Norme superate dalla tecnologia
Anche negli Stati Uniti la normativa non riesce a stare in linea con l’evoluzione tecnologica. Una norma vetusta, infatti, rischia di rallentare la diffusione della tecnologia cloud (e non solo) poiché rende i dati degli utenti accessibili dalle forze dell’Ordine e dalle agenzie Governative senza un regolare mandato di perquisizione. Tale norma sta creando notevoli disagi ai providers di servizi online poiché non gli permettono di garantire ai propri utenti la riservatezza dei propri contenuti se memorizzati all’interno dei loro server.
Nell’era del Cloud Computing, dove ogni dato degli utenti rimane archiviato all’interno dei provider di servizi online anche per anni, risulta essere ancora vigente negli Stati Uniti una normativa, l’ECPA (Electronic Communication Privacy Act) scritta nel lontano 1986 quando non esisteva ancora l’internet che conosciamo oggi e nessuno dei 340.000 cellulari americani (oggi sono centinaia di milioni) era in grado di inviare email o messaggi di testo. In tale contesto (il 1986) la memorizzazione dei dati aveva costi proibitivi e conseguentemente gli utenti salvavano qualsiasi informazione trasmessa sul proprio terminale, l’ECPA sanciva una distinzione fondamentale tra le comunicazioni salvate sui terminali degli utenti e quelle rimaste sui sistemi dei providers.
Mentre le prime per poter essere acquisite dalle forze dell’Ordine necessitavano di un preventivo mandato di perquisizione sottoscritto da un magistrato, al pari di qualsiasi perquisizione fisica, le seconde, trascorsi 180 giorni di permanenza sui server del providers dovevano essere considerate “abbandonate” e pertanto liberamente accessibili dalle Forze dell’Ordine e dalle Agenzie Governative (anche civili) in virtù di una citazione, ovvero di un semplice ordine di esibizione (al provider di servizi) senza alcun controllo giurisdizionale a monte.
Questo trattamento differenziale in termini di riservatezza tra il dato salvato sul dispositivo dell’utente e quelli salvati sui server dei provider, anche in considerazione della grande aspettativa di riservatezza da parte degli utenti, ha spinto Google e altri provider di servizi online, ad unirsi in vari gruppi di pressione, tra cui la Coalizione per il Digital Due Process, affinché si arrivi ad un aggiornamento della normativa contenuta nell’ECPA. Il disegno di aggiornamento dell’ECPA è in assoluto la legge con il più alto numero di sostenitori in attesa dell’approvazione da parte del Congresso.
I dati custoditi dai providers: quale riservatezza
La riservatezza dei dati degli utenti custoditi dai providers risulta essere un punto cruciale nello sviluppo del settore. Infatti, se i consumatori e le imprese non si fidano che i loro dati sono al sicuro, saranno riluttanti nel cogliere le opportunità che tali servizi offrono sia in termini di efficienza che di riduzione dei costi.
Secondo Google le norme presenti nell’ECPA, non riescono a mantenere l’aspettativa di riservatezza degli utenti americani di oggi e pongono gli operatori di servizi, le Agenzie Governative, i Giudici e le forze dell’ordine in uno stato di incertezza circa le modalità di accesso ai dati degli utenti.
Le aziende informatiche hanno il fondato timore che questa situazione possa frenare la crescita economica e lo sviluppo tecnologico e per tale motivo chiedono soprattutto che ci sia chiarezza per le aziende informatiche di quali autorizzazioni siano necessarie per la divulgazione dei dati, in modo tale da poter avvertire i propri utenti. Google, se non le viene proibito dalla richiesta di esibizione delle informazioni o in casi di emergenza, comunica ai propri utenti il ricevimento di richieste di informazioni da parte di Agenzie Governative o Forze dell’Ordine.
La sentenza Stati Uniti V. Warshak del 2010
Lo scorso 16 settembre Richard Salgado ha testimoniato al Senato degli Stati Uniti a favore di una riforma dell’ECPA sostenendo che la norma, in sostanza, è già stata superata grazie alla Sentenza Stati Uniti V. Warshak del 2010. In tale Sentenza il sesto Circuito di Appello ha riconosciuto che le email memorizzate online, indipendentemente se siano trascorsi 180 giorni o meno, devono essere ricomprese sotto la tutela del Quarto Emendamento della Costituzione degli Stati Uniti con la conseguenza che l’accesso da parte delle Agenzie Governative potrà avvenire soltanto a seguito di un regolare mandato di perquisizione.
Google ritiene che tale sentenza sia corretta, e che per lo stare decisis, la stessa sia divenuta legge in tutti gli Stati Uniti. Di tutt’altro avviso sono, invece, le Agenzie Governative (Civili) sostenendo che la sentenza Warshak sia di ostacolo alle loro attività di indagine sulle violazioni civili non potendo esse richiedere un mandato di perquisizione (ottenibile soltanto per fattispecie di natura penale).
Anche il Dipartimento di Giustizia (DOT) nella propria audizione al Senato ha confermato che non vi è alcun principio di diritto per cui una mail presente per oltre 180 giorni sui server debba sottostare ad un diverso trattamento rispetto ad una mail più recente.
Google, nonostante la vigenza dell’ECPA del 1986, in forza del Quarto Emendamento, della Sentenza Warshark, e della successiva Sentenza Riley v. California (2014) dove viene sancito che le Forze dell’Ordine non possono acquisire dati dal cellulare di un soggetto arrestato senza un mandato di perquisizione, ha disegnato le proprie procedure di accesso ai dati dagli utenti da parte delle Forze dell’Ordine e delle Agenzie Governative graduando la divulgazione delle informazioni degli utenti in base alla tipologia di richiesta inoltrata.
Google e l’accesso ai dati degli utenti
Nel proprio rapporto sulla trasparenza Google individua tre modalità di accesso ai dati degli utenti:
- In presenza di una citazione (ovvero un ordine di esibizione non sottoscritto da un Giudice e utilizzabile anche nei procedimenti civili) Google offrirà soltanto alcuni dati tra cui Il nome fornito al momento di registrazione del servizio, l’indirizzo Ip di registrazione e la data e l’ora di login e logout.
- In presenza di una Ingiunzione (ordine di esibizione sottoscritto da un magistrato soltanto per indagini penali) verranno rilasciate informazioni quali: indirizzo ip associato ad una determinata email inviata dall’account o utilizzata per cambiare la password dell’account, nonché gli indirizzi email del mittente, del destinatario e l’ora di una mail.
- Attraverso un mandato di perquisizione (sottoscritto da un Giudice e ottenibile soltanto nei procedimenti penali a determinati requisiti) Google fornisce informazioni dei propri utenti sulle query di ricerca, e sui contenuti memorizzati su Gmail o altri account Google o Youtube.
Discorso a parte deve essere fatto per le situazioni di emergenza dove dalla mancata divulgazione delle informazioni potrebbero derivare lesioni gravi o mortali a uno o più soggetti, sequestro di persona, o attentati. In tali casi, Google, valutata la richiesta di emergenza ricevuta fornirà esclusivamente le informazioni che consentano di evitare il danno.
L'articolo Google e il libero accesso alle email degli utenti sembra essere il primo su Colin.