Google e il libero accesso alle email degli utenti

15/10/2015
di Leonardo

Norme superate dalla tecnologia

Accesso ai dati degli utentiAnche negli Stati Uniti la normativa non riesce a stare in linea con l’evoluzione tecnologica. Una norma vetusta, infatti, rischia di rallentare la diffusione della tecnologia cloud (e non solo) poiché rende i dati degli utenti accessibili dalle forze dell’Ordine e dalle agenzie Governative senza un regolare mandato di perquisizione. Tale norma sta creando notevoli disagi ai providers di servizi online poiché non gli permettono di garantire ai propri utenti la riservatezza dei propri contenuti se memorizzati all’interno dei loro server.

Nell’era del Cloud Computing, dove ogni dato degli utenti rimane archiviato all’interno dei provider di servizi online anche per anni, risulta essere ancora vigente negli Stati Uniti una normativa, l’ECPA (Electronic Communication Privacy Act) scritta nel lontano 1986 quando non esisteva ancora l’internet che conosciamo oggi e nessuno dei 340.000 cellulari americani (oggi sono centinaia di milioni) era in grado di inviare email o messaggi di testo. In tale contesto (il 1986) la memorizzazione dei dati aveva costi proibitivi e conseguentemente gli utenti salvavano qualsiasi informazione trasmessa sul proprio terminale, l’ECPA sanciva una distinzione fondamentale tra le comunicazioni salvate sui terminali degli utenti e quelle rimaste sui sistemi dei providers.

Mentre le prime per poter essere acquisite dalle forze dell’Ordine necessitavano di un preventivo mandato di perquisizione sottoscritto da un magistrato, al pari di qualsiasi perquisizione fisica, le seconde, trascorsi 180 giorni di permanenza sui server del providers dovevano essere considerate “abbandonate” e pertanto liberamente accessibili dalle Forze dell’Ordine e dalle Agenzie Governative (anche civili) in virtù di una citazione, ovvero di un semplice ordine di esibizione (al provider di servizi) senza alcun controllo giurisdizionale a monte.

Questo trattamento differenziale in termini di riservatezza tra il dato salvato sul dispositivo dell’utente e quelli salvati sui server dei provider, anche in considerazione della grande aspettativa di riservatezza da parte degli utenti, ha spinto Google e altri provider di servizi online, ad unirsi in vari gruppi di pressione, tra cui la Coalizione per il Digital Due Process, affinché si arrivi ad un aggiornamento della normativa contenuta nell’ECPA. Il disegno di aggiornamento dell’ECPA è in assoluto la legge con il più alto numero di sostenitori in attesa dell’approvazione da parte del Congresso.

I dati custoditi dai providers: quale riservatezza

eye-669157_1280La riservatezza dei dati degli utenti custoditi dai providers risulta essere un punto cruciale nello sviluppo del settore. Infatti, se i consumatori e le imprese non si fidano che i loro dati sono al sicuro, saranno riluttanti nel cogliere le opportunità che tali servizi offrono sia in termini di efficienza che di riduzione dei costi.

Secondo Google le norme presenti nell’ECPA, non riescono a mantenere l’aspettativa di riservatezza degli utenti americani di oggi e pongono gli operatori di servizi, le Agenzie Governative, i Giudici e le forze dell’ordine in uno stato di incertezza circa le modalità di accesso ai dati degli utenti.

Le aziende informatiche hanno il fondato timore che questa situazione possa frenare la crescita economica e lo sviluppo tecnologico e per tale motivo chiedono soprattutto che ci sia chiarezza per le aziende informatiche di quali autorizzazioni siano necessarie per la divulgazione dei dati, in modo tale da poter avvertire i propri utenti. Google, se non le viene proibito dalla richiesta di esibizione delle informazioni o in casi di emergenza, comunica ai propri utenti il ricevimento di richieste di informazioni da parte di Agenzie Governative o Forze dell’Ordine.

La sentenza Stati Uniti V. Warshak del 2010

Lo scorso 16 settembre Richard Salgado ha testimoniato al Senato degli Stati Uniti a favore di una riforma dell’ECPA sostenendo che la norma, in sostanza, è già stata superata grazie alla Sentenza Stati Uniti V. Warshak del 2010. In tale Sentenza il sesto Circuito di Appello ha riconosciuto che le email memorizzate online, indipendentemente se siano trascorsi 180 giorni o meno, devono essere ricomprese sotto la tutela del Quarto Emendamento della Costituzione degli Stati Uniti con la conseguenza che l’accesso da parte delle Agenzie Governative potrà avvenire soltanto a seguito di un regolare mandato di perquisizione.

Google ritiene che tale sentenza sia corretta, e che per lo stare decisis, la stessa sia divenuta legge in tutti gli Stati Uniti. Di tutt’altro avviso sono, invece, le Agenzie Governative (Civili) sostenendo che la sentenza Warshak sia di ostacolo alle loro attività di indagine sulle violazioni civili non potendo esse richiedere un mandato di perquisizione (ottenibile soltanto per fattispecie di natura penale).

Anche il Dipartimento di Giustizia (DOT) nella propria audizione al Senato ha confermato che non vi è alcun principio di diritto per cui una mail presente per oltre 180 giorni sui server debba sottostare ad un diverso trattamento rispetto ad una mail più recente.

Google, nonostante la vigenza dell’ECPA del 1986, in forza del Quarto Emendamento, della Sentenza Warshark, e della successiva Sentenza Riley v. California (2014) dove viene sancito che le Forze dell’Ordine non possono acquisire dati dal cellulare di un soggetto arrestato senza un mandato di perquisizione, ha disegnato le proprie procedure di accesso ai dati dagli utenti da parte delle Forze dell’Ordine e delle Agenzie Governative graduando la divulgazione delle informazioni degli utenti in base alla tipologia di richiesta inoltrata.

Google e l’accesso ai dati degli utenti

Nel proprio rapporto sulla trasparenza Google individua tre modalità di accesso ai dati degli utenti:

  1. In presenza di una citazione (ovvero un ordine di esibizione non sottoscritto da un Giudice e utilizzabile anche nei procedimenti civili) Google offrirà soltanto alcuni dati tra cui Il nome fornito al momento di registrazione del servizio, l’indirizzo Ip di registrazione e la data e l’ora di login e logout.
  2. In presenza di una Ingiunzione (ordine di esibizione sottoscritto da un magistrato soltanto per indagini penali) verranno rilasciate informazioni quali: indirizzo ip associato ad una determinata email inviata dall’account o utilizzata per cambiare la password dell’account, nonché gli indirizzi email del mittente, del destinatario e l’ora di una mail.
  3. Attraverso un mandato di perquisizione (sottoscritto da un Giudice e ottenibile soltanto nei procedimenti penali a determinati requisiti) Google fornisce informazioni dei propri utenti sulle query di ricerca, e sui contenuti memorizzati su Gmail o altri account Google o Youtube.

Discorso a parte deve essere fatto per le situazioni di emergenza dove dalla mancata divulgazione delle informazioni potrebbero derivare lesioni gravi o mortali a uno o più soggetti, sequestro di persona, o attentati. In tali casi, Google, valutata la richiesta di emergenza ricevuta fornirà esclusivamente le informazioni che consentano di evitare il danno.

Riproduzione riservata ©

ALTRE NEWS

Danno esistenziale per un’ADSL

Anche la cattiva installazione di un modem può trovarsi alla base di una sentenza di condanna al risarcimento di danni di tipo esistenziale. Con una… Leggi Tutto

Regolamento Europeo Privacy: raggiunto l’accordo

La versione integrale dell’articolato commento di Alessandro Cecchetti ospitato sul n. IV – MMXV de ‘Il Documento Digitale’. In merito alla proposta di Regolamento generale… Leggi Tutto

Colin Focus Day – Jobs Act e controllo dipendenti: sai che c’è di nuovo?

Colin Focus Day: parliamo di Jobs Act con le imprese alla luce delle modifiche all’art 4 dello Statuto dei Lavoratori. Gli strumenti di tecnocontrollo e… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.