Il caso Google Analytics e la sentenza americana che elimina il diritto all’aborto formano un mix preoccupante.
Il caso, di cui si è parlato molto negli ultimi giorni data la decisione del Garante per la Protezione dei Dati Personali, ha portato nuovamente alla luce il problema del trasferimento dei dati dallo spazio SEE agli Stati Uniti, nazione quest’ultima che non ha la stessa nostra attenzione alla privacy delle persone fisiche. Infatti, l’intelligence e l’Autorità giudiziaria possono accedere con estrema facilità ai dati trattati dalle aziende americane.
Se questa preoccupazione è sembrata, ai più, eccessiva, la conferma della portata devastante della normativa statunitense è arrivata proprio da Kamala Harris che ha invitato tutte le donne a disinstallare le app per il monitoraggio del ciclo mestruale, nel mirino degli inquirenti più conservatori, appunto dopo la sentenza sull’aborto.
Dunque, v’è il concreto pericolo che l’azione di intelligence degli USA possa estendersi sino al Polo Strategico Nazionale.
Aborto “abolito” negli Usa, ora la privacy è nel mirino delle autorità
I fatti
Del provvedimento dell’Autorità Garante per la Protezione dei Dati Personali su Google Analytics si è parlato molto. Ciò che qui interessa ricordare è che il Garante ha inteso qualificare l’uso di Google Universal Analytics come non a norma poiché trasferisce i dati degli utenti di ogni sito web su cui è installato negli Stati Uniti, la cui normativa non è stata ritenuta adeguata ai principi enunciati dal GDPR dalla Corte di Giustizia Europea con la famosa sentenza Schrems II a causa dell’estrema facilità con cui l’intelligence e le Autorità inquirenti possono accedere ai dati trattati dalle aziende di diritto americano.
Per quanto ad alcuni operatori del settore, più attenti al marketing che al bilanciamento fra quest’ultimo e il diritto alla riservatezza, la preoccupazione del Garante e della CGE sia sembrata eccessiva, proprio qualche giorno fa la vice presidente degli USA, Kamala Harris, dopo la sentenza della Corte Suprema che ha, di fatto, annullato il diritto all’aborto, ha invitato tutte le donne americane a cancellare i propri dati e a disinstallare le app per il monitoraggio del ciclo mestruale: infatti, il Governo USA è ben conscio che qualche inquirente un po’ troppo zelante potrebbe accedere a quei dati (e anche a quelli di viaggio memorizzati dalle app come Google Maps) per scoprire chi ha recentemente abortito.
Il Foreign Intelligence Surveillance Act e l’Executive Order 12333
Il Foreign Intelligence Surveillance Act (in breve, FISA) e l’Executive Order 12333 sono le due normative americane che Corte di Giustizia Europea ha ritenuto non adeguate ai principi dl GDPR.
La prima è la legge antiterrorismo che autorizza la raccolta di qualsiasi comunicazione attraverso dispositivi elettronici senza l’autorizzazione preventiva dell’Autorità giudiziaria. Peraltro, la sezione 702 ha esteso il controllo anche a tutti i soggetti che non sono residenti negli Stati Uniti. Poco importa se questi dati siano riferibili alla rubrica telefonica, al registro chiamate, al testo delle e-mail scambiate o ai dati memorizzati dalle singole applicazioni.
Il secondo, invece, è un ordine esecutivo che consente a tutte le attività di intelligence (come l’NSA, che è l’intelligence interna, o la CIA che, invece, è quella esterna) di raccogliere informazioni su qualsiasi persona fisica, sia essa americana o straniera. Dunque, a una loro semplice richiesta, i gestori dei servizi online, così come le software house, non possono non consegnare all’intelligence i dati in loro possesso.
L’abolizione della sentenza Roe vs. Wade e il controllo delle gestanti
Come sappiamo, la Corte Suprema USA ha tristemente e sconsideratamente rovesciato la sentenza Roe vs. Wade e, di fatto, ha reso l’aborto illegale, o comunque, molto più difficile da praticare nella stragrande maggioranza degli stati americani.
Nei giorni successivi, molte attiviste per i diritti delle donne, nonché la stessa vicepresidente degli Stati Uniti Kamala Harris, hanno invitato tutte coloro che usano le app per il monitoraggio del ciclo mestruale a cancellare i propri account e a disinstallarle immediatamente. Infatti, come sostenuto anche da Gina Neff, sociologa e direttrice del Minderoo Center per la Tecnologia e la Democrazia dell’Università di Cambridge, le accennate app contengono dati particolari su ogni donna, come l’andamento del ciclo mestruale, l’attività sessuale e il monitoraggio della gravidanza. Alcune donne utilizzano queste applicazioni per sapere quando è il loro periodo fertile e, quindi, per avere o evitare la gravidanza.
La preoccupazione delle attiviste è che i dati delle app in esame possano essere utilizzati, insieme a quelli registrati dagli spostamenti dalle app di navigazione, alle ricerche online, alle e-mail e ai messaggi scambiati, per perseguire le donne che decidono di interrompere volontariamente la gravidanza.
Peraltro, dato che i dati particolari raccolti da dette app sono, come s’è visto, solo una parte di quelli presi in considerazione della autorità inquirenti, la loro cancellazione potrebbe non essere così efficace come si augurano la Neff e le altre attiviste.
D’altro canto, gli sviluppatori delle app hanno annunciato che renderanno totalmente anonimi i dati raccolti attraverso i loro sistemi, impedendo, quindi, l’identificazione delle proprie utenti, così come, dal canto suo, Google ha annunciato che cancellerà tutti gli spostamenti registrati verso le cliniche che possono ancora offrire i servizi dedicati all’aborto.
Le preoccupazioni del Garante non sono infondate
Non è questa la sede adatta per discutere anche di ciò che è emerso con Wikileaks e l’attività di Edward Snowden, ma dubito ci possano essere più dubbi sul fatto che gli USA fanno un uso indiscriminato dei dati per esercitare il proprio potere, anche ove tale esercizio travalichi i confini nazionali.
Le preoccupazioni delle attiviste americane (che hanno spinto il presidente Biden a firmare un nuovo executive order per limitare le conseguenze per le donne che decidono di abortire), dunque, non possono che confermare ciò che temono i Garanti europei e la Corte di Giustizia Europea, e cioè che i servizi di intelligence USA possano fare un uso distorto dei dati dei cittadini europei raccolti e trattati dalle aziende d’oltreoceano, indipendente dal fatto che possano essere usati per la sorveglianza, per le azioni antiterrorismo o per lo spionaggio industriale di stato.
È, quindi, opportuno che l’Unione Europea inizi a intervenire in maniera più decisa sulla crescita di aziende che possano offrire servizi similari a quelli offerti dalle aziende americane o che, comunque, gli eventuali nuovi framework normativi, la cui predisposizione è già stata annunciata, facciano in modo che l’UE possa mantenere la sua sovranità digitale. Perché oggi si discute di cookie e profilazione e spionaggio industriale, ma domani questi stessi problemi si rifletteranno sul Polo Strategico Nazionale, cioè il cosiddetto cloud di stato, ad oggi aggiudicato al consorzio composto da Leonardo, Tim, Sogei e Cassa Depositi e Prestiti che, incredibilmente, utilizzeranno l’infrastruttura di Google Cloud, Microsoft Azure e Oracle che, guarda caso, sono tute aziende americane. Ove il framework europeo non dovesse essere, ancora una volta, rispettoso del GDPR, ci si augura solo che almeno l’intervento di Difesa Servizi SpA possa mettere un freno al grande fratello a stelle e strisce.
