Data Access Agreement: l’alleanza tra USA e UK per la condivisione dei dati
Background normativo: Clarifying Lawful Overseas Use of Data Act
Nell’era della Data economy le forze dell’ordine si affidano sempre più alle prove elettroniche per indagare e perseguire i crimini, di conseguenza, per gli investigatori risulta necessario un accesso efficace, efficiente e legale ai dati elettronici. Pertanto, giova ricordare che nel marzo 2018 il legislatore statunitense ha emanato il Clarifying Lawful Overseas Use of Data (CLOUD) Act. Nel dettaglio, esso chiarisce l’obbligo dei fornitori di servizi di comunicazione soggetti alla giurisdizione degli Stati Uniti di produrre dati sotto il loro controllo in risposta a mandati legali del governo statunitense, indipendentemente da dove abbiano scelto di archiviarli. È chiaro come questo elemento non crea nuovi requisiti legali né nel diritto americano né nel diritto internazionale. Né riduce in alcun modo l’onere costituzionale che grava sugli investigatori americani, quando richiedono un mandato, di fornire un affidavit giurato che stabilisca, con soddisfazione di un giudice imparziale, sia la causa probabile che la particolarità. In aggiunta, il CLOUD Act stabilisce un nuovo quadro giuridico per gli accordi bilaterali con i partner statunitensi per le richieste di dati transfrontalieri. Rispettando tali accordi bilaterali, gli Stati Uniti e i governi stranieri partecipanti rimuovono le restrizioni legali che altrimenti vietano ai fornitori di tecnologia di conformarsi alle richieste legali dell’altro paese.
Secondo la normativa precedente, i governi dovevano invocare i cd. “mutual legal assistance treaties” (MLAT) per ottenere prove archiviate in un altro paese. In base a quest’ultimo processo, un governo straniero che cerca informazioni da un fornitore statunitense chiede al Dipartimento di Giustizia degli Stati Uniti di ottenere un’ordinanza del tribunale statunitense per ottenere tali informazioni. Diversamente, il CLOUD Act crea un nuovo quadro normativo che consente ai governi stranieri di notificare procedimenti legali direttamente ai provider statunitensi, senza dover prima presentare una richiesta MLAT al Dipartimento di Giustizia degli Stati Uniti.
È opportuno sottolineare che, per poter beneficiare del quadro normativo del CLOUD Act, le richieste avanzate da un paese terzo devono essere finalizzate a gravi indagini penali e terroristiche e non possono avere come unico obiettivo cittadini statunitensi.
Data Access Agreement
Come già evidenziato il trasferimento transfrontaliero dei dati, specialmente dopo le sentenze Schrems I e II[1], è un tema che ha dato origine a numerose riflessioni sia da un punto di vista geopolitico che giurisprudenziale. Pertanto, è meritevole osservare che nell’ottobre 2019, i governi del Regno Unito e degli Stati Uniti hanno firmato un accordo (di seguito, “Data Access Agreement”) sulle richieste transfrontaliere di dati da parte dei fornitori di servizi di comunicazione da parte delle forze dell’ordine. Dopo tre in cui si sono svolte le fasi procedurali necessarie per l’entrata in vigore, in data 21 luglio 2022, le parti hanno rilasciato una dichiarazione congiunta[2] in cui spiegano che l’accordo entrerà in vigore il 3 ottobre 2022. Il Data Access Agreement darà origine ad una nuova era di cooperazione tra gli Stati Uniti e il Regno Unito, portando avanti un rinnovato impegno nell’affrontare la minaccia di gravi reati.
Più precisamente, sebbene esso sia la prima forma di accordo tra le parti, consentirà agli investigatori di ciascun paese di:
- ottenere un migliore accesso ai dati vitali per combattere i reati gravi in modo coerente con i valori condivisi dai due paesi;
- proteggere i cittadini e salvaguardare la sicurezza nazionale.
Inoltre, il Data Access Agreement consentirà di accedere più rapidamente alle informazioni e alle prove detenute dai fornitori di servizi in ciascuno dei paesi, cosi supportando le forze dell’ordine ad avere un accesso più efficace alle prove di cui hanno bisogno per assicurare alla giustizia gli autori di reati, compresi i terroristi e gli autori di abusi sui minori, evitando così ulteriori vittime.
Come indicato nella dichiarazione congiunta, l’oggetto dell’accordo manterrà “la forte supervisione e le protezioni di cui godono i cittadini e non comprometterà o eroderà i diritti umani e le libertà che le nostre nazioni amano e condividono”.
Di conseguenza, si segnala che il Data Access Agreement, con l’obiettivo di tutelare i cittadini, rafforza la capacità di entrambe le nazioni di prevenire e combattere i reati gravi, mantenendo al contempo gli standard democratici e di libertà civile che sosteniamo e promuoviamo in tutto il mondo.
L’instaurazione di tale accordo è la dimostrazione del forte legame che intercorre tra Stati Uniti e Regno Unito teso ad una cooperazione futura.
Conclusioni
Risulta molto complicato immaginare gli effetti conseguenti all’entrata in vigore del Data Access Agreement nel panorama internazionale, ma ciò che richiama l’attenzione è certamente la manifestazione di volontà dei paesi nel redigere accordi bilaterali tra alleati, pertanto, in data 15 dicembre 2021, gli Stati Uniti e l’Australia hanno firmato il seguente accordo “Agreement between the Government of Australia and the Government of the United States of America on Access to Electronic Data for the Purpose of Countering Serious Crime”, più comunemente noto come “Australia-US CLOUD Act Agreement”. Si presuppone che l’accordo sarà operativo entro la fine del 2022. In conclusione, è possibile affermare come, nell’era della Data economy, risulta di significativa importanza la creazione di un sistema di gestione dei dati sicuro ed affidabile tra alleati nel panorama internazionale.
Note
[1] Sentenza della Corte di giustizia dell’Unione europea del 16 luglio 2020, causa C-311/18, Data Protection Commissioner c. Facebook Ireland Ltd, Maximillian Schrems.
[2] Department of Justice, Office of Public Affairs, Joint Statement by the United States and the United Kingdom on Data Access Agreement, 21 july 2022.
Articolo a cura di Luca Barbieri
Luca Barbieri è laureato in Giurisprudenza presso l’Università Luiss Guido Carli con tesi intitolata “From cyber espionage to cyber warfare: a criminal comparative analysis between Italy, USA and China”, nella materia di Diritto Penale, con il Relatore Prof. Gullo.
Durante l’Exchange Program, presso la Beijing Normal University di Pechino, ha sostenuto esami di diritto cinese e cyber security.
Inoltre, ha conseguito il corso “Big data, artificial intelligence e piattaforme: aspetti tecnici e giuridici connessi all'utilizzo dei dati e alla loro tutela” presso l’Università degli Studi di Milano ed il Master universitario di secondo Livello in “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert” presso l’Università Roma Tre, con tesi intitolata “Cybersecurity: sistemi di Intelligenza artificiale a protezione delle reti e delle infrastrutture critiche”, con il Relatore Prof. Avv. Aterno.
Attualmente è Dottorando in “Security, Risk and Vulnerability” presso l’Università di Genova e collabora in uno studio legale specializzato in cybersecurity e data protection fornendo assistenza nelle attività di compliance alla Direttiva NIS, al Perimetro di Sicurezza Nazionale Cibernetica ed al GDPR.