Seleziona una pagina

In un post di quasi un anno fa scritto a quattro mani con il collega Valerio Vertua questo blog aveva segnalato la sussistenza di profili di violazione della normativa interna e comunitaria in materia di privacy che potevano derivare dall’uso di dropbox nell’esercizio della professione forense.

Attraverso un post del 14 febbraio 2012 sul suo blog ufficiale (*), dropbox ci informa di aver finalmente aderito al protocollo Safe Harbor (Programma congiunto del Ministero del Commercio USA e della Commissione UE, volto a garantire che la trasmissione di dati alle imprese statunitensi aderenti sia considerata sicura sotto il profilo della normativa comunitaria: maggiori dettagli sul tema sono rinvenibili nel precedente post di questo blog), e di aver conseguentemente mutato la propria privacy policy.

Ho fatto una veloce verifica sul sito dedicato del ministero del commercio USA, posso confermare che dropbox adesso figura tra le compagnie aderenti al Safe Harbor (qui il link diretto).

Tuttavia, sebbene l’adesione al Safe Harbor da parte di dropbox sia un passo più che benvenuto, a mio avviso lo stesso risolve soltanto il profilo di illegalità “formale” che caratterizzava l’uso di dropbox nella professione, ovvero quello legato alla trasmissione dei dati dei clienti al di fuori dei confini UE.

L’impatto positivo dell’adesione al Safe Harbor non si estende, invece, alle altre contestazioni recentemente giunte a dropbox sotto il profilo della tutela dei dati dei clienti. Contestazioni che incidono sull’obbligo deontologico di riservatezza cui è tenuto l’avvocato, e dunque sull’esigenza concreta di tutela dei dati dati dei clienti.

In particolare, permane la preoccupazione – particolarmente avvertita dalla comunità legale d’oltreoceano – in relazione

  • sia alla possibilità che dropbox garantisca l’accesso ai dati dei clienti alle autorità pubbliche USA che ne facciano legittimamente richiesta (un esempio a questo link, un altro esempio qui),
  • sia al presupposto “materiale” di tale possibilità d’accesso, ovvero il fatto che i dipendenti di dropbox hanno concretamente la possibilità di accedere al contenuto dei nostri file.

Al Tribunale Penale di Pisa (***) pare abbiano deciso di ignorare i profili problematici sopra evidenziati e usare dropbox per il “rilascio copie digitali di atti. Premetto di apprezzare l’encomiabile tentativo del Tribunale di fornire un servizio utilissimo sia per le parti che per l’amministrazione della giustizia, sopperendo alla cronica (inspiegabile) mancanza di soluzioni fornite a livello centralizzato (ci sono ottime soluzioni di gestione documentale open source – la corte di Giustizia UE usa Alfresco – che potrebbero essere implementate a livello centrale, assumendo un piccolo team di sviluppatori). Tuttavia, non riesco a non pensare a casi come quello di Abu Omar, Ustica, o qualsiasi caso in cui un processo penale possa intersecare l’interesse nazionale USA e giustificare una eventuale richiesta di accesso ai server che giungesse a dropbox dall’NSA, FBI, CIA et similia. Per fare un esempio meno teorico, al tribunale di Pisa dovrebbe essere incardinato il processo penale per i 13 manifestanti denunciati per le proteste contro la base di Camp Darby.

Nel caso dei colleghi di Pisa, nessuno gli potrà certo muovere alcuna critica sotto il profilo deontologico per aver utilizzato uno strumento imposto dal Tribunale.

Tuttavia, anche al di la di casi limite come quello del tribunale di Pisa, in assenza di specifiche indicazioni dal proprio ordine di appartenenza (al momento – a differenza di quanto avviene in USA – non mi risultano pronunce di alcun consiglio dell’ordine Italiano sul tema), il problema, a mio avviso, permane.

Così come permane l’esigenza di individuare un servizio comparabile a dropbox, ma che sia “blindato” sotto il profilo della tutela della privacy e della confidenzialità dei dati dei propri clienti che il legale decida di archiviare on the cloud.

———————————

Dopo aver testato diversi servizi, credo di aver trovato l’alternativa che mi soddisfa. Si tratta di SpiderOak(**). Servizio, sempre statunitense, di semplicissimo utilizzo sul computer (mac, win o linux) e per il quale esiste un’ottima app ufficiale gratuita per iPhone e iPad (qui il link iTunes) e anche per altre piattaforme (Android, N900).

Anche SpiderOak risulta regolarmente iscritta al programma Safe Harbor. A differenza di dropbox, però, nelle FAQ del sito si legge, addirittura, che la compagnia e i suoi dipendenti non possono visualizzare, ne tantomento potrebbero fornire a terzi, i dati degli utenti nemmeno “at gun point, simpatica espressione americana che si traduce letteralmente in nemmeno “ove minacciati da qualcuno armato di pistola”. Per quanto l’affermazione possa sembrare un po’ roboante, in effetti la semplificazione pare essere veritiera.

Il motivo della maggiore affidabilità di SpiderOak per il professionista che, come l’avvocato, ha l’obbligo deontologico di tutelare i dati – spesso sensibili – dei suoi clienti è data dal fatto che la compagnia ha scelto di puntare su una policy “zero knowledge” effettiva, nella quale i dati sono criptati all’origine nel computer dell’utente prima dell’upload, e la password è conosciuta solo dall’utente e non è salvata sui server della compagnia.

Ciò comporta che i dipendenti di SpiderOak non sono materialmente in grado di accedere ai file dei nostri clienti, e che – ove un’autorità pubblica decidesse di ordinare alla compagnia di fornire tali dati – la stessa non potrebbe che fornirgli una sequenza di zero e uno, indecifrabile senza la password di decriptaggio (che solo noi abbiamo).

Ovviamente, l’altro lato della medaglia di una tale policy è che l’utente è integralmente responsabile dell’archiviazione e sicurezza della propria password, la quale deve essere conservata e memorizzata con una attenzione quasi maniacale. Infatti, nonostante il sito preveda una “domanda d’aiuto” in caso ci scordassimo la password, qualora la memoria facesse cilecca nonostante l’aiutino, i nostri dati non sarebbero recuperabili in alcun modo dal server (avremo, ovviamente, sempre accesso alla copia dei nostri dati archiviata in locale sul nostro computer).

Come quello di dropbox, anche l’account base di SpiderOak è gratuito, ed è fornito con 2 GB di spazio disponibile (che diventano 3GB se vi iscrivete accettando l’invito contenuto nei link a SpiderOak di questo post). Anche in questo caso, esiste un sistema che consente di aumentare velocemente lo spazio gratuito a disposizione per chi invita colleghi e amici a iscriversi; anzi, a ben vedere il sistema è molto più incentivante rispetto a quello di dropbox, posto che SpiderOak regala 1 GB aggiuntivo per ogni vostro invito che si trasforma in un nuovo iscritto, fino ad un massimo di 50 GB di spazio gratuito (mentre Dropbox regala 250 MB per ogni iscrizione, fino a un massimo di 10 GB complessivi gratuiti).

Per chi conosce l’inglese una efficace comparazione tra i vari profili dei due servizi è rinvenibile a questo link (articolo dal quale, peraltro, ho preso in prestito l’immagine -temporanea- di questo post) e quest’altro link.

Warning: se decidete di usare il servizio “ShareRoom” di SpiderOak, per condividere le cartelle con terzi, tenete presente che questo comporta il decriptaggio delle cartelle condivise e che vengono rese accessibili a chiunque sia in possesso (perché lo ha ricevuto da voi) di un link segreto.

Ciò significa che, con riferimento al caso del tribunale di Pisa, i rilievi evidenziati per DropBox valgono anche per SpiderOak.

Invece, con riferimento all’uso che interessa me, ovvero

  • la sincronizzazione delle cartelle in cui archivio i fascicoli digitali dei miei clienti tra il mio computer fisso in studio e il mio portatile
  • l’accesso a quelle cartelle dal mio iPhone e iPad,

allora sotto il profilo deontologico della protezione dei dati dei miei clienti SpiderOak (a differenza di dropbox) non ha alcuna vulnerabilità: i file sono decriptati solo nei computer in cui installo l’applicazione, grazie alla password che io solo conosco. Sul cloud ci sono solo una sequenza di dati criptati inaccessibili a SpiderOak (che dunque non può nemmeno fornirli a fronte di un ordine giudiziario o governativo) e a chiunque altro.

Per quanto mi riguarda, come anticipavo, ho deciso che utilizzerò SpiderOak per tutti i miei file professionali, e dropbox per i file privati.

Detto questo, vi sarei grato se quelli di voi che decideranno di seguire il mio esempio e registrarsi a SpiderOak utilizzassero questo link (ovvero uno qualsiasi dei link collegati alla parola SpiderOak contenuti nel presente post) in modo da ottenere 3GB di partenza (invece che 2GB), contemporaneamente aiutandomi a raggiungere i miei 50 GB gratuiti. Grazie! 🙂

I vostri commenti e impressioni sono, come sempre, i benvenuti.
———————————
Ringrazio:
(*) Ernesto Belisario per la segnalazione dell’adesione di dropbox al safe harbor nel suo post su techeconomy;
(**) @Giabar per avermi segnalato SpiderOak in un commento a un precedente post del blog;
(***) Blue_Tux, per la segnalazione relativa al Tribunale di Pisa.  A lui e agli altri colleghi con i quali sviluppa il software gestionale di studio, opensource e cloud-ready, knomos 2+ sarà dedicato un prossimo post del blog. Per ora vi segnalo che la documentazione e i file d’installazione del software sono rinvenibili sia qui che qui, e se vi servisse supporto potete chiederlo a una vivacissima community di colleghi su facebook.