Gli studi legali svizzeri godono di un privilegio protetto in pochi altri Paesi al mondo con la stessa intensità: il segreto professionale secondo l’art. 13 LLCA (Legge sulla libera circolazione degli avvocati). Questo segreto non è negoziabile. È il fondamento della fiducia del mandante e un obbligo legale la cui violazione comporta conseguenze penali.
Al contempo, numerosi studi legali svizzeri utilizzano servizi cloud di fornitori statunitensi per il lavoro quotidiano: Microsoft 365, Google Workspace, Dropbox, diversi strumenti Legal Tech con hosting negli USA. Molti non sono consapevoli del rischio di compliance che ciò comporta, un rischio potenzialmente incompatibile con il segreto professionale.
Cosa stabilisce effettivamente il CLOUD Act
Il Clarifying Lawful Overseas Use of Data Act è stato approvato dal Congresso degli Stati Uniti nel 2018. La legge è breve e il suo nucleo è semplice: le autorità statunitensi possono esigere da aziende soggette al diritto USA la consegna di dati, indipendentemente dal luogo in cui tali dati sono fisicamente archiviati.
In concreto: se uno studio legale svizzero archivia i dati dei propri mandanti su un server Microsoft a Zurigo, le autorità statunitensi possono comunque esigerne la consegna. Non dallo studio legale stesso, bensì da Microsoft. E Microsoft, in quanto azienda statunitense, è soggetta al CLOUD Act.
La legge prevede disposizioni che consentono alle aziende di contestare una consegna qualora questa sia in contrasto con il diritto locale. Tuttavia, questa possibilità di contestazione non offre una protezione affidabile. La procedura si svolge davanti ai tribunali statunitensi, secondo il diritto statunitense, e la giurisprudenza finora non mostra una linea coerente in materia di tutela degli obblighi di riservatezza stranieri.
LLCA art. 13: il segreto professionale
Il segreto professionale svizzero è sancito dall’art. 13 della Legge federale sulla libera circolazione degli avvocati (LLCA). Esso tutela tutto ciò che viene affidato a un avvocato nell’esercizio della sua professione. Questo segreto è completo e illimitato nel tempo. Si applica anche dopo la conclusione del mandato.
La violazione del segreto professionale è punibile ai sensi dell’art. 321 CP. Si tratta di un reato perseguibile d’ufficio nelle forme qualificate. Le conseguenze vanno da pene pecuniarie a pene detentive fino a tre anni.
Il punto decisivo è che il segreto professionale non vieta soltanto la trasmissione attiva dei dati del mandante. Obbliga inoltre l’avvocato ad adottare misure adeguate per tutelare la riservatezza. L’utilizzo di un servizio cloud che offre a una giurisdizione straniera la possibilità giuridica di accedere ai dati del mandante può essere considerato una violazione di tale obbligo di protezione.
Il divario tra teoria e pratica
Nella pratica, molti studi legali argomentano che il CLOUD Act non è mai stato utilizzato finora contro dati forensi svizzeri. Questo è vero, per quanto pubblicamente noto. Ma tale argomentazione ignora due punti essenziali.
Primo: la compliance non si misura in base al verificarsi di un rischio, bensì in base alla sua esistenza. Le autorità cantonali di vigilanza non valutano se le autorità statunitensi abbiano effettivamente avuto accesso ai dati dei mandanti. Valutano se lo studio legale abbia adottato misure adeguate per impedire tale accesso. L’utilizzo di un servizio cloud statunitense per i dati dei mandanti può essere giudicato come misura di protezione insufficiente.
Secondo: il CLOUD Act non è l’unico strumento. Le autorità statunitensi dispongono di ulteriori strumenti giuridici, tra cui National Security Letters, ordinanze FISA e Subpoenas, che in determinati casi possono essere utilizzati senza autorizzazione giudiziaria e sotto obbligo di segretezza per l’azienda interessata. In un caso simile, lo studio legale non verrebbe nemmeno informato dell’accesso ai propri dati.
Misure di protezione tecniche e i loro limiti
Alcuni studi legali fanno riferimento a misure di protezione tecniche: crittografia, chiavi private, architetture zero-knowledge. Queste misure hanno il loro valore, ma non offrono una protezione completa.
La crittografia at rest e in transit protegge i dati dall’accesso non autorizzato da parte di terzi, ma non dal fornitore cloud stesso. Se Microsoft o Google gestiscono l’infrastruttura, controllano l’architettura di crittografia. Anche con le Customer-Managed Keys, sussiste la possibilità tecnica di accesso da parte del gestore dell’infrastruttura.
Il Confidential Computing è un approccio promettente in cui i dati restano crittografati anche durante l’elaborazione. La tecnologia non è tuttavia ancora sufficientemente matura per garantire una protezione completa da un fornitore cloud costretto a cooperare con le autorità.
Le garanzie contrattuali del fornitore cloud di non consegnare dati non hanno valore giuridico vincolante. Un’azienda statunitense che riceve un’ordinanza di consegna dati da parte delle autorità deve ottemperarvi. Gli accordi contrattuali con i clienti non modificano questo obbligo.
La dimensione LPD
Oltre al segreto professionale, la nuova Legge federale sulla protezione dei dati (LPD) inasprisce la situazione. L’art. 16 LPD disciplina la comunicazione di dati personali all’estero. I dati personali possono essere trasmessi solo a Stati che garantiscono un livello adeguato di protezione dei dati. Per gli Stati Uniti non esiste una decisione di adeguatezza generale da parte del Consiglio federale.
La LPD prevede multe personali fino a CHF 250'000 in caso di violazione. A differenza del GDPR, queste multe sono dirette contro persone fisiche, dunque potenzialmente contro il partner dello studio legale personalmente responsabile.
Per gli studi legali soggetti sia alla LLCA sia alla LPD, ne risulta un doppio rischio: la stessa azione può violare contemporaneamente il segreto professionale e la legge sulla protezione dei dati.
Cosa dicono le autorità di vigilanza
Le autorità cantonali di vigilanza sugli avvocati non si sono ancora espresse in modo uniforme sul CLOUD Act. Alcune prese di posizione indicano tuttavia una crescente sensibilità. L’Ordine svizzero degli avvocati (OSA) ha segnalato i rischi in diverse pubblicazioni, senza formulare una raccomandazione vincolante.
È prevedibile che le autorità di vigilanza inaspriranno i propri requisiti nei prossimi anni. Gli studi legali che a quel punto faranno ancora affidamento su servizi cloud statunitensi per i dati dei mandanti potrebbero trovarsi sotto una notevole pressione di adeguamento.
Alternative pratiche
La buona notizia: esistono alternative funzionanti ai servizi cloud statunitensi, conformi ai requisiti del segreto professionale.
Fornitori cloud svizzeri. Aziende come Infomaniak, Exoscale o Green offrono servizi cloud interamente soggetti al diritto svizzero. La funzionalità è paragonabile a quella dei fornitori internazionali, i prezzi spesso competitivi.
Self-hosting. Per i dati particolarmente sensibili, l’hosting su infrastruttura propria o in locazione in Svizzera può essere la soluzione più sicura. L’onere gestionale è maggiore, ma il controllo è totale.
Strumenti IA svizzeri. Per la ricerca giuridica e l’analisi documentale assistite dall’IA esistono ormai soluzioni interamente ospitate in Svizzera, senza dipendenze da aziende statunitensi. La piattaforma Enclava di Mont Virtua ne è un esempio: hosting svizzero, giurisdizione svizzera, nessuna esposizione al CLOUD Act.
Approcci ibridi. Non tutti i dati hanno la stessa sensibilità. Una soluzione pragmatica può consistere nel mantenere i dati non critici (documenti pubblici, corrispondenza generale) su piattaforme internazionali e migrare i dati riservati dei mandanti su infrastruttura svizzera.
Un piano d’azione concreto
Per gli studi legali che desiderano verificare la propria strategia cloud, raccomandiamo i seguenti passi:
Inventario. Quali servizi cloud utilizza lo studio? Quali di essi sono soggetti alla giurisdizione statunitense? Quali tipi di dati vi vengono archiviati o elaborati?
Valutazione del rischio. Quali dei servizi utilizzati elaborano dati dei mandanti o altre informazioni riservate? È qui che il rischio è maggiore.
Prioritizzazione. Iniziate con i servizi che presentano il rischio più elevato: e-mail, archiviazione documenti, strumenti IA per la ricerca giuridica. I servizi meno critici possono essere migrati in una seconda fase.
Migrazione. Sostituite i servizi statunitensi con alternative svizzere, partendo dagli ambiti prioritari. Pianificate tempo sufficiente per la transizione.
Documentazione. Registrate per iscritto le misure adottate. In caso di verifica da parte dell’autorità di vigilanza, la documentazione è la prova decisiva.
Conclusione
Il CLOUD Act non è un rischio teorico. È una legge vigente che consente alle autorità statunitensi di accedere ai dati presso aziende statunitensi. Per gli studi legali svizzeri che elaborano dati dei mandanti sull’infrastruttura di aziende statunitensi, sussiste un conflitto reale con il segreto professionale ai sensi dell’art. 13 LLCA.
La soluzione non è complicata: i dati dei mandanti appartengono a un’infrastruttura soggetta esclusivamente al diritto svizzero. Le alternative svizzere esistono e sono collaudate. La questione non è se, ma quando gli studi legali compiranno questo passo.
Se desiderate verificare la vostra strategia cloud alla luce del CLOUD Act, contattateci all’indirizzo [email protected] o visitate la nostra pagina di contatto.