Perchè il CLOUD Act è importante e deve essere rispettato da tutti

Un evento importante si è svolto di recente a Londra. Il Procuratore generale aggiunto degli Stati Uniti, Richard W Downing, ha parlato dei miti e delle realtà della Legge sull’uso del Clarifying Lawful Overseas Use of Data Act (CLOUD Act) in un discorso all’Academy of European Law Conference.

Come si legge sul sito Lawsociety.ie, A seguito del discorso, il Dipartimento di Giustizia degli Stati Uniti ha pubblicato un white paper e domande che chiariscono lo scopo e la portata della legge CLOUD e affrontano molti fraintendimenti di questa legge.

In poche parole, la legge CLOUD fornisce l’aggiornamento di una legge vecchia di decenni che è strettamente limitata ad aiutare le forze dell’ordine a combattere e scoraggiare l’attività criminale e terroristica internazionale. Come alcuni hanno suggerito, non offre alle agenzie antiterrorismo statunitensi l’accesso gratuito ai dati archiviati nel cloud.

Consideriamo il discorso e l’orientamento del DOJ come un passo nella giusta direzione, ma i governi di tutto il mondo devono fare di più per educare i clienti del cloud computing su questioni importanti relative all’accesso ai dati.

In questo articolo, desidero evidenziare alcuni dei principali fraintendimenti relativi all’atto al fine di aiutare i clienti a capire che questa legge non dovrebbe cambiare il modo in cui utilizzano i servizi cloud.

Nel 1986, il Congresso ha promulgato lo Stored Communications Act , che si occupava dell’accesso delle forze dell’ordine alle comunicazioni elettroniche. Sebbene la SCA fosse considerata lungimirante in quel momento, i tribunali hanno faticato nel corso degli anni per applicarla.

Un’area di dibattito riguardava il fatto che le forze dell’ordine statunitensi potessero ottenere dati situati al di fuori degli Stati Uniti. La legge CLOUD ha risolto questo problema.

Ha chiarito che i fornitori soggetti alla legge degli Stati Uniti, come un’entità che fa affari negli Stati Uniti (incluse entità con sede negli Stati Uniti con sussidiarie statunitensi), possono essere contattati attraverso un mandato e un’ordinanza sotto la SCA.

Per essere chiari, nonostante i suggerimenti contrari, la legge CLOUD non introduce un nuovo concetto. I governi di tutto il mondo hanno da tempo la possibilità di ottenere prove dei crimini situati al di fuori della loro giurisdizione.

Come ha osservato il DOJ nel suo white paper, la maggior parte dei Paesi richiede la divulgazione dei dati ovunque siano archiviati, in linea con la Convenzione di Budapest, che è stato il primo trattato internazionale volto a migliorare la cooperazione e le indagini sui crimini informatici e informatici.

In effetti, i tribunali francesi hanno a lungo permesso alla polizia di ottenere dati al di fuori della Francia, purché accessibile da un computer in Francia.

Più recentemente, nel febbraio 2019, la Gran Bretagna ha approvato la legge sui reati (Overseas Production Orders), che consente alle forze dell’ordine britanniche di ottenere dati elettronici archiviati da una società o da una persona con sede al di fuori della Gran Bretagna.

Questa pratica è coerente con un principio secolare di cooperazione internazionale. I Paesi utilizzano una serie di strumenti, che vanno dalle leggi nazionali ai trattati internazionali, per cercare potenziali prove situate oltre i loro confini e stabilire una tradizione di cooperazione transfrontaliera.

Questo serve da fondamento per ciò che fanno le organizzazioni di fiducia e rispettate come Europol, e la legge CLOUD riflette semplicemente ciò che queste altre forze dell’ordine e altri paesi hanno fatto per molti anni.

Uno dei più comuni equivoci sulla legge CLOUD è che è applicabile solo alle società statunitensi. Questo non è vero.

L’atto si applica a tutti i fornitori di servizi di comunicazione elettronica o di servizi di calcolo remoto soggetti alla giurisdizione degli Stati Uniti, inclusi provider di posta elettronica, società di telecomunicazioni, siti di social media e fornitori di servizi cloud, indipendentemente dal fatto che siano stabiliti negli Stati Uniti o in un altro paese.

Ciò significa che qualsiasi società straniera con un ufficio o una filiale negli Stati Uniti ne è soggetta.

Come ha detto Downing nel suo discorso, i tribunali statunitensi hanno stabilito che anche i siti Web non statunitensi che sono stati utilizzati da clienti con sede negli Stati Uniti sono stati soggetti alla giurisdizione statunitense e, pertanto, potrebbero essere soggetti alla legge CLOUD.

Un altro fraintendimento comune sull’atto è che in qualche modo fornisce al governo degli Stati Uniti un accesso illimitato ai dati detenuti dai fornitori di servizi cloud.

Questo è semplicemente falso.

L’atto non concede alle forze dell’ordine l’accesso libero ai dati archiviati nel cloud. Le forze dell’ordine possono obbligare i fornitori di servizi a fornire dati solo rispettando i rigorosi standard legali per un mandato emesso da un tribunale statunitense.

La legge degli Stati Uniti stabilisce una barra per ottenere un mandato, richiedendo che un giudice indipendente concluda che l’applicazione della legge ha ragionevoli motivi per richiedere l’informazione, che le informazioni richieste si riferiscono direttamente a un crimine e che la richiesta è formulata in modo chiaro, accurato e proporzionato . Questo è l’opposto dell’accesso senza restrizioni.

Quando Amazon Web Services (AWS) riceve una richiesta di dati che si trovano al di fuori degli Stati Uniti, abbiamo strumenti per metterlo alla prova e una lunga esperienza in tal senso. In realtà, le nostre sfide iniziano in genere molto prima di andare in tribunale. Ogni richiesta delle forze dell’ordine viene esaminata da un team di professionisti legali.

Come parte di tale revisione, valutiamo se la richiesta violerebbe le leggi degli Stati Uniti o del paese straniero in cui si trovano i dati, o violerebbe i diritti del cliente ai sensi delle leggi pertinenti.

Applichiamo rigorosamente gli standard legali applicabili per limitare – o rifiutare a titolo definitivo – qualsiasi richiesta di applicazione della legge per i dati provenienti da qualsiasi paese, compresi gli Stati Uniti. Rifiutiamo attivamente gli organismi preposti all’applicazione della legge per affrontare le preoccupazioni, che spesso comportano il ritiro della richiesta.

Nel caso in cui non siamo in grado di risolvere una controversia, non esitiamo ad andare in tribunale. Amazon ha una storia di richieste governative formalmente sfidanti per informazioni sui clienti che riteniamo troppo generiche o altrimenti inappropriate.

Continueremo a resistere alle richieste – comprese quelle che sono in conflitto con la legge locale, come il Gdpr nell’Unione europea – per fare tutto il possibile per proteggere i dati dei clienti.

Continueremo inoltre a informare i clienti prima di divulgare i contenuti e forniamo servizi avanzati di crittografia e gestione delle chiavi che i clienti possono utilizzare per proteggere ulteriormente i loro contenuti.

Disponiamo di servizi di crittografia leader del settore che offrono ai nostri clienti una gamma di opzioni per crittografare i dati in transito e a riposo e per gestire le chiavi di crittografia / decrittografia, poiché il contenuto crittografato è reso inutile senza le chiavi di decrittografia applicabili.

AWS è attenta alla privacy e alla sicurezza dei suoi clienti. Ci impegniamo a fornire a tutti i clienti, comprese le agenzie governative che si affidano a noi con i loro contenuti più sensibili, il più ampio set di servizi di sicurezza e funzionalità per garantire il controllo completo dei loro dati.

La legge CLOUD non ha modificato o indebolito questo impegno. Al contrario, l’atto riconosce il diritto dei fornitori di cloud di contestare le richieste che sono in conflitto con le leggi di un altro paese o gli interessi nazionali e richiede che i governi rispettino le normative locali.

Inoltre, i governi stranieri preoccupati per il rischio di divulgazione di dati governativi potrebbero avere diritto all’immunità sovrana. Gli Stati Uniti riconoscono che, in base al principio dell’immunità sovrana, i governi stranieri dispongono di mezzi legali efficaci secondo la legge statunitense per impedire la divulgazione dei loro dati.

In AWS, aiutiamo costantemente i nostri clienti e partner a comprendere la loro posizione in relazione ai nuovi standard e leggi di conformità. È l’unico modo in cui crediamo che le organizzazioni possano garantire di essere in grado di proteggere i propri utenti finali.

La realtà è che il cloud computing sta avendo un effetto positivo sulle vite di tutto il mondo in tutti i modi.

Con le tecnologie AWS, i nostri clienti stanno creando tecnologie lungimiranti che modellano i modi in cui viviamo e apprendiamo, attraverso la condivisione di foto e video streaming, un maggiore accesso ai servizi finanziari e all’e-commerce / commercio, elaborando dati geospaziali per nuove scoperte, creando o promuovere maggiori opportunità per l’istruzione e lo sviluppo delle competenze, o aiutare le industrie ad evolversi con servizi di intelligenza artificiale e apprendimento automatico accessibili.

I nostri clienti sfruttano anche il cloud per il bene: lavorando per prevenire la tratta di esseri umani, prevenire la criminalità violenta, migliorare i servizi per i cittadini nelle città e fare scoperte mediche. Ciò che sarebbe incredibilmente deludente sarebbe che tutto questo venisse rallentato a causa di fondamentali equivoci sulla legge CLOUD.