Quando la privacy diventa un business: Microsoft investe sulla Germania

Indice

Questa mattina una testata editoriale online ha pubblicato una notizia che, per gli addetti ai lavori, è nota ma fa comunque un certo effetto. L’articolo inizia con:

Microsoft sta aprendo nuovi data center in Germania per consentire ai clienti europei di nascondere le loro informazioni digitali dalla sorveglianza del governo degli Stati Uniti. I nuovi data center apriranno i battenti alla fine del 2016 e saranno gestiti da una filiale di Deutsche Telekom. Tuttavia, il Financial Times che ha riportato la notizia, evidenzia che i clienti dovranno pagare un extra per memorizzare i loro dati all’interno di queste strutture.

La sicurezza diviene, più che mai, un business per i lungimiranti, avvalendosi di paesi stranieri in grado di non fare troppe domande, rendendo possibili nuove forme di privacy.

Come è scritto in testa all’articolo, non è una notizia nuova che la Germania abbia una politica di privacy stringente. In un certo senso ricorda molto la Svizzera per la privacy bancaria. Un esempio palese è il servizio di mail cifrate Tutanota, anch’esso con sede in Germania. Si tratta di un paese che ha una legislazione molto rigida in termini di privacy e la cosa è così tanto acclarata che sul sito di Tutanota si legge:

“The Tutanota servers are located in secure data centers in Germany. All saved data are subject to the strict German privacy protection laws. Independent of that all data is end-to-end encrypted and cannot be read by the Tutao GmbH as the provider or by any third party.

La sicurezza in questione però non è solo di facciata. La Germania ha reso possibile ciò che in molti paesi è ancora un tabù: ufficializzare la sicurezza dei dati proteggendoli anche dalle istituzioni stesse e tale sicurezza viene conferita da specifiche e serie società di accreditamento.

Tutanota was subject to an extensive penetration test by the SySS GmbH in November 2013. During the tests the experts were not able to access the system or to retrieve any confidential data.

Quando si parla di istituzioni però, il personale tecnico è quello legale si divide. C’è chi sostiene che le istituzioni debbano sapere sempre e c’è chi sostiene che un dato debba essere privato e se distrutto debba rimanere tale per chiunque. Due diritti sacri per entrambe le parti che, in questo caso, si spinge un po’ oltre. Leggete qui.

“Yes. Upon registration you do not need to provide any personal data. We will also make it possible to pay our premium features with Bitcoin. We do not log IP addresses. The IP addresses of sent and received emails are also stripped so that your location remains unknown.”

L’ultima frase, particolarmente delicata, rappresenta quasi un affronto nell’operatività normale di un servizio di posta elettronica. Ma come possono le istituzioni tutelarsi? Lo devono fare in tempo, questa è la risposta. Mentre oggi in Italia si può andare ad indagare sul traffico ex-post (cosa sensata ma anche strumentalizzabile, secondo alcuni), in Germania gli organi di indagini devono muoversi istantaneamente. Se le indagini partono e il magistrato autorizza l’intercettazione, allora le comunicazioni verranno tracciate, altrimenti i dati non saranno resi disponibili.

Questo non solo obbliga gli organi inquirenti ad essere rapidi ed efficienti ma permette all’utente di avere una reale privacy. È però necessario precisare che in uno Stato in cui le leggi vengono applicate con efficacia e correttezza, l’utente non dovrebbe temere un’operazione illegale da parte degli inquirenti. Mentre a tali organi può essere effettivamente utile accedere ai dati anche ex-post.

Come detto sopra, per le aziende si tratta di un business prezioso che si traduce in “vuoi la reale sicurezza che i tuoi dati rimangano privati? Paga un piccolo sovrapprezzo”. Ma perché la Germania permette questo? Nel maggio 2003 il Garante per la Privacy italiano ha commentato l’allora recente modifica della legge sulla privacy tedesca. Per comodità vi allego quanto segue.

Nel marzo 2001 la Germania ha approvato una nuova legge sulla protezione dei dati personali , che ha sostituito quella precedentemente in vigore ed ha recepito la direttiva europea 95/46/CE.

Il bilancio delineato dal Garante tedesco, Joachim Jacob, presenta luci e ombre: da un lato è aumentata la sensibilità per le tematiche di protezione dati a livello politico, amministrativo e sociale; dall’altro, le esigenze di privacy non ricevono ancora tutta l’attenzione che meritano, e sussistono molti pregiudizi duri a morire (come l’inconciliabilità di sicurezza pubblica e privacy, o gli ostacoli che la privacy opporrebbe al libero dispiegamento dell’attività economica).

A questo proposito, le problematiche più urgenti sono rappresentate dall’assenza di una legge federale sulla tutela della privacy nel rapporto di lavoro, di norme sulla registrazione e la diffusione delle immagini, dall’aumento del numero di intercettazioni telefoniche in assenza di motivazioni chiare e/o sufficienti.

Si evince il precario rapporto tra ciò che deve essere considerato inviolabile e ciò che, per ragioni di stato, deve esser violato con tempi e modalità anche distanti dall’hic et nunc. Questo percorso è in atto da oltre dieci anni, il Corriere della Sera in un articolo (clicca per aprire l’articolo)del 24 agosto 2010 scrive:

PRIVACY ONLINE – Sotto l’ala protettrice della nuova privacy tedesca ci saranno i profili e i contenuti sui social network (Facebook, MySpace, i micromessaggi su Twitter, le foto su Flickr), i cui contenuti saranno protetti anche se non nascosti, e nessun datore di lavoro potrà impugnare le informazioni lì inserite, anche e soprattutto se si tratta di commenti di terzi (il commento a un’immagine, un post denigratorio su un blog eccetera), di cui è impossibile verificare la veridicità. Questo discorso non vale per i circuiti professionali, come la rete di LinkedIn dove si presuppone che i contenuti personali inseriti riguardino esclusivamente la sfera pubblica e professionale. Il datore di lavoro potrà comunque fare ricerche su Google, digitando il nome dell’interessato, ma anche in questo caso i risultati non controllabili andranno cestinati. Questa parte del testo di legge va proprio nella direzione che la Germania da tempo sembra seguire, anche attraverso azioni legali come quella nei confronti di Apple, per le applicazioni iPhone e iPad che localizzano i movimenti degli utenti e quella verso Facebook per le sue impostazioni sulla privacy. Anche se, come blogger e testate specializzate denunciano, non impedirà certo a un imprenditore o a un dirigente di farsi un’idea sul dipendente o potenziale nuovo assunto navigando per la Rete.

TELECAMERE E TELEFONI – Negli spogliatoi, nei gabinetti, nelle stanze di svago e riposo delle aziende saranno vietate le telecamere. Laddove per garantire la sicurezza e l’incolumità di chi le frequenta sia comunque necessario sorvegliare attraverso le videocamere (si pensi all’ingresso di un edificio), il dipendente dovrà esserne prima informato. Questa parte del testo di legge risponde ad alcuni scandali nati in aziende nazionali come il gigante della distribuzione a basso costo Lidl accusato di spiare i suoi lavoratori, ma casi simili si sono registrati anche presso Deutsche Bahn, le ferrovie tedesche, e l’operatore telefonico Deutsche Telekom. Cambiano anche le regole per il monitoraggio di telefonate, anche dagli apparecchi aziendali, e messaggi di posta elettronica, tutto verso la tutela e la privacy del singolo, che dovrà essere avvertito qualora l’azienda per cui lavora avesse necessità di registrare le sue comunicazioni.