loro
filiali europee in Irlanda per motivi fiscali e geografici. Tra il
2016-2017, almeno 35 nuove reti sottomarine saranno posate nel mondo [7].
Negli ultimi mesi sottomarini e navi spia russi sono stati avvistati dagli Stati Uniti nelle
vicinanze dei grandi cavi che corrono lungo i fondali oceanici.
Marco
Valsania: «Le preoccupazioni della Casa Bianca e del Pentagono mettono
in luce come lo spettro sia quello di attacchi a infrastrutture vitali
per le comunicazioni qualora ci fosse una escalation delle tensioni o un
conflitto con Mosca. Un danno ai cavi sarebbe molto arduo da riparare
per la difficoltà di raggiungere i fondali, indicano
dall’amministrazione americana. E le ripercussioni sarebbero
incalcolabili, sia per i governi che per l’intera economia, oltre che
per i cittadini» [8].
Note:
[1] Edoardo Segantini, Corriere della Sera 23/12; [2] Ivo Caizzi,
Corriere della Sera 7/10; [3] Marco Zatterin, La Stampa 7/10; [4]
Massimo Russo, La Stampa 7/10; [5] Claudio Blengino, il Post.it 10/10;
[6] Wired.it 16/12; [7] Simonetta Scarane, ItaliaOggi 22/12; [8] Marco
Valsania, Il Sole 24 Ore 26/10.
FONTE Chi è Max Schrems, lo studente che ha messo in ginocchio Facebook
Di Selene Cilluffo
„Per
colpa della sua tesi di laurea Zuckerberg rischia grosso. Il suo
impegno per la privacy è iniziato quasi per caso, quando Ed Palmieri,
esperto di privacy per il social network, ha fatto un seminario nella
classe che Max stava frequentando“„Qualche tempo fa Max Schrems era solo uno studente di legge di 27 anni. Oggi invece fa tremare i vertici di Facebook e
rischia di smantellare non solo l’impero di Zuckerberg, ma anche quello
di molti altri colossi del web che hanno fatto la propria fortuna
proprio raccogliendo i dati personali di milioni di utenti. Come ha
fatto? Semplice, con la sua tesi di laurea. “
UNA LEZIONE IN SILICON VALLEY
Tutto è cominciato nel 2011 quando Max vince una borsa di studio presso l’università di Santa Clara, in piena Silicon Valley.
Così lì ha la possibilità di assistere a una lezione tenuta
dall’avvocato Ed Palmieri, l’esperto di privacy di Facebook e braccio
destro di Zuckerberg. Dopo quella lezione Max rimane stupito dalla sua
carsa conoscenza delle regole vigenti in Europa. Così arriva l’idea per
la tesi di laurea: la privacy da parte di Facebook nel vecchio
continente.
Per
colpa della sua tesi di laurea Zuckerberg rischia grosso. Il suo
impegno per la privacy è iniziato quasi per caso, quando Ed Palmieri,
esperto di privacy per il social network, ha fatto un seminario nella
classe che Max stava frequentando.
UNA TESI DA RECORD
La sua ricerca lo porta a fare delle scoperte inaspettate: Zuckerberg è a conoscenza di tantissime informazioni private di tutti i suoi utenti,
che tra l’altro non venivano cancellate nemmeno qualora si decidesse di
disiscriversi dal social network. Schrems torna in Austria con una tesi
da 30 e lode e intanto collabora con “Europe v. Facebook”,
un gruppo di attivisti che si occupano battono per la tutela della
privacy nel web: i risultati della sua ricerca cominciano a essere
divulgati sul sito del gruppo.
FACEBOOK CI PROVA
Ecco
che allora le sue ricerche vengono notate proprio dai manager di
Facebook, che sperano di non farsi scappare un’occasione incredibile:
quella di poter integrare nel proprio organigramma aziendale un ragazzo
tanto giovane, quanto preparato e un potenziale “nemico”. Così Schrems nel febbraio del 2012 fa un colloquio con Richard Allan, direttore europeo della privacy per contro di Zuckerberg che,
insieme a un altro suo collega, ascoltano per sei ore le ragioni dello
studente austriaco. Il lavoro di Schrems e del gruppo di attivisti
attira anche l’attenzione dalle istituzioni europee. Il tutto succede
mentre scoppia lo scandalo “Datagate” e Snowden rivela come gli Stati Uniti frugassero nella privacy di moltissimi utenti, americani e non.
UNA CLASS ACTION CONTRO ZUCKEBERG
Esiste in realtà un accordo tra Usa ed Europa sul trasferimento delle informazioni personali da un continente all’altro: si chiama Safe Harbor ed è stato stipulato nel 2000.
Con questo accordo il social di Zuckerberg aveva garantito l’accesso ai
dati degli utenti stranieri (in questo caso europei) al governo Usa.
Inoltre lo scandalo del sistema di sorveglianza globale della National
security agency ha fatto venire alla luce un coinvolgimento di Facebook
nelle azioni di spionaggio della Nsa. Il punto è che i dati degli
iscritti a Facebook vengono trasferiti “senza un’adeguata protezione”
tra la sussidiaria irlandese (il quartier generale di Facebook in Europa
è a Dublino) e Facebook Usa.
Secondo
Schrems l’esistenza di questo accordo non può prevaricare le competenze
dei singoli stati riguardo il trattamento dei dati personali degli
utenti. Assieme allo studente viennese si schierano altri venticinquemila utenti da trentaquattro paesi in
quella che è una delle più grandi class action contro Facebook. Ironico
la chiamata per formare la class action sia stata fatta proprio tramite
i social.
Così
la causa di Max arriva presso la Corte di Giustizia Europea del
Lussemburgo che emette la sentenza in cui vengono accolte le istanze dei
richiedenti, invalidando il Safe Harbor dal momento che viola i diritti dei cittadini europei. Una
vera e propria pietra miliare per chi si batte per la tutela dei dati
personali, anche se questo non vuol dire che che il social network dovrà
smettere di raccogliere i dati degli utenti. Ma per lo meno se vorrà
farlo dovrà rispettare le diverse normative dei singoli stati membri.
LE CONSEGUENZE DELLA SENTENZA
Che cosa succederà adesso? In sostanza la palla ora passa all’Alta Corte di giustizia irlandese che dovrà esaminare il livello di protezione dei dati personali degli utenti europei e valutare, in caso contrario, la sospensione del trasferimento dei dati verso gli Stati uniti.
Ovviamente non sarà solo Facebook a cambiare. Le conseguenze ricadranno su tutte le aziende made in Usa che operano nel territorio dell’Unione europea,
compreso l’altro grande colosso di internet, Google. Inoltre saranno
coinvolte anche quelle aziende che hanno dipendenti europei, oppure le
ditte di marketing che si affidano alla trasmissione dei dati personali
per pianificare le campagne pubblicitarie.
Visto
che in ballo ci sono i dati personali, una delle merci più richieste a
livello globale, le aziende probabilmente non getteranno la spugna
facilmente: se saranno le normative nazionali a gestire il trattamento
dei dati, allora saranno necessari anche accordi precisi con i singoli
paesi. O ancora, spinte dalle lobby, Stati uniti e Unione europea
potrebbero stipulare un nuovo trattato. Ma visto il tema scottante e la
possibilità effettiva degli utenti di intentare causa direttamente alle
società in caso di abuso, non sarà certo semplice.
In
seguito a questa sentenza, le cose non possano cambiare perché
improvvisamente le società USA si troveranno a dover trovare accordi con
i singoli stati in base alle differenti normative in materia di tutela
della privacy di utenti e consumatori. FONTE
APPROFONDIMENTI
Corte
UE: rivoluzionaria sentenza che 15 anni dopo ha ribaltato il ‘safe
harbour’ della Commissione Ue, ovvero la certezza, da anni certificata,
che gli Stati Uniti garantissero la sicurezza dei dati personali degli
utenti, trasferiti dall’Europa oltre l’Atlantico.
IN
SINTESI: Gli Stati hanno il potere sovrano sui dati personali degli
utenti e devono vigilare su di essi non limitandosi a rivolgersi al
principio del porto sicuro.
La Corte Ue, nella sua lunga e complessa argomentazione, rileva che
Facebook raccoglie su un server basato in Irlanda i dati degli utenti
europei e da lì li trasferisce negli Usa, rendendo di conseguenza
possibili diverse ingerenze da parte delle autorità pubbliche americane
nei diritti fondamentali delle persone.
Un tale accesso così generalizzato al contenuto di comunicazioni elettroniche deve essere considerato lesivo del diritto fondamentale al rispetto della vita privata.14
La Commissione, poi, stabilendo con la sua decisione del 2000 che gli Usa garantivano un adeguato livello di tutela della privacy, ha privato le autorità nazionali di controllo dei loro poteri. ARTICOLO: Trasferimento di Dati dall’UE Verso Paesi Terzi: La Corte di Giustizia UE Invalida il Safe Harbour
Nessun commento:
Posta un commento