Qualche mese fa, ero parte di un panel con un accademico straniero che ha descritto il Clarifying Lawful Overseas Use of Data Act (o Cloud Act) come un aggressivo tentativo di supremazia da parte degli Stati Uniti – quello che lui ha definito “sovranità espansiva”. Non avevo mai sentito questo particolare termine prima d’ora. Ma ho sentito lo stesso epiteto di base da numerosi funzionari governativi stranieri, molti dei quali temono che il Cloud Act venga usato dagli Stati Uniti per raccogliere dati sugli stranieri.
Il mondo, comprensibilmente, ha in serbo alcune domande sul Cloud Act. Il problema è che la retorica non corrisponde alla realtà. A differenza di quanto si è raccontato, il Cloud Act è una legge di applicazione e portata limitata. Il Cloud Act specifica che i funzionari delle forze dell’ordine statunitensi possono, in relazione a un’indagine penale e secondo norme e procedure dettagliate e specifiche, richiedere contatti e-mail e altri dati in possesso delle società soggette alla giurisdizione statunitense. L’obbligo di produrre i dati richiesti si applica indipendentemente dal luogo in cui sono conservati gli 0 e gli 1 sottostanti.
Il Cloud Act non è uno strumento di raccolta di dati e informazioni. Non è uno strumento di spionaggio economico. Le forze dell’ordine possono richiedere l’accesso ai dati solo se stanno svolgendo un’indagine penale su cui gli Stati Uniti sono competenti a perseguire penalmente. Per poter accedere ai dati, le forze dell’ordine devono soddisfare determinati standard e seguire specifiche procedure, che si applicano a tutti i livelli – sia che gli Stati Uniti stiano cercando i dati di un cittadino statunitense, residente o straniero. Per il contenuto, le forze dell’ordine hanno bisogno di un mandato emesso da un giudice indipendente, sulla base di una constatazione di causa probabile, imponendo un limite relativamente alto per le forze dell’ordine. In realtà, si tratta di uno standard di protezione della privacy più robusto e più severo di quello applicato in quasi tutti gli altri paesi del mondo.
Inoltre, la portata è limitata in quanto le forze dell’ordine statunitensi non possono emettere istanze per e-mail, e altri contenuti di comunicazione, da parte di società straniere che operano interamente al di fuori degli Stati Uniti. Si tratterebbe di una rivendicazione di autorità extraterritoriale, e la legge statunitense non prevede alcun meccanismo per l’emissione di mandati extraterritoriali.
In contrasto con la bozza di direttiva Ue sulle prove elettroniche, che richiede a qualsiasi società che offra servizi ai residenti dell’Ue di configurare un rappresentante con sede nell’Ue, garantendo così la giurisdizione su società con sede altrimenti extraterritoriale non esiste un requisito equivalente nella legge statunitense.
(estratto da CorCom clicca qui per leggere l'articolo integrale)
Nessun commento:
Posta un commento