L'USA Patriot Act ha un impatto sulle aziende statunitensi in quanto facilita l'accesso del governo a determinate informazioni e tecnologie di sorveglianza per combattere il terrorismo e le attività criminali. Ciò significa che le aziende statunitensi sono tenute a divulgare informazioni o a fornire tecnologie di sorveglianza quando ciò viene richiesto dalle autorità governative. Questo ha implicazioni per la privacy e la protezione dei dati dei clienti e può portare a conseguenze legali o finanziarie per le aziende.
In molti Paesi esistono leggi simili, ad esempio nel Regno Unito: il Regulation of Investigatory Powers Act (RIPA), in Francia: la legge francese sull'intelligence, in Germania: la BND-Gesetz (BNDG), in Russia: la legge federale sull'attività operativo-investigativa e così via.
Un fornitore di servizi finanziari svizzero deve assicurarsi che il fornitore di servizi di cui si avvale per l'archiviazione dei dati dei clienti sia conforme ai requisiti locali della Legge sulle banche (LBCR) e alla legge di vigilanza della FINMA. Per garantire che i dati dei clienti siano adeguatamente protetti, il fornitore deve essere in grado di dimostrare che:
- Dispone della necessaria sicurezza delle informazioni, comprese le misure per prevenire la perdita, il furto e la manipolazione dei dati.
- Rispettare le leggi vigenti in materia di protezione dei dati, tra cui la Legge federale svizzera sulla protezione dei dati (FADP) e il Regolamento generale europeo sulla protezione dei dati (GDPR).
- Dispone di procedure per garantire l'integrità e la disponibilità dei dati elettronici dei clienti.
Una politica sulla privacy non fornisce protezione contro le autorità governative, ma è solo un contratto legale tra l'azienda e i suoi clienti che stabilisce gli obblighi dell'azienda in merito al trattamento dei dati dei clienti. Una politica sulla privacy non garantisce che un'azienda protegga i dati dei clienti dall'accesso delle autorità governative.
Ecco alcuni casi noti in questo contesto che sono stati portati all'attenzione del pubblico.
- Microsoft Azure - In passato Microsoft si è opposta alle richieste governative di fornire dati relativi al Patriot Act. Nel 2013, Microsoft ha combattuto con successo contro la richiesta del governo di consegnare i dati delle e-mail da un centro dati in Irlanda.
- Google Cloud - In passato Google si è opposta alle richieste governative di fornire dati relativi al Patriot Act. Un esempio noto è un caso del 2013 in cui Google ha combattuto una richiesta governativa di fornire dati su una query di ricerca internazionale.
- Dropbox - In passato Dropbox si è opposta alle richieste governative di fornire dati relativi al Patriot Act. Un esempio noto è un caso del 2014 in cui Dropbox ha combattuto contro una richiesta governativa di fornire i dati di un cliente.
- Apple - Disputa sulla crittografia tra l'FBI e Apple. Nel 2015 e nel 2016, Apple Inc. ha ottenuto e negato o impugnato almeno 11 ordini di tribunali distrettuali degli Stati Uniti ai sensi dell'All Writs Act.
È importante notare che questi casi sono diventati pubblici solo perché le aziende hanno resistito alle richieste del governo. Tuttavia, quando le aziende collaborano con le agenzie governative, di solito queste informazioni non vengono affatto rese pubbliche.
Se un'autorità governativa richiede dati a un'azienda, quest'ultima può essere obbligata a fornirli, anche se provengono da un cliente di un altro Paese, come la Svizzera.
In sintesi, l'utilizzo di fornitori stranieri di cloud e di archiviazione dati da parte dei fornitori svizzeri di servizi finanziari comporta dei rischi in termini di protezione dei dati. L'USA Patriot Act e leggi simili conferiscono alle autorità governative ampi poteri di accesso ai dati di aziende straniere, mettendo in discussione le dichiarazioni di protezione dei dati di tali fornitori. È quindi importante che i fornitori di servizi finanziari svizzeri riducano al minimo il rischio in termini di protezione dei dati e utilizzino fornitori svizzeri. Una soluzione svizzera offre il vantaggio di una maggiore protezione dei dati e di una migliore certezza giuridica quando si tratta di dati sensibili.