La sorveglianza di massa in Italia prende l’ascensore e sale di livello

[Tempo di lettura stimato: 7 minuti]

Il 19 luglio è stata approvata alla Camera dei Deputati la legge di recepimento delle norme comunitarie (che ora dovrà passare al Senato). Provoca, però, stupore leggere che una specifica norma in materia di adeguamento per la sicurezza degli ascensori (!) porti con sé l'estensione dei termini di memorizzazione dei dati raccolti dai provider (la cosiddetta data retention) addirittura fino a 72 mesi (6 anni). Sorge il dubbio che la collocazione sia stata voluta per evitare che si presti particolare attenzione al testo.

 

 

Art. 12-ter. – (Termini di conservazione dei dati di traffico telefonico e telematico). – 1. In attuazione dell’articolo 20 della direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio del 15 marzo 2017 sulla lotta contro il terrorismo e che sostituisce la decisione quadro 2002/475/GAI del Consiglio, al fine di garantire strumenti di indagine efficaci tenuto conto delle straordinarie esigenze di contrasto al fenomeno del terrorismo, anche internazionale, per le finalità di accertamento e repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale il termine di conservazione dei dati di traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta, di cui all’articolo 4-bis, commi 1 e 2, del decreto-legge 18 febbraio 2015, n. 7, convertito, con modificazioni, dalla legge 17 aprile 2015, n. 43, è stabilito, in deroga a quanto previsto dall’articolo 132, commi 1 e 1-bis, del decreto legislativo 30 giugno 2003, n. 196, in settantadue mesi.

La direttiva 541 del 2017 va a rimodernare il quadro normativo comunitario in materia di contrasto al terrorismo ed è tesa soprattutto a far fronte a fenomeni quali i foreign fighters e il finanziamento del terrorismo internazionale.

L’articolo 20, in particolare, prevede:

Gli Stati membri adottano le misure necessarie affinché le persone, le unità o i servizi incaricati delle indagini o dell’azione penale per i reati di cui agli articoli da 3 a 12 dispongano di strumenti di indagine efficaci, quali quelli utilizzati contro la criminalità organizzata o altre forme gravi di criminalità.

Come si vede, l’articolo non fa riferimento alla conservazione di dati telematici o telefonici, bensì a “strumenti di indagine”. Gli articoli 3 e 12 prevedono, rispettivamente, reati di terrorismo e connessi ad attività terroristiche. Quindi, il citato articolo 12 ter, in attuazione della direttiva europea per il contrasto al terrorismo, va a modificare, derogando l’attuale normativa (di cui all’art. 132 del Codice Privacy), i termini di conservazione dei dati di traffico telefonico, telematico e delle chiamate senza risposta.

L’articolo 132 recita:

Art. 132. Conservazione di dati di traffico per altre finalità
1. Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico telefonico, sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione.
1-bis. I dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni.

I termini di conservazione dei dati in base all’attuale normativa italiana sono, quindi, questi:

  • 24 mesi per i dati del traffico telefonico.
  • 12 mesi per i dati del traffico telematico.
  • 30 giorni per le chiamate senza risposta.

Se l’articolo 12 ter dovesse essere approvato anche al Senato, i termini sarebbero tutti indistintamente portati a 72 mesi, cioè 6 anni, per tutte e tre le categorie di dati, che dovranno essere forniti dai provider alle autorità statali, in caso di richiesta.

Appare di solare evidenza che vi sarebbe un salto enorme rispetto ai termini precedenti. Ma non è il solo aspetto che occorre tenere in evidenza. Per chiarire meglio occorre fare un passo indietro.

La direttiva Data Retention

Siamo nel 2014, quando la Corte di Giustizia europea (cause riunite C-293/12 e C-593/12) dichiara l’invalidità della direttiva europea n. 2006/24/CE (direttiva Frattini), che, in seguito agli attentati di Londra e Madrid (2004 e 2005), si occupava di armonizzare le disposizioni degli Stati membri dell’Unione in materia di conservazione dei dati delle conversazioni telefoniche e del traffico telematico, garantendo quindi la disponibilità di detti dati a fini di indagine per il perseguimento di gravi reati.

Per comprendere l'atmosfera nella quale è stata scritta la direttiva Data retention, sotto la presidenza inglese, basti ricordare le parole del MEP Alexander Alvaro, che aveva proposto dei correttivi al testo (poi non tenuti in conto nonostante proprio Alvaro fosse il relatore del testo): «usually if you want to breach fundamental rights, you have to justify why you want to do it. We had to justify why we did not want to do it» (Monica Horten, The closing of the net).

Ovviamente, la direttiva non autorizzava la raccolta e la conservazione del contenuto delle conversazioni (consentita solo in presenza di uno specifico mandato dell’autorità giudiziaria) bensì dei cosiddetti metadati.

I metadati (mittente, destinatario, tipo di chiamata, data, durata, dati della cella telefonica, data e ora della connessione e della disconnessione, indirizzi IP, ecc...) sono informazioni che rivelano le nostre relazioni con gli altri (amici, parenti, soci d'affari, amanti), l'incontro con lo psichiatra, il chirurgo plastico, la clinica per aborti, il centro di trattamento dell'AIDS, lo strip club, l'avvocato, l'hotel a ore, la moschea, la sinagoga o la chiesa, il bar gay. I metadati rivelano cosa e chi ci interessa davvero, sono una finestra sulla nostra vita.

Questo è un aspetto importante, perché in Italia per l’acquisizione dei metadati non è richiesto l’intervento di un giudice, ma basta la richiesta del Pubblico Ministero (che è magistratura requirente, non giudicante).

Secondo la Corte europea la direttiva Data Retention trovava un'applicazione generalizzata all'insieme degli utenti e dei mezzi di comunicazione elettronica, senza effettive limitazioni in ragione dell’obiettivo, lo scopo perseguito e le persone coinvolte. Inoltre, mancava un criterio oggettivo sullo scopo da perseguire conservando i dati, facendo un generico riferimento a “reati gravi”, senza ulteriori specificazioni, e la direttiva non stabiliva i presupposti in base ai quali le autorità nazionali possono accedere ai dati raccolti. Infine, la direttiva imponeva un termine di conservazione dei dati non inferiore a sei mesi senza distinzione tra le categorie di dati con riferimento alla gravità dei reati.

Per tutti questi motivi la Corte europea ha dichiarato l’invalidità della direttiva, censurandone la natura non mirata della sorveglianza e la possibilità di accesso indiscriminato ai dati da parte delle autorità. Di fatto si tratta di una censura della sorveglianza digitale di massa consentita in base alla direttiva (si legga qui per una analisi della posizione della Corte europea per i diritti dell’uomo in materia di sorveglianza di massa).

Ovviamente la lotta alla criminalità e il contrasto al terrorismo sono obiettivi di interesse generale, quindi non si censura la raccolta e conservazione di dati, quanto quel tipo di raccolta e accesso ai dati. Per questo motivo alcuni Stati (Germania, Repubblica Ceca, Romania, Bulgaria e Cipro) erano già pervenuti all'annullamento delle rispettive norme in materia, anche prima della pronuncia della CGUE. Altri Stati, invece, tra i quali l’Italia, hanno preferito non attuare modifiche, anche in considerazione del fatto che la sentenza non implica obblighi in tal senso. Anche se i giudici nazionali hanno la possibilità di disapplicare le norme in contrasto con le leggi comunitarie.

Particolarmente interessante appare il caso del provider svedese Banhof, il quale ha ritenuto di adeguarsi alla sentenza della Corte europea cancellando tutti i dati degli utenti e sospendendo qualsiasi conservazione dei dati. Questo perché, in teoria, con le norme in materia che si presentano in contrasto con le norme europee, si potrebbe contestare la violazione della privacy ai provider medesimi.

La Corte di Giustizia europea è poi ritornata sulla questione con una sentenza del 2016, riguardante la normativa del Regno Unito e un caso verificatosi in Svezia. Ricordiamo che la normativa britannica è considerata tra le più invasive nei confronti dei cittadini, imponendo massicci obblighi di conservazione ai provider e enormi poteri di accesso ai dati da parte delle autorità.

La pronuncia del 2016 è particolarmente significativa perché spazza via un argomento portato avanti dall’avvocato generale e sul quale molti Stati si basavano per continuare a imporre ai provider la raccolta dei dati. Secondo l’avvocato generale, infatti, si sarebbe dovuto distinguere tra la conservazione dei dati e l’accesso agli stessi da parte delle autorità, laddove l’accesso ricadrebbe al di fuori dell’ambito di applicazione del diritto dell’Unione (trattandosi di sicurezza interna). La Corte europea, invece, respinge tale approccio precisando che anche l’accesso ai dati è soggetto alla normativa europea, perché vengono conservati proprio per consentire tale accesso alle autorità nazionali competenti (il principio di finalità regge l'intero impianto normativo europeo in materia di data protection)

La Corte ha, quindi, concluso che comunque la normativa europea preclude una raccolta generale e indiscriminata del traffico e dei dati di localizzazione (metadati, appunto), perché non è proporzionata e quindi non può essere giustificata in una società democratica. Ammette, però, la possibilità per i singoli Stati di imporre obblighi di raccolta dei dati per obiettivi specifici al solo fine di repressione o contrasto di reati gravi, purché siano limitati temporalmente ai dati strettamente necessari. Inoltre, aggiunge la Corte, l’accesso ai dati da parte delle autorità deve essere soggetto a specifiche condizioni, incluso il controllo da parte di un giudice o un'autorità indipendente. E i dati devono essere conservati all'interno del territorio dell’Unione.

La sorveglianza non può mai essere generalizzata ma basata su un ordine individualizzato, che quindi identifichi uno o più sospetti, oppure una serie di locali nei quali si presume siano in atto reati. Inoltre, occorre una connessione, basata su criteri oggettivi, tra l’obiettivo perseguito e i dati da conservare.

Sorveglianza in Italia

In Italia è l’articolo 132 del Codice Privacy, sopra citato, che recepisce la direttiva, poi invalidata, e che prevede la conservazione dei dati per finalità di accertamento e repressione dei reati, a prescindere dalla loro gravità. Non vi è, quindi, alcun riferimento al criterio della proporzionalità e gravità del reato come requisito per la conservazione dei dati. Inoltre, la norma consente l’accesso ai dati da parte delle istituzioni senza particolari requisiti. In tale prospettiva, quindi, la norma si presenta in contrasto con quanto statuito dalla Corte di giustizia dell'Unione europea (CGUE).

Lo stesso Garante italiano si era detto contrario alla raccolta di una così grande quantità di dati da conservare per un periodo così lungo, auspicando, quindi, una revisione del sistema “nel segno del principio di proporzionalità e delle garanzie per i cittadini".

Le due sentenze della Corte europea, però, non sono state sufficienti agli Stati dell’Unione per portarli a modificare le proprie normative, rendendole conformi alle norme comunitarie. Piuttosto, con la scusa della recrudescenza di attività terroristiche in Europa, si è preferito ampliare i poteri di intervento delle autorità nazionali.

Per quanto riguarda l’Italia, ad esempio, il termine, previsto dall'art. 132, è stato allungato a seguito del decreto antiterrorismo del 2015 (e successive modifiche), scaduto pochi giorni fa con il ritorno in vigore dell'art. 132. Ma con la legge passata alla Camera, se approvata anche al Senato, questo termine sarà portato a ben 6 anni. La norma individua gli specifici reati (per lo più in materia di terrorismo) per i quali è consentito l’accesso ai dati, ponendosi così nell’ottica di una formale conformità alla sentenza della CGUE. Si tralascia, però, che la Corte europea richieda anche altri requisiti affinché la sorveglianza possa dirsi compatibile con la legislazione comunitaria.

Sulla scorta delle pronunce della CGUE (e della CEDU), infatti, la raccolta di dati dovrebbe essere:

  • Limitata ai dati di una persona sospettata di pianificare, commettere o aver commesso un reato grave o essere in qualche modo implicato in detto crimine;
  • Limitata temporalmente al periodo dell’indagine;
  • I dati devono essere distrutti al termine del periodo di conservazione;
  • L’accesso deve essere autorizzato dall'autorità giudiziaria (preferibilmente) o da un’autorità indipendente;
  • L’accesso ai dati deve essere comunicato ai soggetti appena tale comunicazione non mette più in pericolo l’indagine;
  • E deve essere prevista la possibilità di ricorso in caso di abusi.
Commento del Parlamentare europeo Sophie in't Veld

 

Foto in anteprima via outraspalavras.net

Segnala un errore
LINEE GUIDA AI COMMENTI