L’articolo «Cloud act anche per le aziende italiane» uscito su Il Sole 24 Ore dell’8 giugno ci offre lo spunto per approfondire alcuni aspetti di questo dibattuto strumento normativo.
Cosa è il CLOUD Act
Si tratta di una legge federale statunitense adottata il 23 marzo 2018 che ha introdotto alcune novità rispetto alla legislazione statunitense previgente con l’obiettivo di supportare le autorità nel combattere e prevenire le attività internazionali di natura criminale e terroristica.
La legge ha chiarito l’ambito di intervento delle autorità statunitensi in merito alle procedure di “accesso ai dati oltre frontiera” e ha disciplinato una migliore procedura per gli investigatori (statunitensi e non) per l’accesso tempestivo ai dati detenuti all’estero dai fornitori di servizi di comunicazione elettronica (o telematica) o di servizi informatici che siano soggetti alla giurisdizione degli Stati Uniti.
Quali obblighi prevede
Il CLOUD Act prevede un obbligo a carico dei fornitori di servizi di comunicazione elettronica (o telematica) o di servizi informatici che siano sottoposti alla giurisdizione degli Stati Uniti di fornire, in forza di un mandato dell’Autorità giudiziaria competente, i dati digitali in loro possesso, custodia o controllo, ritenuti utili al procedimento giudiziario relativo all’investigazione, seppur archiviati presso server situati al di fuori del territorio degli Stati Uniti.
Tale obbligo è mitigato da una serie di garanzie procedimentali e dalla possibilità di concludere accordi esecutivi con i governi stranieri per una nuova disciplina dello scambio di dati.
Come si applica
Il CLOUD Act trova applicazione solo con riferimento a situazioni specifiche e particolari. Infatti:
- si applica ai dati e alle informazioni trattati da fornitori di servizi di comunicazione elettronica (o telematica) o di servizi informatici o di calcolo a distanza soggetti alla giurisdizione degli Stati Uniti;a tal riguardo, riprendendo il tema dell’articolo de Il Sole 24 Ore, è bene notare che la giurisdizione degli Stati Uniti non è limitata alle grandi corporation statunitensi in quanto anche un gruppo non statunitense che abbia una branch negli Stati Uniti o sia operativo negli Stati Uniti o indirizzi il proprio business negli Stati Uniti può essere soggetto alla giurisdizione statunitense sulla base di un’analisi di fatto riguardante la rilevanza dei contatti del soggetto interessato con gli Stati Uniti;
- può essere utilizzato solo per accedere a dati rilevanti ai fini di una legittima investigazione su attività criminali gravi, quali terrorismo, crimini di violenza significativa, sfruttamento minorile, criminalità organizzata transnazionale, frodi finanziarie di importanza rilevante;
- riconosce il diritto di coloro che sono soggetti alla sua applicazione di opporsi alle richieste di disclosure dei dati che confliggano con altre leggi o interessi nazionali e prevede che i governi rispettino le legislazioni locali applicabili;
- prevede – come già faceva la legge previgente – che la richiesta di accesso sia sempre supportata da un mandato emesso da una autorità giudiziaria competente;
- introduce un meccanismo basato sulla possibilità di arrivare alla conclusione di accordi esecutivi bilaterali tra gli Stati Uniti e i singoli Paesi interessati per disciplinare lo scambio dei dati (accordi che, ad esempio, sono già stati conclusi con il Regno Unito e sono in corso di definizione con la Polonia);
- consente a coloro che sono soggetti alla sua applicazione di avviare un processo di annullamento e/o modifica del mandato emesso dall’autorità giudiziaria, sulla base di condizioni specifiche definite da disposizioni normative, tra le quali la circostanza che la divulgazione richiesta creerebbe un rischio sostanziale di violazione di leggi di un “governo straniero qualificato” con il quale gli Stati Uniti abbiano stipulato un accordo esecutivo ai sensi del CLOUD Act.
Quali sono gli effetti
L’applicazione e la portata del CLOUD Act sono particolarmente limitate, in quanto il potere è esercitabile solo in relazione a un’indagine penale e secondo norme e procedure dettagliate e specifiche e la richiesta di accesso ai dati digitali può essere destinata solo ai fornitori di servizi di comunicazione elettronica (o telematica) o di servizi informatici che siano soggetti alla giurisdizione degli Stati Uniti. Il CLOUD Act non estende la giurisdizione degli Stati Uniti e non assoggetta i clienti dei fornitori di servizi (che siano pubblici o privati) alla giurisdizione degli Stati Uniti.
In altri termini, il CLOUD Act non è uno strumento di raccolta indiscriminata di dati e informazioni, in quanto è possibile richiedere l’accesso ai dati solo nell’ipotesi di condotte criminali su cui gli Stati Uniti sono competenti, soddisfacendo determinati standard e seguendo specifiche procedure, nonché sulla base di un mandato emesso da un giudice indipendente, che abbia già concluso in modo indipendente che l’autorità richiedente ha ragionevoli motivi per richiedere le informazioni, che le informazioni richieste si riferiscono direttamente a un reato e che la richiesta è presentata in modo chiaro, accurato e proporzionale.
Inoltre, il CLOUD Act:
- prevede specifiche disposizioni concepite per tener conto degli interessi sovrani stranieri;
- codifica in larga misura lo stato attuale e adotta nuove disposizioni esplicitamente concepite per accogliere l’interesse straniero per i dati detenuti negli Stati Uniti: al riguardo, vale considerare che sono molti i Paesi che chiedono accesso a dati localizzati negli Stati Uniti indicando proprio il CLOUD Act come motivazione a supporto;
- è, per certi aspetti, meno invasivo delle disposizioni (che saranno) applicabili in UE: infatti, in contrasto con la bozza di direttiva UE sulle prove elettroniche, che richiede a qualsiasi società che offra servizi ai residenti dell’Unione Europea di configurare un rappresentante con sede nell’Unione Europea, garantendo così la giurisdizione su società con sede altrimenti extraterritoriale, il CLOUD Act non prevede un requisito equivalente;
- individua e definisce un nuovo modello di condivisione dei dati digitali snello e veloce pur mantenendo adeguate tutele a salvaguardia della privacy dei clienti e degli utenti degli operatori cui il CLOUD Act si applica;
- non impone obblighi tali da rendere il trattamento dei dati effettuato da coloro che vi sono soggetti incompatibile con il rispetto delle norme sulla privacy dettate dal GDPR.
Il CLOUD Act, aspetti giuridici e ambito applicativo
L’articolo «Cloud act anche per le aziende italiane» uscito su Il Sole 24 Ore dell’8 giugno ci offre lo spunto per approfondire alcuni aspetti di questo dibattuto strumento normativo.
Cosa è il CLOUD Act
Si tratta di una legge federale statunitense adottata il 23 marzo 2018 che ha introdotto alcune novità rispetto alla legislazione statunitense previgente con l’obiettivo di supportare le autorità nel combattere e prevenire le attività internazionali di natura criminale e terroristica.
La legge ha chiarito l’ambito di intervento delle autorità statunitensi in merito alle procedure di “accesso ai dati oltre frontiera” e ha disciplinato una migliore procedura per gli investigatori (statunitensi e non) per l’accesso tempestivo ai dati detenuti all’estero dai fornitori di servizi di comunicazione elettronica (o telematica) o di servizi informatici che siano soggetti alla giurisdizione degli Stati Uniti.
Quali obblighi prevede
Il CLOUD Act prevede un obbligo a carico dei fornitori di servizi di comunicazione elettronica (o telematica) o di servizi informatici che siano sottoposti alla giurisdizione degli Stati Uniti di fornire, in forza di un mandato dell’Autorità giudiziaria competente, i dati digitali in loro possesso, custodia o controllo, ritenuti utili al procedimento giudiziario relativo all’investigazione, seppur archiviati presso server situati al di fuori del territorio degli Stati Uniti.
Tale obbligo è mitigato da una serie di garanzie procedimentali e dalla possibilità di concludere accordi esecutivi con i governi stranieri per una nuova disciplina dello scambio di dati.
Come si applica
Il CLOUD Act trova applicazione solo con riferimento a situazioni specifiche e particolari. Infatti:
Quali sono gli effetti
L’applicazione e la portata del CLOUD Act sono particolarmente limitate, in quanto il potere è esercitabile solo in relazione a un’indagine penale e secondo norme e procedure dettagliate e specifiche e la richiesta di accesso ai dati digitali può essere destinata solo ai fornitori di servizi di comunicazione elettronica (o telematica) o di servizi informatici che siano soggetti alla giurisdizione degli Stati Uniti. Il CLOUD Act non estende la giurisdizione degli Stati Uniti e non assoggetta i clienti dei fornitori di servizi (che siano pubblici o privati) alla giurisdizione degli Stati Uniti.
In altri termini, il CLOUD Act non è uno strumento di raccolta indiscriminata di dati e informazioni, in quanto è possibile richiedere l’accesso ai dati solo nell’ipotesi di condotte criminali su cui gli Stati Uniti sono competenti, soddisfacendo determinati standard e seguendo specifiche procedure, nonché sulla base di un mandato emesso da un giudice indipendente, che abbia già concluso in modo indipendente che l’autorità richiedente ha ragionevoli motivi per richiedere le informazioni, che le informazioni richieste si riferiscono direttamente a un reato e che la richiesta è presentata in modo chiaro, accurato e proporzionale.
Inoltre, il CLOUD Act: