Go to content Go to navigation Go to search

Dove risiedono i dati? Geografia politica e giuridica · 2015-11-11 by mmzz

Un nuovo accordo che sostituisca Safe Harbor dopo la sentenza Schrems sembra essere in stallo sulla questione dell’accesso ai dati da parte dell’intelligence nazionale [1]. Nel frattempo alcune imprese US aggirano il problema aprendo nuovi datacenter in UE [2,3]. Per quanto ci capisco, l’esito dell’appello Microsoft [4,5] contro US Govt sulla accessibilità del governo US ai dati risiedenti in Irlanda presso Microsoft Europe sarà quantomai importante, visto che per per ora, le imprese US sono soggette a warrant federale anche per dati degli utenti conservati in territorio UE.

Sembra dunque che i giudici debbano tagliare dei nodi che la politica non riesce più a sbrogliare, incluso lo statuto di colossi commerciali sovranazionali. Ingenuamente, forse, ho la sensazione che le conseguenze possano essere diverse da quelle che nell’immediato ci si può aspettare. Il successo USA potrebbe portare ad una frammentazione dei soggetti autorizzati a operare nel mercato UE, favorendo attori UE. Al contrario, un successo Microsoft (sostenuto dall’UE) porterebbe ad un rafforzamento delle multinazionali USA libere di operare un UE mantenendo la base in US.

Se la sentenza sarà a favore del governo USA, l’accessibilità dei dati dipenderà dalla nazionalità della compagnia che li ospita, la quale dovrà una lealtà primaria al proprio governo, poi al proprio consiglio di amministrazione ed infine agli utenti. E gli utenti dovranno fare i conti con la nazionalità dei propri fornitori. Per operare in UE, Microsoft Europa dovrà sottoporsi a qualche operazione di ingegneria organizzativa per essere autenticamente europea, non solo nominalmente e fiscalmente. Il che non è un grosso vantaggio per il governo USA.

Se la sentenza sarà a favore di Microsoft, le multinazionali potranno godere di una sostanziale immunità in merito alla consegna dei dati ad autorità nazionali: potranno infatti sempre dire che i dati sono mantenuti presso altre sedi, a meno di essere costretti a mantenerli nelle aree giuridiche di pertinenza dei propri utenti. Potranno in sostanza scegliere se consegnare i dati o no, e a chi.

Le alternative a cui sono in grado di pensare sono o politiche (accordi bilaterali o internazionali sui dati (simili a quelli sull’estradizione) o tecniche. Data la attuale crisi della politica a favore delle varie tecnocrazie di economisti, militari e tecnologi, sarei sorpreso se si profilassero autentiche soluzioni politiche.
Cinque anni fa (Censura e futuro dell’infosfera e anche a e-Privacy nel 2011 ) mi lanciavo nella previsione che i dati personali sarebbero stati al sicuro nella rete solo se crittati, frammentati, ridondati e delocalizzati il più possibile. Credo che sia ancora così.
Per preservare la privacy, i dati devono risiedere sui server cloud in forma cifrata ed essere decrittati solo presso i client dell’utente, presso il quale gireranno le applicazioni e che potrà poi decidere a chi darli. Questo manda in fumo i modelli di business data-driven di quasi tutti i maggiori attori sul mercato, che a loro volta giustificano (non solo economicamente) l’esistenza stessa del Cloud e della attuale estrema centralizzazione dei dati.

Note ed estratti:

[1] www.nytimes.com/2015/11/07/technology/europe-wants-to-reach-data-transfer-pact-by-early-2016.html
Both sides are said to believe that an agreement can be finished by early next year, but negotiators are stuck in part on what kind of access national intelligence agencies will have to people’s online data. The information includes social media posts and online search histories, as well as more traditional information like financial and personal records.
European officials want the United States to provide greater assurances over how their citizens’ data may be made available to American intelligence agencies when it is transferred outside the region.
European policy makers are concerned that without further limits, any new data-transferring agreement would be challenged in European courts, according to two people with knowledge of the matter who spoke on the condition of anonymity.
By contrast, United States officials said that they believed they had provided sufficient guarantees, and that the recent ruling failed to consider improvements to American privacy safeguards over the last two years that restrict what information is accessible to the country’s intelligence agencies.

[2] www.pcworld.com/article/3002521/amazon-will-open-london-datacenter-by-early-2017.html
Amazon will open London datacenter by early 2017
AWS plans to offer its third location for Europeans worried about where their data is stored

[3] www.pcworld.com/article/3003424/what-to-do-for-privacy-after-safe-harbor-syncplicity-has-an-idea.html#tk.rss_all
EMC sold Syncplicity to a private equity firm earlier this year. The company offers subscribers a range of ways to store their data: They can keep it on their own premises, in a private cloud, in Syncplicity’s public cloud, or in some combination of those. They can access that data from desktops, laptops and mobile devices.
The new option coming in 2016 will let users select the storage region of their choice with one click and no additional steps, Syncplicity says. That could mean choosing clouds based in Europe as the sole repository for their files.
Also next year, the company will go one step further to help ensure data is protected under European privacy law. It will set up a Syncplicity Cloud Orchestration Layer in Europe so data stored on the continent isn’t even controlled in the U.S. Metadata used in managing the stored information, such as user names, email addresses and file names, will be stored and processed in Europe.
As an additional step while new rules are worked out, Syncplicity now includes so-called Model Clauses in its Cloud Services Agreements. Those clauses, crafted by the European Union, are designed to meet privacy requirements. Microsoft and other companies already use them.

[4] digitalconstitution.com/wp-content/uploads/2014/09/Microsoft-Opening-Brief-12082014.pdf
Amicus Brief, In the Matter of a Warrant to Search a Certain E-mail Account Controlled and Maintained by Microsoft Corporation

The power to embark on unilateral law enforcement incursions into a foreign
sovereign country—directly or indirectly—has profound foreign policy
consequences. Worse still, it threatens the privacy of U.S. citizens. The Golden
Rule applies as much to international relations as to other human relations. If the
Government prevails here, the United States will have no ground to complain when
foreign agents—be they friend or foe—raid Microsoft offices in their jurisdictions
and order them to download U.S. citizens’ private emails from computers located
in this country

[5] klarquist.com/wp-content/uploads/2015/01/80_14-2985-cv-BRIEF-FOR-AMICI-CURIAE-COMPUTER-AND-DATA-SCIENCE-EXPERTS.pdf
Amici respectfully submit that the resolution of this appeal should take into
account the fact that web-based email and other data stored “in the cloud” has at
least one identifiable, physical location, and that the content of customer emails is
securely stored as the confidential property of the account holder.