Dati Collegamenti
16 Aprile Apr 2018 1718 16 aprile 2018

Perché i dati delle istituzioni Ue in mano agli Usa sono a rischio

Dal 2016 Bruxelles ha accreditato Accenture e Microsoft alla fornitura dei servizi Cloud di più di 56 agenzie. Dalla Difesa alla cybesecurity. Ma intanto gli Stati Uniti hanno approvato nuove leggi sulla sorveglianza. L'inchiesta.

  • ...

Nel comunicato che annuncia i vincitori dell'appalto, il problema è riassunto in poche righe: «La gara impone che tutti i dati e le infrastrutture siano dispiegati solo sul territorio europeo, per ragioni essenziali di sicurezza e protezione dei dati e che siano in linea con le richieste Ue sulla gestione dei dati». Chi lo ha redatto sperava forse che a Washington non succedesse quello che poi è successo.

LE CONTRADDIZIONI UE. Nonostante con il nuovo regolamento generale sulla protezione dei dati (Gdpr) destinato a entrare in vigore il 25 maggio l’Ue sia pronta a compiere il più grande passo avanti a livello globale nel nome della privacy, nella pratica le contraddizioni europee di fronte agli abusi delle aziende e delle autorità statunitensi sono numerose. E rischiano di coinvolgere anche il cuore delle istituzioni: i dati delle agenzie del governo dell’Unione, come risulta a Lettera43, sono infatti in mano a corporation americane che rispondono a leggi Usa spesso imposte da Washington in maniera unilaterale.

MANI USA NELLA GESTIONE DEL CLOUD. Dal 2016 almeno tre grandi aziende statunitensi sono state accreditate per la gestione del Cloud di più di 50 agenzie e istituzioni nel cuore dell’Unione europea: dal Consiglio Ue all'agenzia Eurojust, dall'Enisa che si occupa della sicurezza informatica all'agenzia europea di Difesa.

Zuckerberg prima dell'udienza al Congresso.

La direzione generale informatica della Commissione europea ha pubblicato la prima grande gara di appalto per la gestione dei servizi Cloud a dicembre 2015. Un appalto da oltre 30 milioni di euro per la fornitura di infrastrutture di calcolo e di memoria collegate con datacenter Ue o attraverso piattaforme pubbliche sulla Rete e per la fornitura di Cloud privati comprensivi di sistemi operativi e database su Cloud. In tutto 12 società sono riuscite ad accreditarsi e quindi a passare la scrematura che dava il diritto di essere scelte dalle singole agenzie. Per il Cloud "privato" la stessa Commissione ha precisato che alla gara hanno risposto 4 società europee e 3 società statunitensi. Ma ha aggiunto anche che tutte le tecnologie fornite provengono da società statunitensi e che la vincitrice risultava essere il ramo belga di Ibm.

GLI APPALTI DI ACCENTURE. Tra le aziende che si sono aggiudicate il secondo lotto figura il consorzio formato da Accenture, la più grande società di consulenza del mondo, e Comparex Software Belgium, cioè uno dei maggiori distributori di prodotti Microsoft in Europa. L'americana Accenture, che fino al 2009 aveva il suo quartiere generale alle Bermuda e successivamente lo ha trasferito in Irlanda, è già assegnataria di diversi appalti strategici per l'Ue. Nel 2012 per esempio aveva vinto assieme alla Morpho del gruppo francese Safran l'appalto per la gestione del sistema informatico dei visti europei, lo strumento che rende possibile lo scambio di informazioni transfrontaliero tra i diversi Stati sul passaggio ai confini.

IL SUBAPPALTO A MICROSOFT. Anche se dai documenti ufficiali Ue non risulta, questa volta Accenture ha stipulato un subappalto con Microsoft, come spiega esplicitamente la stessa azienda nel suo comunicato stampa del 24 febbraio 2016 in cui dichiara che la «direzione generale per l'informatica della Commissione europea ha selezionato un consorzio di Accenture, Comparex e Microsoft per fornire servizi di Cloud pubblico a istituzioni nell'Unione europea». Accenture e il subappaltatore Microsoft si sono accreditate anche per il lotto tre. E per lo stesso lotto sono state selezionate anche Telecom Italia Sparkle Spa e Telecom Italia digital solutions, società italiane del gruppo Tim che però, secondo quanto risulta dai loro stessi comunicati, per il Cloud utilizzano la tecnologia di Amazon web services (Aws).

Dal punto di vista dei dati gestiti, il piatto non poteva essere più ricco. Il bando riguardava infatti i servizi di gestione dei dati dei due principali organi legislatori dell’Ue: il Consiglio dell’Unione europea, cioè il consesso dei ministri degli Stati membri, e il parlamento europeo. Ma anche il Cloud della Corte di giustizia di Lussemburgo, il massimo tribunale dell’Ue, e della Corte dei conti, cioè l’ente che ha il potere di controllo ultimo sui conti dell’intera amministrazione europea. Quello dell’autorità bancaria europea e dell’authority per i mercati finanziari, dell’agenzia per la Sicurezza aerea e dell’agenzia ferroviaria. E ancora la gestione dei dati di Frontex, l’agenzia per la gestione delle frontiere, e quelli dell’Agenzia per la Difesa, dell’agenzia per la gestione dei servizi di information technology su larga scala in materia di giustizia, cioè l’ente che permette lo scambio di informazione sui visti e la libera circolazione dei cittadini europei e quelli dell’Enisa, l’agenzia per la sicurezza informatica (cybersecurity) incaricata delle esercitazioni coordinate tra gli Stati membri contro i cyber attacchi.

DALL'AGENZIA DEL FARMACO ALL'ENERGIA. E ancora nella lista figuravano anche il centro europeo per la prevenzione e il controllo delle malattie e l’agenzia per il farmaco, quell’Ema ormai tristemente celebre in Italia. Ma pure il cloud di vere e proprie imprese europee in prima linea nell’innovazione, come Ecsel, la società dell’Ue che si occupa di tutti i progetti di ricerca sui sistemi elettronici o Iter, l’azienda per lo sviluppo dell’energia da fusione nucleare. L'elenco continua con l’agenzia Ue per la cooperazione giudiziaria e l’ufficio dei brevetti, il collegio di polizia europea e pure il servizio per l’azione esterna, cioè il corpo diplomatico made in Ue, solo per citare alcuni, significativi, esempi.

A ottobre 2015, appena due mesi prima dell’indizione della mega gara per la gestione delle nuvole di calcolo e di dati di decine di enti strategici dell'Ue, 2015, la Corte di giustizia dell'Ue aveva annullato il Safe Harbour cioè l'accordo con il dipartimento del Commercio Usa con cui l'Ue permetteva a migliaia di società americane di esportare e gestire i dati dei cittadini europei senza che questi ultimi avessero la garanzia di poter tutelare i loro diritti. Nel luglio 2016 Ue e Usa avevano adottato una nuova intesa chiamata pomposamente Privacy shield, scudo per la privacy, e le aziende Usa tornavano ad autocertificare (qui un elenco delle poche informazioni che sono obbligate a fornire) che avrebbero rispettato i principi dell'intesa.

LE PREOCCUPAZIONI SUL PRIVACY SHIELD. Eppure a dicembre 2017 il rapporto stilato dal gruppo di lavoro formato dai rappresentanti delle authority per la protezione dei dati dei diversi Stati Ue (il cosiddetto Gruppo di lavoro sull'articolo 29) aveva elencato diverse «preoccupazioni significative» a proposito del Privacy shield. Sulla carta gli Stati Uniti si erano a impegnati a escludere i cittadini Ue dai programmi di sorveglianza di massa, a fornire un difensore civico a tutela degli utenti europei e a nominare dei garanti. Ma i programmi di sorveglianza sono stati rinnovati, il difensore civico non c'è ancora, il consiglio di sorveglianza che dovrebbe garantire i diritti sulla privacy è incompleto. Il gruppo aveva chiesto a Washington di ricominciare le discussioni e di sviluppare subito un piano di azione e minacciava in caso contrario di ricorrere direttamente alla Corte di giustizia Ue. Soprattutto chiedeva agli Usa di mettersi in regola entro l'entrata in vigore del nuovo regolamento Ue sulla privacy che dal 25 maggio prevede la giurisdizione europea sui dati europei.

La commissaria alla giustizia Vera Jurova con il commissario agli Affari interni Dimitris Avramopolous.

Ma a Washington dopo le riforme seguite alle rivelazioni di Edward Snowden, sembra essersi aperta una nuova stagione della sorveglianza. A gennaio, infatti, il Congresso Usa ha deciso di rinnovare fino al 2023 il Foreign Intelligence Surveillance Act (Fisa) che fa rientrare dalla finestra ciò che era stato fatto uscire dalla porta nel 2015: le agenzie di intelligence del governo americano come Nsa e Fbi potranno spiare i dati di società come Google o Facebook senza un mandato. La tutela è riservata solo ai cittadini statunitensi nei casi di crimini che non hanno a che fare con sicurezza nazionale e Stati esteri. Il 22 marzo, poi, è stata approvata un’altra legge, proprio sulle indagini dei tribunali Usa, che rischia di entrare in conflitto con il nuovo regolamento Ue per la protezione dei dati.

LE LACUNE DEL CLOUD ACT. Aspramente criticata da tutte le organizzazioni non governative il Cloud act, così si chiama la nuova normativa, è nato per risolvere un conflitto che ci riguarda da vicino: il rifiuto di Microsoft di fornire al dipartimento di Giustizia americano alcuni dati stoccati nei suoi database irlandesi. Un caso, secondo la stampa Usa, su cui si giocava l’intero business americano dei dati stranieri. La legge votata dal Congresso prevede che le autorità americane abbiano l'accesso ai dati anche all'estero, ma offre alle aziende la chance di chiedere che non vengano resi disponibili nel caso in cui si tratti di informazioni riguardanti un cittadino straniero di un Paese che ha stipulato con gli Usa un accordo bilaterale per la reciprocità dell’accesso ai dati.

I RISCHI PER L'EUROPA. Di fronte a un tale scenario di leggi contrastanti e di eccezioni giudiziarie, la grande svolta del regolamento per la protezione dei dati sembra appannarsi. E l'idea di affidare informazioni militari e scientifiche, giudiziarie e politiche a società soggette a non si sa ancora quale autorità, è poco rassicurante. Così la pensa per esempio Joe McNamee, direttore esecutivo di Edri, la rete europea delle organizzazioni non governative e delle associazioni che si battono per i diritti digitali: «Fornire dati a ogni entità la cui infrastruttura ha rischi di sicurezza inaccettabili e obblighi di legge stranieri a fornire accesso ai dati senza l'autorizzazione Ue è sempre un rischio».

Il Congresso Usa.

La commissaria Ue alla giustizia Vera Jurova respinge tutti i dubbi sollevati. E su tutti i fronti: «Il segretario al Commercio Wilbur Ross mi ha dato forti assicurazioni sul fatto che l’amministrazione americana capisce l’importanza della questione privacy. Sul Privacy Shield condividiamo la stessa visione: il lavoro non è finito. E abbiamo chiarito a Washington che abbiamo bisogno di un approccio più proattivo nel controllo delle aziende», ha dichiarato a L43 a proposito di tutti i problemi aperti sul tavolo dei negoziati per i quali è dovuta ritornare a inizio marzo negli Usa.

NON È UNA QUESTIONE DI NAZIONALITÀ. Jurova ha spiegato di aver ricevuto «forti rassicurazioni» anche dalla commissione per il Commercio che le aveva annunciato le indagini sul caso Cambridge Analytica, avvenuto, ha voluto sottolineare, prima dell’ultima intesa raggiunta con gli States. Il Fisa poi «poteva essere molto peggio sul piano della privacy, è stato modificato ed è diventato accettabile». E quindi, alla domanda su eventuali preoccupazioni sulla gestione dei dati Ue da parte delle imprese Usa ha replicato: «Sul cloud il nostro approccio non è se la nazionalità di un’azienda è americana o europea, ma se rispetta le regole».

In sostanza Jurova sembra fare affidamento sul rispetto del nuovo regolamento Ue sulla privacy che prevede la gestione europea dei dati europei. Fonti dell’esecutivo Ue sottolineano come in assenza di un accordo sul cloud Act, le autorità Usa non dovrebbero avere accesso ai dati. Ma è tutto da vedere visto il conflitto con Microsoft. Le stesse fonti rivelano l'intesa si sta cercando. Già quest’estate Jurova si era recata a Washington per discuterne. E visto che attualmente l’Unione non ha nemmeno regole per l’accesso reciproco ai dati tra i suoi stessi Stati membri, una iniziativa legislativa era necessaria.

SI CERCA IL RICONOSCIMENTO RECIPROCO. La prima proposta attesa inizialmente per gennaio dovrebbe essere presentata la prossima settimana. E la commissione, spiega una fonte, cercherà di trasformarla nell'occasione per proporre agli Usa un riconoscimento reciproco: tenterà di adeguarsi alla cornice posta da Washington. Considerare una salvaguardia il fatto che i dati restino in Ue «appare poco sensato alla luce delle norme permissive che la commissione sta considerando per la condivisione transfrontaliera di dati che peraltro eludono trattati di assistenza giudiziaria reciproca di vecchia data e affidabili», commenta Mc Namee.

L'APPELLO DI BOWDEN. Da Echelon a Prism, dal Patriot act al Safe Harbour, i precedenti – una lunga lista di sottovalutazioni e silenzi complici - non depongono certo a favore dei leader europei. In un paper redatto per il parlamento europeo nel 2013 l'attivista per i diritti digitali Caspar Bowden, ex responsabile della privacy di Microsoft per 40 Paesi dimessosi dopo aver criticato l'approvazione del primo Foreign intelligence surveillance Act, aveva già avvertito gli eurodeputati: «L'Ue deve esaminare con grande cura la precisa tipologia degli strumenti di trattato proposti in ogni futuro accordo con gli Usa. Servono meccanismi efficaci per verificare che non si abusi dell'accesso ai dati per inchieste giustificate dalla legge». E aveva aggiunto: «La sorveglianza di massa del cloud causa la perdita della sovranità sui dati, quindi limitare la condivisione all'Ue è preferibile in attesa di soluzioni giuridiche. Sono necessarie riforme di base del nuovo regolamento, altrimenti nella pratica [...] il business del cloud andrà al miglior offerente». A rileggerlo ora viene da pensare che quel «non abbiamo fatto abbastanza» pronunicato da Mark Zuckerberg di fronte al Congresso possa essere ripetuto presto anche a Bruxelles.

© RIPRODUZIONE RISERVATA

Correlati

Potresti esserti perso