Data retention: la Corte Ue blocca l’accordo col Canada su raccolta dati dei viaggiatori in aereo

[Tempo di lettura stimato: 4 minuti]

Il 26 luglio la Corte di Giustizia dell'Unione europea è tornata sull'annoso problema della data retention, pronunciandosi sull’accordo tra Unione europea e Canada relativo alla raccolta dei dati dei codici di prenotazione dei viaggiatori aerei (Passengers name records, PNR) e sulla loro condivisione. I PNR, occorre ricordarlo, sono riconosciuti tra le categorie più sensibili di informazioni personali, potendo contenere dati sulle condizioni mediche, le disabilità, i mezzi di pagamento, l’indirizzo, i contatti di emergenze, l’indirizzo IP (se si prenota online), e così via.

Abbiamo già spiegato in un altro articolo che la Direttiva PNR, approvata nell'aprile del 2016, è una normativa che obbliga le compagnie aeree a raccogliere e condividere con le autorità i dati dei passeggeri dei voli da paesi terzi verso la UE e viceversa (uno Stato membro può però estendere la medesima normativa anche ai voli intra-UE, previa notifica alla Commissione). La direttiva consente alle autorità di “valutare” i passeggeri in base ai dati raccolti. I dati sono conservati per un periodo di 5 anni, ma trascorsi 6 mesi alcuni di questi devono essere anonimizzati per mascheratura. Dopo i 6 mesi è consentito accedere ai PNR integrali solo tramite ordine di un magistrato.

In verità, già prima le compagnie aeree raccoglievano i dati dei passeggeri (anche a fini commerciali), ma con la direttiva PNR la raccolta va ben oltre quanto avveniva precedentemente, con un aumento della quantità di dati raccolti. Perché? Perché se lo strumento (la sorveglianza) deve essere applicato a un numero sempre maggiore di problemi, senza sapere esattamente quali eventi futuri dovrai affrontare, la soluzione migliore è raccogliere tutti i dati, poi si vedrà quali servono.

Anche prima della PNR l’Europa aveva accordi di trasferimento dati PNR con Australia, Stati Uniti e Canada. In pratica la schedatura riguarda Usa ed Europa, e non paesi come il Pakistan, la Turchia, l’Africa. L’accordo con il Canada è stato inviato alla Corte europea per una analisi preliminare.

Con il parere del 26 luglio (qui il comunicato della Commissione) la Corte blocca l’accordo col Canada, ritenendolo nella sua attuale forma incompatibile con la normativa europea. Per la terza volta (la prima volta nel 2014, invalidando la Direttiva Data Retention, la seconda nel 2016, sulla snooper charter britannica) la CGUE stabilisce che la raccolta e conservazione indiscriminata di dati (quindi, la profilazione) di individui è illegale nell'Unione europea.

I dati PNR sono dipinti come potenzialmente utili per scopi definiti vagamente come prevenzione, indagini e repressione del terrorismo e reati gravi. La Corte evidenzia che il trasferimento di dati sensibili (razza, etnia, opinioni politiche, religiose, salute, sesso, ecc) al Canada non appare giustificato sufficientemente. E non risultano criteri adeguati per regolamentare l’uso dei dati nel territorio canadese, e quindi evitare possibili abusi, suggerendo che il trasferimento sia subordinato all’ordine di un magistrato o di un ente indipendente, tranne i casi di urgenza.

In conclusione, secondo la Corte la condivisione dei dati tra UE e Canada non rispetta i criteri di “necessità e proporzionalità” essenziali per una restrizione del diritto fondamentale dei cittadini alla tutela dei dati personali.

Secondo la Corte europea perché l'accordo sia compatibile con le norme dell'Unione occorre:

  • Stabilire in maniera precisa i dati trasferibili.
  • Fissare criteri specifici, affidabili e non discriminatori per il trattamento automatizzato dei dati.
  • Prevedere che i dati utilizzati dal Canada siano limitati alla prevenzione e repressione del terrorismo e gravi reati.
  • Prevedere che le autorità canadesi possano trasferire dati a terzi Stati solo in presenza di specifico accordo del terzo con l’Unione europea.
  • Prevedere un diritto di avviso per i passeggeri in caso di utilizzo dei loro PNR durante il soggiorno nel Canada, dopo la partenza e nel caso di trasferimento a terzi.
  • Garantire una supervisione da parte di un’autorità indipendente.
  •  

    A seguito della sentenza potrebbero essere rivisti anche gli esistenti accordi con gli Usa e l’Australia. L’accordo con gli Stati Uniti, che prevede un termine di conservazione dei dati PNR di 15 anni, non nasce tanto per consentire alle autorità europee di accedere ai dati (i PNR sono per lo più detenuti da aziende situate negli Usa), quanto piuttosto dall'esigenza di sanare la violazione delle norme europee a seguito dell’invio dei dati all’NSA. Negli Usa i PNR sono utilizzati per la schedatura dei cittadini da parte dell’NSA e del DHS (Dipartimento Homeland Security), assegnando una categoria (alto, medio, basso rischio e rischio sconosciuto) in base ad una analisi algoritmica (Automated Targeting System) al fine di scovare comportamenti devianti. I soggetti ad alto rischio subiscono controlli invasivi, o addirittura si vedono negare l’imbarco senza alcuna giustificazione. Il Dipartimento dei trasporti, infatti, è soggetto costantemente a richieste di risarcimento danni per i controlli eccessivi.

    Quella della Corte europea è un parere fondamentale, specialmente in un momento storico nel quale vari paesi europei stanno spingendo per l’approvazione di norme tese unicamente all'estensione della profilazione dei cittadini. Oggi la sorveglianza non ha più nulla a che fare con la prevenzione o repressione dei reati, gravi o no, quanto piuttosto è un’operazione estesa di data mining ai fini di profilare la popolazione per individuare statisticamente un soggetto che potrebbe essere più “predisposto” a commettere reati in futuro (pre-crimine, vedi anche Paura, controllo, sorveglianza digitale: benvenuti nell’era della società pre-crimine). Non si tratta di scovare i terroristi, quanto piuttosto di etichettare statisticamente (nella direttiva di parla di “valutazione”) gli individui in base a meri algoritmi. Il risvolto complementare è la criminalizzazione dei comportamenti antisociali, dagli espropriati ai senzatetto, dai migranti agli extracomunitari, dai predatori sessuali ai drogati, agli agitatori, fino ai giovani indisciplinati e gli studenti che manifestano nelle piazze.

    La pericolosità di tali forme di schedatura sta nel fatto che gli algoritmi sono scatole nere, black box (F. Pasquale, The black box society), delle quali non conosciamo il funzionamento e quindi non possiamo questionare i risultati. Ci dobbiamo fidare e basta. Il controllo, la verifica, la valutazione è basata sull’utilizzo indiscriminato di tecnologie senza preoccuparsi troppo dei rischi connessi. Il fascino della sorveglianza digitale è enorme, un controllo in real time che dà ai governanti la sensazione (e ai cittadini l’illusione) di una risposta immediata. Merce spendibile in campagna elettorale.

    Un’ultima considerazione. Appare decisamente strano che nell'epoca in cui si spinge enormemente sull'estensione del diritto all’oblio (anche in Italia ogni tanto rispuntano norme che vogliono assegnare al Garante Privacy il potere di obbligare i provider a cancellare contenuti), le autorità statali si riservano il diritto di non dimenticare più nulla, raccogliendo sempre più dati dei cittadini, e conservandoli per periodi sempre più lunghi. In Italia è proprio di questi giorni una proposta normativa che estende la data retention addirittura a 6 anni.

    Foto anteprima via anyaberkut/Fotolia

    Segnala un errore
    LINEE GUIDA AI COMMENTI