How to Build a Global Network that Complies with Local Law

Questa settimana abbiamo discusso a lungo dello sviluppo, ad opera degli ingegneri di Cloudflare, di soluzioni tecniche atte a potenziare la privacy, aumentare il controllo sui dati e, di conseguenza, aiutare i nostri clienti ad affrontare con successo le sfide in ambito normativo. Ma non tutte le sfide possono essere risolte grazie all'ingegneria: a volte dobbiamo creare politiche e procedure che siano in grado di anticipare le preoccupazioni dei nostri clienti. Questo è uno degli approcci che, nel corso degli anni, abbiamo utilizzato per rispondere alle richieste di dati provenienti da agenzie governative e dai tribunali.

I governi di tutto il mondo hanno da tempo interesse a ottenere l'accesso ai registri online. A volte, sono le forze dell'ordine a cercare prove rilevanti per indagini su reati. Altre volte, le agenzie di intelligence cercano maggiori informazioni sull'operato dii governi o altri soggetti esteri. I provider di servizi online di ogni tipo, spesso, fungono da punto di accesso per questi registri elettronici.

Tuttavia, per i provider di servizi come Cloudflare, queste richieste possono rivelarsi spinose da gestire. Il lavoro svolto dalle forze dell'ordine e dalle altre autorità governative riveste grande importanza, ma allo stesso tempo, i dati che questi enti ricercano non sono di nostra proprietà. Utilizzando i nostri servizi, i nostri clienti ci hanno collocato in una posizione fiduciaria relativamente a quei dati, e mantenere la loro fiducia è fondamentale sia per la nostra attività che per i nostri valori.

Queste tensioni sono esacerbate dal fatto che governi diversi hanno normative diverse nel campo della tutela dei dati personali. Gli Stati Uniti, ad esempio, vietano alle aziende di divulgare il contenuto delle comunicazioni — anche ai governi non statunitensi — tranne che in determinate circostanze definite per legge. L'Unione Europea, che da tempo considera la privacy delle comunicazioni e la protezione dei dati personali alla stregua di diritti umani fondamentali, protegge tutti i dati personali dell'UE mediante il Regolamento generale sulla protezione dei dati (GDPR). Sebbene questi livelli di tutela per certi aspetti vadano a sovrapporsi, essi si differenziano sia nel loro ambito di applicazione che nei soggetti che tutelano.

Le differenze tra i quadri normativi sono importanti, in particolare quando si tratta di stabilire se le richieste di natura legale di dati provenienti da governi esteri siano considerate conformi ai requisiti di privacy. Negli ultimi anni, ad esempio, la Corte di giustizia dell'Unione europea (CGUE) ha concluso in più occasioni che le restrizioni legali statunitensi in materia di raccolta dei dati, insieme ad alcuni impegni su base volontaria come il Privacy Shield o il suo predecessore, il Safe Harbor USA-UE, non sono adeguati per il rispetto della normativa UE, in larga misura a causa delle leggi statunitensi che consentono alle autorità giudiziarie di raccogliere informazioni su cittadini non statunitensi a fini di intelligence. Di fatto, il Comitato europeo per la protezione dei dati (EDPB) ha assunto una posizione secondo cui una richiesta giudiziaria di dati da parte degli Stati Uniti – al di fuori di un procedimento legale in cui i Paesi dell'UE abbiano un certo controllo sulle informazioni prodotte – non rappresenta una base legittima per il trasferimento di dati personali soggetti al GDPR.

In fondo, si tratta di “scontri” volti a stabilire quando sia lecito che un governo possa utilizzare ordinanze o altri procedimenti giuridici per accedere ai dati di cittadini di un altro Paese. E questi scontri non stanno avvenendo solo in Europa. Nonostante le risposte delle rispettive politiche non siano omogenee, un numero crescente di Paesi considera ora l'accesso ai dati dei propri cittadini una questione di sicurezza nazionale. Dal nostro punto di vista, queste battaglie tra stati nazionali sono battaglie tra giganti, la cui natura era però ampiamente prevedibile.

Elaborare delle politiche per le battaglie tra giganti

Noi di Cloudflare abbiamo da tempo implementato delle politiche che affrontano le problematiche in materia di accesso ai dati personali, sia perché crediamo sia la cosa giusta da fare, sia perché i conflitti giurisdizionali a cui oggi assistiamo ci sembravano inevitabili. Come azienda di portata globale, con clienti, attrezzature e dipendenti in molti Paesi, siamo consapevoli del fatto che Paesi diversi hanno ordinamenti giuridici diversi. Quando però insorge un conflitto tra due ordinamenti differenti, noi scegliamo di default quella che tutela maggiormente la privacy, ed esigiamo sempre che le richieste avanzate siano corredate dalle necessarie ingiunzioni legali. Ci comportiamo così perché, una volta "aperti i cancelli" per l'accesso ai dati, poi può essere estremamente difficile richiuderli.

A partire dal nostro primo rapporto sulla trasparenza, che illustrava nel dettaglio le richieste di dati da parte delle forze dell'ordine nel 2013, abbiamo assunto impegni pubblici sul modo in cui affrontiamo le richieste di dati, e abbiamo rilasciato dichiarazioni pubbliche sul modo in cui affrontiamo questioni per noi inedite. Chiamiamo queste ultime "warrant canary", con l'idea che rivestano una funzione di segnalazione al mondo esterno. I “warrant canary” sono una dichiarazione pubblica che non intraprenderemo queste azioni su base volontaria, nonché un meccanismo per trasmettere informazioni — tramite la rimozione della dichiarazione dal sito — che in caso contrario potrebbe esserci impedito di divulgare. Ci siamo inoltre impegnati a mettere giuridicamente in discussione qualsiasi ingiunzione che ci richiedesse di venire meno a questi impegni. Il nostro obiettivo era quello di essere estremamente chiari — non solo nei confronti dei nostri clienti, ma anche dei governi di tutto il mondo — su dove avremmo fissato i nostri limiti.

Gli enti normativi hanno iniziato a riconoscere il valore degli impegni in materia di privacy, in particolare quando possono essere fatti valere contrattualmente. Infatti, gli impegni che per anni abbiamo incluso nei nostri report sulla trasparenza sono esattamente i tipi di impegni che la Commissione Europea ha raccomandato di includere nella sua bozza di clausole contrattuali standard per la conformità al GDPR.

I warrant canary di Cloudflare

In qualità di società dedicata alla sicurezza, sappiamo che mantenere il controllo sull'accesso alle nostre reti è un imperativo assoluto. Ecco perché il nostro team di sicurezza si è concentrato sul controllo, la registrazione e il monitoraggio degli accessi, e viene sottoposto ogni anno a diverse valutazioni da parte di soggetti terzi. Vogliamo fare in modo che i nostri clienti capiscano che non vi è alcuna esenzione in tali controlli per le forze dell'ordine o altri soggetti governativi. Ecco perché affermiamo da un lato che Cloudflare non ha mai installato software o apparecchiature per le forze dell'ordine in nessun punto della nostra rete, e dall'altro che non abbiamo mai fornito ad alcuna organizzazione governativa un feed dei contenuti dei nostri clienti che transitano sulla nostra rete.

Cloudflare ritiene che una crittografia efficace — sia per i contenuti che per i metadati — sia un elemento indispensabile per la privacy online. Se un Paese sta cercando di impedire a un servizio di intelligence esterno di accedere alle informazioni personali dei suoi cittadini, il primo passo che deve intraprendere è crittografare tali informazioni personali. Ma i clienti e le autorità di regolamentazione devono anche essere sicuri che la stessa crittografia sia affidabile. Abbiamo quindi formalmente dichiarato di non aver mai consegnato ad alcuno le nostre chiavi di crittografia o di autenticazione, né quelle dei nostri clienti, e di non aver mai indebolito, compromesso o sovvertito la nostra crittografia su richiesta delle forze dell'ordine o di terzi.

Gli altri impegni formali di Cloudflare riguardano l'integrità dell’Internet stesso. Non crediamo che i nostri sistemi debbano essere sfruttati per portare le persone su siti che non intendevano visitare o per modificare i contenuti che ottengono online. Pertanto, abbiamo dichiarato pubblicamente di non aver mai modificato i contenuti dei clienti né la destinazione prevista delle risposte DNS su richiesta delle forze dell'ordine o di terzi.

Notificare ai nostri clienti le richieste governative

Cloudflare ritiene da tempo che i nostri clienti meritino di essere informati quando qualcuno — comprese le forze dell'ordine o altri soggetti governativi — faccia uso di un’ingiunzione legale per richiedere i loro dati, di modo che possano contestare tale richiesta. Fin dai primi giorni della nostra esistenza come azienda, abbiamo adottato la politica di avvisare i nostri clienti. Nel 2014 abbiamo collaborato con la Electronic Frontier Foundation per fare ricorso su una National Security Letter (NSL) che limitava la nostra facoltà di divulgare a terzi la ricezione della lettera. La corte, dopo un contenzioso durato tre lunghi anni, stabilì infine che eravamo autorizzati a divulgarla pubblicamente.

Anche se riconosciamo che potrebbero esserci delle circostanze in cui potrebbe essere raccomandabile che le forze dell'ordine limitassero temporaneamente la divulgazione per preservare l'attuabilità di un'indagine, riteniamo che il governo sia tenuto a giustificare qualsiasi disposizione di non divulgazione, e che quest'ultima debba essere esplicitamente limitata al tempo minimo necessario per lo scopo in oggetto. Poiché i tribunali statunitensi hanno ipotizzato che le ordinanze di non divulgazione a tempo indeterminato sollevino problemi di costituzionalità, il Dipartimento di Giustizia degli Stati Uniti nel 2017 ha pubblicato delle linee guida incaricando i pubblici ministeri federali di limitare le ordinanze di non divulgazione a un periodo non superiore a un anno, salvo circostanze eccezionali.

Ciò non ha tuttavia impedito alle agenzie di sicurezza degli Stati Uniti di richiedere ordinanze di non divulgazione a tempo indefinito. Di fatto, dal 2017 abbiamo ricevuto almeno 28 ordinanze di non divulgazione senza una data di fine. In collaborazione con l'American Civil Liberties Union (ACLU), Cloudflare ha minacciato un'azione legale ogniqualvolta ha ricevuto tali ordinanze di non divulgazione a tempo indefinito. In ciascun caso, il governo ha successivamente inserito nelle ordinanze dei limiti temporali sugli obblighi di non divulgazione, consentendoci di dare comunicazione ai nostri clienti di tali richieste.

Affrontare i conflitti normativi

Mantenere il rispetto di normative come il GDPR — in particolare a fronte a ordinanze legali che potrebbero metterci nella difficile posizione di essere obbligati a violarlo — richiede il coinvolgimento dei tribunali. Un provider di servizi come Cloudflare può richiedere a un tribunale di annullare le ordinanze in ragione di un conflitto normativo, e ci siamo impegnati, sia nelle nostre dichiarazioni pubbliche che a livello contrattuale, nella nostra "Appendice sul trattamento dei dati", a compiere questo passo, se necessario ad evitare tale conflitto. A nostro modo di vedere, il conflitto deve essere rimandato alla sua sede naturale: tra i due governi che battagliano su chi dovrebbe avere diritto ad accedere alle informazioni.

Conclusione

In definitiva, affrontare le sfide associate alla gestione di una rete globale conforme alle diverse leggi sulla privacy nel mondo esige un ritorno a quei valori di cui, come azienda, ci siamo fatti promotori fin dalla prima ora: avere principi saldi ed essere trasparenti, rispettare la privacy, esigere il rispetto delle procedure legali e informare i clienti affinché possano assumere autonomamente le decisioni sui propri dati.