L’ormai celebre provvedimento del Garante della Privacy, con cui si è messo in discussione l’utilizzo di soluzioni come Google Analytics, sta facendo parlare ma c’è un dettaglio che pochi conoscono e riguarda la sezione 702 del FISA Amendments Act. Cerchiamo di scoprirne i dettagli.
Di cosa parliamo
Gli Stati Uniti nel 1978 hanno emanato il FISA (Foreign Intelligence Surveillance Act), un insieme di norme tese a regolamentare le intercettazioni (fisiche ed elettroniche). La norma, come è possibile immaginare, è stata modificata nel corso degli anni, in particolare dopo gli attentati dell’11 settembre 2001. All’interno del FISA c’è una sezione divenuta famosa nel tempo e richiamata più volte anche dal Garante della Privacy nel provvedimento del 9 giugno 2022 (9782890):
Si rammenta che la Corte di Giustizia dell’Unione Europea, con la pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II), nel dichiarare l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield), ha constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act – di seguito “FISA 702”) comporti deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica.
La sezione 702: che cosa dice e a chi si applica
Per iniziare a comprendere la sezione 702 è corretto fare affidamento su un documento ufficiale pubblicato dal Office of the Director of National Intelligence (di seguito ODNI per semplicità) e reperibile qui. Si tratta di una presentazione piuttosto promozionale ma anche esplicativa che, al suo interno, riporta quanto segue:
Section 702 is a key provision of the FISA Amendments Act of 2008 that permits the government to conduct targeted surveillance of foreign persons located outside the United States, with the compelled assistance of electronic communication service providers, to acquire foreign intelligence information. The government uses the information collected under Section 702 to protect the United States and its allies from hostile foreign adversaries, including terrorists, proliferators, and spies, and to inform cybersecurity efforts.
La posizione della sezione 702 è quindi di natura “difensiva” e ha lo scopo di proteggere gli Stati Uniti da eventuali nemici (terroristi, spie, etc…) ma per capire ulteriori dettagli in merito all’applicabilità è necessario fare affidamento su un’altra delle diapositive pubblicate nel documento.
La sezione 702 non si applica ai cittadini e/o ai residenti negli Stati Uniti, che sono comunque assoggettati ad altri meccanismi di sorveglianza. La sezione 702 è specificamente pensata per i soggetti che sono al di fuori dagli Stati Uniti come viene ampiamente espresso in un paragrafo del documento:
The IC only uses Section 702 to target foreign persons located outside the U.S. to acquire foreign intelligence information. […] The government cannot use Section 702 to target U.S. persons or persons located in the U.S.
Perché le misure di sicurezza tecniche non bastano
Dopo il provvedimento del Garante, in molti hanno commentato che i dati oggetto di acquisizione da parte di Google erano protetti da meccanismi di cifratura ignorando un dettaglio fondamentale: la capacità di decifrare queste informazioni era in capo alla stessa Google. In tal senso, leggendo il provvedimento del Garante si affronta un passaggio interessante:
Da ciò ne consegue che, fintanto che la chiave di cifratura rimanga nella disponibilità dell’importatore, le misure adottate non possono ritenersi adeguate.
La considerazione è di un’efficacia e di una chiarezza che non richiederebbe spiegazioni. Se la chiave usata per cifrare i dati è in capo all’importatore (Google nel caso del provvedimento), questi dati potranno essere oggetto di rivelazione per le autorità statunitensi anche senza il consenso dell’interessato. Questo indipendentemente dagli altri livelli di sicurezza adottati dall’importatore che, per quanto alti, vanificano i principi di tutela dei dati personali secondo l’ottica del GDPR.
In ordine ai meccanismi di cifratura dei dati sopra evidenziati, esse, infatti, non sono sufficienti ad evitare i rischi di un accesso, ai fini di sicurezza nazionale, ai dati trasferiti dall’Unione europea da parte delle Autorità pubbliche degli Stati Uniti, in quanto le tecniche di cifratura adottate prevedono che la disponibilità della chiave di cifratura sia in capo a Google LLC che la detiene, in qualità di importatore, in virtù della necessità di disporre dei dati in chiaro per effettuare elaborazioni e fornire servizi.
Vi è poi l’aspetto di inefficacia sulle misure di anonimizzazione adottate da Google in merito all’indirizzo IP degli utenti naviganti, è bene ricordare che l’indirizzo IP è considerato a tutti gli effetti un dato personale.
In merito, si rappresenta che Google, nell’ambito del servizio Google Analytics, ha messo a disposizione dei gestori dei siti web l’opzione denominata “IP-Anonymization” che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo (in base a tale operazione, ad esempio, gli indirizzi da 122.48.54.0 a 122.48.54.255 sarebbero sostituiti da 122.48.54.0)[…] il troncamento dell’ultimo ottetto non impedisce a Google LLC di re-identificare l’utente medesimo, tenuto conto delle informazioni complessivamente detenute dalla stessa relative agli utenti del web
Questo ragionamento effettuato dal Garante della Privacy è completamente corretto ed è molto raffinato: in sostanza Google è in possesso di così tanti dati che anche l’eliminazione dell’ultima parte dell’IP non sarebbe sufficiente a garantire l’anonimizzazione del dato in quanto potrebbe essere agevolmente ricostruito usando gli altri dati in suo possesso. È importante notare come questo ragionamento ponga il problema su una base sostanziale e non formale: al Garante non importa che esista una procedura di anonimizzazione, interessa che tale procedura sia effettivamente funzionante!
Conclusioni
A parer di chi scrive è necessario spostare l’attenzione dal piano squisitamente tecnico a quello culturale e politico: è infatti opportuno ricordare che l’incompatibilità tra Stati Uniti ed Europa nella gestione dei dati personali ha prodotto la caduta del Privacy Shield nel 2020. È interessante analizzare, in tal senso, le affermazioni rilasciate da Guido Scorza durante un’intervista reperibile qui:
La nostra principale speranza è che nei prossimi 90 giorni intervenga un accordo giuridicamente vincolante tra Europa e Stati Uniti. In caso contrario, si configura lo scenario peggiore: il moltiplicarsi di provvedimenti di blocco in relazione ai quali poco si potrà fare. Andranno adottati e saranno destinati ad estendersi a macchia d’olio anche fuori dal perimetro di Google Analytics.
Vi sono riflessioni da fare in merito alla speranza di cui parla Scorza: cosa significherebbe a livello politico per gli Stati Uniti andare in deroga alla sezione 702? La sensazione è che U.S.A. e Europa siano su piani davvero distanti nel trattamento dei dati: una qualsiasi forma di deroga alla sezione 702 potrebbe essere interpretata dagli stessi americani come un allentamento della sicurezza interna da parte delle autorità piuttosto che come un aumento del principio di democrazia. L’Europa potrebbe essere altresì intesa come un territorio in cui è più facile commettere e preparare illeciti perchè meno sorvegliato a dispetto di paesi che forniscono dati in modo più strutturato e massivo.
L’Europa, d’altro canto, difende un principio democratico forte che è stato rappresentato molto bene dall’immagine pubblicata nel portale del Garante e che viene sopra riportata e ancor meglio sono le parole dello stesso Garante Stanzione in occasione della relazione annuale 2021.
Un’eccessiva asimmetria nel livello di garanzie accordate dagli ordinamenti dei Paesi terzi nel trattamento dei dati personali determina, infatti, l’impossibilità di avvalersi di canali più agevoli per il trasferimento dei dati, con l’esigenza di bloccare i flussi informativi che non siano assistiti da misure di protezione adeguate.
Non è solo un problema di Google ma di tutte le aziende che, al di fuori del confine europeo, possono essere messe nella condizione di dover ottemperare a norme e trattamenti che l’Europa ha abbandonato da anni. Si pensi a Microsoft, Apple, Facebook, Twitter, Whatsapp, solo per citarne alcune e si pensi all’idea, alquanto pericolosa, di tagliare i rapporti con tutte queste realtà. La soluzione certamente non può passare attraverso l’esclusione, la frammentazione del mercato e la creazione di oligopoli: Guido Scorza ha ragione, la politica dovrà dare il meglio di sé per evitare di creare un mercato diviso, non inclusivo e dannoso per tutti gli attori coinvolti.
2 risposte
Mi permetto di far notare che l IP del terminale arriva comunque intero a google, dovendo caricare un javascript via https. Google si impegna a buttare via l ultimo byte prima di memorizzare. Occorre considerare che il cloud act prevede che chiunque fornisca servizi cloud in usa è soggetto a fornire dati tenuti anche in Europa. Tra i servizi considerati ci sono anche fornire l accesso web alla posta elettronica. Si veda il parere chiesto ad un professore dell università del Texas dai garanti tedeschi
Grazie Maurizio, considero le Sue considerazioni corrette ed in merito al Cloud Act, in particolare, ritengo la situazione abbastanza delicata. Come giustamente ha fatto notare il trasferimento è dovuto:
1) per gli operatori cloud sottostanti alla giurisdizione degli Stati Uniti
2) ma anche aziende europee con filiale o regime fiscale registrato presso gli USA (se no ricordo male).
Ricordo, inoltre, di aver letto l’intervista alla Dott.ssa Jennifer Daskal senza condividerne il punto di vista. Può interessare questo link al proposito:
https://www.corrierecomunicazioni.it/digital-economy/cloud/tutta-la-verita-sul-cloud-act-la-legge-che-solleva-timori-sulla-sovranita-dei-dati/
In merito invece al discorso sull’IP, ciò che Lei dice corrisponde al vero, la documentazione ufficiale di Google infatti dice che:
“Questa funzionalità imposta l’ultimo ottetto degli indirizzi IPv4 dell’utente e gli ultimi 80 bit degli indirizzi IPv6 su zero in memoria subito dopo l’invio a Universal Analytics. In questo caso l’indirizzo IP completo non viene mai scritto su disco.”
Maggiori informazioni possono essere trovate qui per gli interessati:
https://support.google.com/analytics/answer/2763052?hl=it
Nel frattempo grazie per il Suo contributo.