La guerra per i confini di Internet

Perché tutti i dati personali degli utenti europei sono custoditi in territorio americano? Una questione di diritti (e di cavi)

La questione è: Internet ha confini? L’ambito territoriale è infatti l’oggetto di una nuova disputa che contrappone le due sponde dell’Atlantico, Europa e Stati Uniti [1].

Il contrasto nasce dal fatto che, nonostante il 90% degli utenti di Internet viva fuori dagli Usa, i dati personali che li riguardano sono in America, custoditi nei server delle cinque maggiori aziende digitali del pianeta: Google, Facebook, Microsoft, Amazon e Yahoo!. Edoardo Segantini. «Parafrasando Churchill sull’eroismo dei piloti della Raf, si potrebbe dire che mai, nella storia umana, tante persone siano state creditrici d’informazioni verso così poche» [1].

Stiamo parlando di dati che possono essere utili non solo per la lotta contro i crimini cibernetici, ma anche per le indagini su reati comuni che lasciano tracce e prove elettroniche, ad esempio omicidi, furti e rapine. Negli ultimi 12 mesi solo dal Regno Unito sono partite verso l’America 54mila richieste di dati, rivolte ai cinque big della Rete. Le richieste attendono in media un anno [1].

Questo squilibrio nella gestione globale dei dati personali poggia su due pilastri. Il primo è la legge americana del 1986, che prescrive alle aziende tecnologiche di cedere i file conservati in America solo in risposta all’ordine di un giudice americano [2].

Il secondo pilastro è il Safe Harbour Agreement tra Unione europea e Stati Uniti, l’accordo approvato dalla Commissione europea 15 anni fa, che ha consentito a Facebook di raccogliere i dati sui suoi 23 milioni di utenti italiani per poi trasferirli sui propri server in territorio americano. La Corte di Giustizia europea due mesi fa ha però bocciato l’accordo[1].

È stato Maximillian Schrems, uno studente di legge austriaco e utente di Facebook dal 2008, a mettere in moto il meccanismo. Come accade per gli altri iscritti al social network che risiedono nell’Unione, i dati forniti a Facebook sono trasferiti su server situati nel territorio degli Stati Uniti, dove sono oggetto di trattamento [3].

Schrems ha presentato una denuncia presso l’autorità irlandese di controllo ritenendo che, alla luce delle rivelazioni fatte nel 2013 da Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti (in particolare della National Security Agency, o Nsa), il diritto e le prassi statunitensi non offrissero una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese. Gli irlandesi non hanno accolto la sua istanza e, del resto, la Commissione Ue aveva detto che negli Usa non c’erano problemi. Schrems è così arrivato alla Corte di Giustizia Ue, che il 6 ottobre scorso gli ha dato ragione [3].

Massimo Russo: «La Corte europea ha tralasciato però il fatto che gli strumenti di raccolta di dati a strascico sono oggi utilizzati anche da buona parte dei governi europei» [4].

Di fatto negli ultimi anni non c’è Stato europeo che non abbia implementato o tentato di implementare la capacità intrusiva dei propri apparati di prevenzione senza incontrare limiti da parte della normativa a protezione dei dati. Claudio Blengino: «Mentre il Governo americano approva il Freedom Act, che ridimensiona in parte i poteri dell’Nsa, Francia, Spagna, Austria e Inghilterra si dilettano con black box, malware, dati e metadati da conservare, in spregio alla nota sentenza della Corte Europea sul data retention, per periodi anche maggiori rispetto a quanto volontariamente facciano buona parte dei provider americani» [5].

Da ultimo c’è il caso – criticato anche dal Garante italiano della Privacy e da Apple, sul Financial Times di martedì scorso – della proposta di legge inglese chiamata Snooper’s Charter (Carta dell’impiccione), che autorizzerebbe la polizia a violare i computer e obbligherebbe gli Internet provider a tener traccia per un anno delle attività di navigazione dei clienti [1].

Va ricordato poi che ad accrescere i data center dell’Nsa con interi data set di informazioni sui cittadini europei non sono solo le imprese commerciali, ma è lo stesso Governo europeo che dal 2004 costringe tutte le nostre compagnie aeree a trasferire i Pnr (Passenger name record) direttamente al Department of Homeland Security. Una straordinaria raccolta in massa di dati personali “made in europe” [5].

«Se debbo dire, conscio della globalizzazione del big data, io preferisco che ci sia l’oceano tra i miei dati privati e gli occhi indiscreti al servizio del mio governo. La prossimità è ancora un elemento fondamentale nel concetto di riservatezza e di privacy» (Claudio Blenigo) [5].

Così, due settimane fa, a chiusura di un anno che ha visto l’affossamento del Safe Harbour e scontri ad alto livello con i colossi americani dell’informatica, è arrivato in sede europea l’accordo tra Parlamento e Consiglio, per la riforma del quadro comunitario in materia di protezione dei dati personali. Un compromesso che mira a chiarire i diritti per i cittadini in ottica di controllo e definire meglio il perimetro legale per le imprese che vanno a operare nel mercato digitale. Il testo finale dell’accordo dovrà ora essere votato dal Parlamento europeo [6].

La decisione di lasciare alle singole autorità nazionali la possibilità di opporsi al fatto che i fornitori americani di beni e servizi tengano a casa loro le informazioni di tutti noi quando usiamo la posta elettronica, i social network o compriamo online, ha un effetto immediato. Massimo Russo: «Iscrive l’Europa alla lista dei Paesi che lavorano per la balcanizzazione di Internet, per un suo spezzettamento in sottoreti nazionali. Ci ritroviamo in compagnia della Cina, che già da anni ha realizzato un’efficiente intranet chiusa dal grande firewall e può così controllare cittadini e imprese, e la Russia di Putin, che di recente ha approvato un provvedimento che impone alle aziende di tenere i propri server in Russia» [4].

Alla questione sui dati personali, la privacy e le competenze giuridiche se ne aggiunge una pratica: i cavi sottomarini che consentono la connessione intercontinentale. Il traffico internet aumenta ogni anno dal 20% al 25% a livello mondiale, ma all’incirca del 40% sulle linee che collegano gli Usa con il resto del mondo. La crescita è in gran parte generata da Google, Facebook e Microsoft e le loro applicazioni video. Quando Facebook ha deciso di mettere i filmati sulle sue pagine, ad esempio, il traffico video sui cavi sottomarini è quadruplicato in sei mesi [7].

Lunedì 14 dicembre una delle sette navi posacavi della flotta di Alcatel Lucent ha lasciato il porto di Calais per lo Sri Lanka, nell’Oceano Indiano, dove poserà cavi di fibra ottica per 5.300 chilometri tra Colombo e Gibuti, a una profondità di circa 1.500 metri. È la parte centrale del sistema di quasi 20mila chilometri denominato SeaMeWe5, che metterà in comunicazione Tolone con Singapore, con allacci verso l’Italia, la Turchia, gli Emirati, il Pakistan, l’India, il Bangladesh e la Birmania [7].

Simonetta Scarane: «Il cavo sottomarino è stato inventato nel XIX secolo ma dopo l’avvento di Internet e l’esplosione delle comunicazioni elettroniche sta conoscendo una seconda giovinezza. Contrariamente all’idea radicata, i satelliti giocano un ruolo minimo nel funzionamento di Internet. Quasi il 99% del traffico telefonico internazionale e di dati passa dai cavi. Nel 2015, le comunicazioni intercontinentali sono assicurate da 900mila chilometri di cavi sottomarini (più di 340 reti che collegano tutti i continenti)» [7].

In Europa i nuovi progetti obbediscono anche alle priorità fissate dagli Stati Uniti, dal momento che Google e Microsoft hanno scelto la Finlandia per costruire centri dati europei. E il governo finlandese ha deciso di costruire un cavo sotto il Baltico verso la Germania. Hibernia Express e AeConnect, due nuovi cavi che collegano l’Irlanda all’America del Nord messi in servizio nel 2015, sono utilizzati principalmente da Microsoft e accessoriamente da Google e Facebook che hanno stabilito le loro filiali europee in Irlanda per motivi fiscali e geografici. Tra il 2016-2017, almeno 35 nuove reti sottomarine saranno posate nel mondo [7].

Negli ultimi mesi sottomarini e navi spia russi sono stati avvistati dagli Stati Uniti nelle vicinanze dei grandi cavi che corrono lungo i fondali oceanici. Marco Valsania: «Le preoccupazioni della Casa Bianca e del Pentagono mettono in luce come lo spettro sia quello di attacchi a infrastrutture vitali per le comunicazioni qualora ci fosse una escalation delle tensioni o un conflitto con Mosca. Un danno ai cavi sarebbe molto arduo da riparare per la difficoltà di raggiungere i fondali, indicano dall’amministrazione americana. E le ripercussioni sarebbero incalcolabili, sia per i governi che per l’intera economia, oltre che per i cittadini» [8].

Note: [1] Edoardo Segantini, Corriere della Sera 23/12; [2] Ivo Caizzi, Corriere della Sera 7/10; [3] Marco Zatterin, La Stampa 7/10; [4] Massimo Russo, La Stampa 7/10; [5] Claudio Blengino, il Post.it 10/10; [6] Wired.it 16/12; [7] Simonetta Scarane, ItaliaOggi 22/12; [8] Marco Valsania, Il Sole 24 Ore 26/10.

FONTE 

 

Chi è Max Schrems, lo studente che ha messo in ginocchio Facebook

 

Di  Selene Cilluffo

„Per colpa della sua tesi di laurea Zuckerberg rischia grosso. Il suo impegno per la privacy è iniziato quasi per caso, quando Ed Palmieri, esperto di privacy per il social network, ha fatto un seminario nella classe che Max stava frequentando„Qualche tempo fa Max Schrems era solo uno studente di legge di 27 anni. Oggi invece fa tremare i vertici di Facebook e rischia di smantellare non solo l’impero di Zuckerberg, ma anche quello di molti altri colossi del web che hanno fatto la propria fortuna proprio raccogliendo i dati personali di milioni di utenti. Come ha fatto? Semplice, con la sua tesi di laurea. 

UNA LEZIONE IN SILICON VALLEY

Tutto è cominciato nel 2011 quando Max vince una borsa di studio presso l’università di Santa Clara, in piena Silicon Valley. Così lì ha la possibilità di assistere a una lezione tenuta dall’avvocato Ed Palmieri, l’esperto di privacy di Facebook e braccio destro di Zuckerberg. Dopo quella lezione Max rimane stupito dalla sua carsa conoscenza delle regole vigenti in Europa. Così arriva l’idea per la tesi di laurea: la privacy da parte di Facebook nel vecchio continente. 

Per colpa della sua tesi di laurea Zuckerberg rischia grosso. Il suo impegno per la privacy è iniziato quasi per caso, quando Ed Palmieri, esperto di privacy per il social network, ha fatto un seminario nella classe che Max stava frequentando.

UNA TESI DA RECORD

La sua ricerca lo porta a fare delle scoperte inaspettate: Zuckerberg è a conoscenza di tantissime informazioni private di tutti i suoi utenti, che tra l’altro non venivano cancellate nemmeno qualora si decidesse di disiscriversi dal social network. Schrems torna in Austria con una tesi da 30 e lode e intanto collabora con Europe v. Facebook”, un gruppo di attivisti che si occupano battono per la tutela della privacy nel web: i risultati della sua ricerca cominciano a essere divulgati sul sito del gruppo.

FACEBOOK CI PROVA

Ecco che allora le sue ricerche vengono notate proprio dai manager di Facebook, che sperano di non farsi scappare un’occasione incredibile: quella di poter integrare nel proprio organigramma aziendale un ragazzo tanto giovane, quanto preparato e un potenziale “nemico”. Così Schrems nel febbraio del 2012 fa un colloquio con Richard Allan, direttore europeo della privacy per contro di Zuckerberg che, insieme a un altro suo collega, ascoltano per sei ore le ragioni dello studente austriaco. Il lavoro di Schrems e del gruppo di attivisti attira anche l’attenzione dalle istituzioni europee. Il tutto succede mentre scoppia lo scandalo “Datagate” e Snowden rivela come gli Stati Uniti frugassero nella privacy di moltissimi utenti, americani e non.

UNA CLASS ACTION CONTRO ZUCKEBERG 

Esiste in realtà un accordo tra Usa ed Europa sul trasferimento delle informazioni personali da un continente all’altro: si chiama Safe Harbor ed è stato stipulato nel 2000. Con questo accordo il social di Zuckerberg aveva garantito l’accesso ai dati degli utenti stranieri (in questo caso europei) al governo Usa. Inoltre lo scandalo del sistema di sorveglianza globale della National security agency ha fatto venire alla luce un coinvolgimento di Facebook nelle azioni di spionaggio della Nsa. Il punto è che i dati degli iscritti a Facebook vengono trasferiti “senza un’adeguata protezione” tra la sussidiaria irlandese (il quartier generale di Facebook in Europa è a Dublino) e Facebook Usa.

Secondo Schrems l’esistenza di questo accordo non può prevaricare le competenze dei singoli stati riguardo il trattamento dei dati personali degli utenti. Assieme allo studente viennese si schierano altri venticinquemila utenti da trentaquattro paesi in quella che è una delle più grandi class action contro Facebook. Ironico la chiamata per formare la class action sia stata fatta proprio tramite i social.

Così la causa di Max arriva presso la Corte di Giustizia Europea del Lussemburgo che emette la sentenza in cui vengono accolte le istanze dei richiedenti, invalidando il Safe Harbor dal momento che viola i diritti dei cittadini europei. Una vera e propria pietra miliare per chi si batte per la tutela dei dati personali, anche se questo non vuol dire che che il social network dovrà smettere di raccogliere i dati degli utenti. Ma per lo meno se vorrà farlo dovrà rispettare le diverse normative dei singoli stati membri.

LE CONSEGUENZE DELLA SENTENZA 

Che cosa succederà adesso? In sostanza la palla ora passa all’Alta Corte di giustizia irlandese che dovrà esaminare il livello di protezione dei dati personali degli utenti europei e valutare, in caso contrario, la sospensione del trasferimento dei dati verso gli Stati uniti.

Ovviamente non sarà solo Facebook a cambiare. Le conseguenze ricadranno su tutte le aziende made in Usa che operano nel territorio dell’Unione europea, compreso l’altro grande colosso di internet, Google. Inoltre saranno coinvolte anche quelle aziende che hanno dipendenti europei, oppure le ditte di marketing che si affidano alla trasmissione dei dati personali per pianificare le campagne pubblicitarie. 

Visto che in ballo ci sono i dati personali, una delle merci più richieste a livello globale, le aziende probabilmente non getteranno la spugna facilmente: se saranno le normative nazionali a gestire il trattamento dei dati, allora saranno necessari anche accordi precisi con i singoli paesi. O ancora, spinte dalle lobby, Stati uniti e Unione europea potrebbero stipulare un nuovo trattato. Ma visto il tema scottante e la possibilità effettiva degli utenti di intentare causa direttamente alle società in caso di abuso, non sarà certo semplice. 

In seguito a questa sentenza, le cose non possano cambiare perché improvvisamente le società USA si troveranno a dover trovare accordi con i singoli stati in base alle differenti normative in materia di tutela della privacy di utenti e consumatori. FONTE

APPROFONDIMENTI

 Corte UE: rivoluzionaria sentenza che 15 anni dopo ha ribaltato il ‘safe harbour’ della Commissione Ue, ovvero la certezza, da anni certificata, che gli Stati Uniti garantissero la sicurezza dei dati personali degli utenti, trasferiti dall’Europa oltre l’Atlantico.

IN SINTESI: Gli Stati hanno il potere sovrano sui dati personali degli utenti e devono vigilare su di essi non limitandosi a rivolgersi al principio del porto sicuro.
La Corte Ue, nella sua lunga e complessa argomentazione, rileva che Facebook raccoglie su un server basato in Irlanda i dati degli utenti europei e da lì li trasferisce negli Usa, rendendo di conseguenza possibili diverse ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone.
Un tale accesso così generalizzato al contenuto di comunicazioni elettroniche deve essere considerato lesivo del diritto fondamentale al rispetto della vita privata.14
La Commissione, poi, stabilendo con la sua decisione del 2000 che gli Usa garantivano un adeguato livello di tutela della privacy, ha privato le autorità nazionali di controllo dei loro poteri. ARTICOLO: 
Trasferimento di Dati dall’UE Verso Paesi Terzi: La Corte di Giustizia UE Invalida il Safe Harbour

 

 

IMPORTANTE!: Il materiale presente in questo sito (ove non ci siano avvisi particolari) può essere copiato e redistribuito, purché venga citata la fonte. NoGeoingegneria non si assume alcuna responsabilità per gli articoli e il materiale ripubblicato.Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità. Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n. 62 del 7.03.2001.