Il Clarifying Lawful Overseas Use of Data Act o CLOUD Act (H.R. 4943) è una legge federale degli Stati Uniti d'America emanata nel 2018 secondo cui le forze dell'ordine federali possono ottenere un mandato o ingiunzione per costringere le aziende tecnologiche a fornire qualsiasi dato su cui abbiano controllo, ovunque sia fisicamente ubicato nel mondo.[1]
Il CLOUD Act è principalmente un emendamento allo Stored Communications Act (SCA) del 1986 e fu approvato all'interno di una legge bilancio omnibus (Consolidated Appropriations Act, 2018, PL 115–141, Division V).
Contesto
[modifica | modifica wikitesto]Il CLOUD Act venne introdotto dopo che il Federal Bureau of Investigation (FBI) sostenne di avere difficoltà a ottenere informazioni e dati da fornitori di servizi remoti tramite mandati SCA, poiché la SCA venne approvata prima che il cloud computing fosse una tecnologia ampiamente diffusa.[2] Tale situazione venne alla luce a seguito di un'indagine sul traffico di droga del 2013, durante la quale l'FBI emise un mandato SCA per ottenere le e-mail di un cittadino statunitense che le aveva archiviate su uno dei server di proprietà di Microsoft situato in Irlanda. Microsoft si rifiutò di fornirle.
Questa sfida legale originò il caso Microsoft Corp. contro Stati Uniti innanzi la Corte Suprema. L'FBI sostenne che Microsoft aveva il pieno controllo dei dati e avrebbe dovuto essere costretta a consegnarli in risposta al mandato; Microsoft ribatté, invece, che la SCA non copriva i dati archiviati al di fuori degli Stati Uniti.[3] La sentenza riconobbe che mentre l'FBI poteva richiedere un trattato di mutua assistenza legale (MLAT) per facilitare la scoperta di dati durante l'applicazione della legge transfrontaliera, il processo per acquisire un nuovo MLAT (se non ne esisteva uno), o per elaborare una richiesta attraverso un MLAT esistente, poteva essere lenta e ostacolare gli sforzi di applicazione della legge.[4]
Il Congresso, su spinta principalmente dal senatore Orrin Hatch, prima del CLOUD Act aveva tentato di creare una legislazione per modificare la SCA tenendo conto delle preoccupazioni di Microsoft e di altre società tecnologiche rispetto ai diritti sulla privacy stranieri. Il Law Enforcement Access to Data Stored Abroad Act (LEADS Act) del 2015[5] e l'International Communications Privacy Act (ICPA) del 2017 erano entrambi progetti di legge precedenti destinati a modificare la SCA ma che non sono riusciti a ottenere l'approvazione.[6][7]
Disposizioni
[modifica | modifica wikitesto]Il CLOUD Act stabilisce che le società statunitensi che gestiscono informazioni e comunicazioni sono obbligate a fornire i dati e le informazioni archiviati da un loro cliente o abbonato residenti su qualsiasi server di loro proprietà o da loro gestito quando richiesto da un mandato; fornisce altresì meccanismi che consentono alle stesse società o ai tribunali di respingerli o contestarli se ritengono che la richiesta viola il diritto alla privacy del paese estero in cui sono archiviati i dati.
Tale legge fornisce inoltre un percorso alternativo e accelerato per la sottoscrizione degli MLAT attraverso "accordi esecutivi"; al potere esecutivo viene quindi concessa la possibilità di stipulare accordi bilaterali con paesi stranieri per fornire i dati richiesti relativi ai propri cittadini in modo snello, a condizione che il Procuratore Generale, con il consenso del Segretario di Stato, concordi sul fatto che il paese straniero disponga di protezioni sufficienti per limitare l'accesso ai dati relativi ai cittadini degli Stati Uniti.[8][9] Il primo accordo sottoscritto di questo tipo è stato quello con il Regno Unito.[10]
Al riguardo è stata redatta una FAQ allegata al libro bianco pubblicato dal Dipartimento di Giustizia degli Stati Uniti.[11]
Sostegno e opposizione
[modifica | modifica wikitesto]Il CLOUD Act ha ricevuto il sostegno del Dipartimento di Giustizia e delle principali aziende tecnologiche come Microsoft, AWS, Apple e Google.[12][13]
Il disegno di legge è stato invece criticato da diversi gruppi per i diritti civili, tra cui la Electronic Frontier Foundation, l'American Civil Liberties Union, Amnesty International e Human Rights Watch. Questi gruppi sostenevano che il disegno di legge eliminava i diritti del Quarto Emendamento contro perquisizioni e sequestri irragionevoli, poiché il governo avrebbe potuto stipulare accordi di condivisione dei diritti sui dati con paesi stranieri e aggirare i tribunali statunitensi, e gli utenti interessati non avrebbero dovuto essere informati quando tali mandati fossero stati emessi.[13][14] Alcuni di questi gruppi temevano che il governo non avrebbe esaminato completamente le richieste provenienti da paesi stranieri per l'archiviazione dei propri cittadini su server negli Stati Uniti, consentendo potenzialmente che tali dati fossero utilizzati in malafede in quei paesi.[15]
Approvazione e conseguenze
[modifica | modifica wikitesto]Dopo essere stato presentato al 115º Congresso degli Stati Uniti come HR4943, l'atto è stato incluso come sezione del Consolidated Appropriations Act, 2018 (H.R. 1625), un disegno di legge di spesa omnibus, approvato da entrambe le camere del Congresso e convertito in legge, PL 115–141, il 23 marzo 2018.[16]
Il 17 aprile 2018, la Corte Suprema, sulla base di memorie concordanti presentate dal Dipartimento di Giustizia, lasciò decadere il caso Microsoft Corp. contro Stati Uniti rimettendolo al tribunale di grado inferiore per fare lo stesso, poiché il Dipartimento di Giustizia dimostrò di essere in grado di emettere un nuovo mandato ai sensi del CLOUD Act e non era più interessato a perseguire il mandato iniziale, rendendo il caso controverso.[17][18][19]
Reazioni internazionali
[modifica | modifica wikitesto]Nel 2019, il Garante europeo della protezione dei dati (GEPD) ha considerato il CLOUD Act in conflitto con il GDPR.[20][10] La Corte di giustizia dell'Unione europea nel 2020 ha confermato tale conflitto nella sentenza Schrems II.[21]
L'Autorità tedesca per la protezione dei dati ha messo in guardia la polizia federale[22] dall'usare l'azienda USA Amazon Web Services per l'archiviazione di dati sensibili.
Il Cloud Act, infine, è stato descritto come analogo alla legge cinese sull'intelligence nazionale.[23][24]
Note
[modifica | modifica wikitesto]- ^ alstonprivacy.com, https://www.alstonprivacy.com/cloud-act-impact-cross-border-access-contents-communications/ .
- ^ (EN) New York Law Journal, https://www.law.com/newyorklawjournal/2020/03/30/the-new-data-wars-how-the-cloud-act-is-likely-to-trigger-legal-challenges/ . URL consultato l'11 novembre 2020.
- ^ theglobeandmail.com, https://www.theglobeandmail.com/report-on-business/international-business/us-business/us-supreme-court-wrestles-with-microsoft-data-privacy-fight/article38126808/ .
- ^ zdnet.com, http://www.zdnet.com/article/how-one-judge-single-handedly-killed-trust-in-the-us-technology-industry/ .
- ^ thehill.com, http://thehill.com/blogs/pundits-blog/technology/237328-the-leads-act-and-cloud-computing .
- ^ thehill.com, http://thehill.com/policy/technology/344823-senators-introduce-new-bill-to-force-law-enforcement-to-obtain-americans .
- ^ broadcastingcable.com, http://www.broadcastingcable.com/news/washington/international-communications-privacy-bill-reintroduced/168676 .
- ^ congress.gov, https://www.congress.gov/bill/115th-congress/senate-bill/2383/text .
- ^ natlawreview.com, https://www.natlawreview.com/article/cloud-act-bridging-gap-between-technology-and-law .
- ^ a b europeanlawblog.eu, https://europeanlawblog.eu/2019/10/17/21-thoughts-and-questions-about-the-uk-us-cloud-act-agreement-and-an-explanation-of-how-it-works-with-charts/ .
- ^ justice.gov, http://www.justice.gov/CLOUDAct .
- ^ zdnet.com, http://www.zdnet.com/article/microsoft-bullish-on-congress-inclusion-of-cloud-act-in-funding-bill/ .
- ^ a b slate.com, https://slate.com/technology/2018/03/cloud-act-microsoft-justice-department-omnibus-spending-bill.html .
- ^ theverge.com, https://www.theverge.com/2018/3/22/17131004/cloud-act-congress-omnibus-passed-mlat .
- ^ money.cnn.com, https://money.cnn.com/2018/03/31/technology/microsoft-lawsuit-supreme-court-justice-department/index.html .
- ^ The Washington Post, https://www.washingtonpost.com/news/post-politics/wp/2018/03/23/trump-threatens-to-veto-omnibus-bill-because-it-does-not-address-daca-recipients/ .
- ^ bloomberg.com, https://www.bloomberg.com/news/articles/2018-03-31/justice-department-asks-high-court-to-drop-microsoft-email-case .
- ^ The Washington Post, https://www.washingtonpost.com/world/national-security/justice-department-asks-supreme-court-to-moot-microsoft-email-case-citing-new-law/2018/03/31/e3c46e60-34f6-11e8-8bdd-cdb33a5eef83_story.html .
- ^ reuters.com, https://www.reuters.com/article/us-usa-court-microsoft/supreme-court-rules-that-microsoft-email-privacy-dispute-is-moot-idUSKBN1HO23S .
- ^ European Data Protection Supervisor, edps.europa.eu, https://edps.europa.eu/sites/edp/files/publication/19-07-10_edpb_edps_cloudact_annex_en.pdf .
- ^ Causa C-311/18: Domanda di pronuncia pregiudiziale proposta dalla High Court (Irlanda) il 9 maggio 2018 — Data Protection Commissioner / Facebook Ireland Limited, Maximilian Schrems, su eur-lex.europa.eu.
- ^ POLITICO.eu, https://www.politico.eu/article/german-privacy-watchdog-says-amazon-cloud-vulnerable-to-us-snooping/ .
- ^ The Straits Times, https://www.straitstimes.com/world/europe/as-huawei-frightens-europes-data-protectors-america-does-too .
- ^ Maartje Wijffelaars, RaboResearch - Economic Research, https://economics.rabobank.com/publications/2020/january/the-transatlantic-trade-war/ .
Bibliografia
[modifica | modifica wikitesto]- Justin Hemmings, Defining the Scope of 'Possession, Custody, or Control' for Privacy Issues and the Cloud Act, 23 ottobre 2019.
Collegamenti esterni
[modifica | modifica wikitesto]- 18 Codice USA § 2713 (Stored Communications Act)
- Legge unica sugli stanziamenti, 2018 e successive modifiche (PDF / dettagli) nella raccolta Compilazioni statuti GPO
- Legge consolidata sugli stanziamenti, 2018 come pubblicata nella gazzetta ufficiale (PDF / dettagli)