Sorveglianza di massa

A partire dalle rivelazioni di Edward Snowden, la sorveglianza di massa è entrata di prepotenza nelle discussioni dei cittadini e quindi di conseguenza nell’agenda politica di tutti gli Stati. Invece di concedere maggiore attenzione alla privacy, i governi hanno aumentato le attività di monitoraggio dei cittadini a fini della prevenzione di reati e del terrorismo (e non solo). Di contro sono ovviamente aumentate le preoccupazioni dei cittadini, oggi più consapevoli, per le modalità di attuazione di tali misure preventive.

I programmi di controllo e sorveglianza si stanno estendendo anche all’Europa, dove la Francia ha adottato leggi che consentono maggiori poteri di controllo alla polizia anche in assenza di verifica giudiziaria, la Germania ha emanato una nuova legge in materia di conservazione dei dati da parte dei provider, l’Austria ha in discussione una nuova legge che permetterebbe la conservazione dei dati fino a 6 anni e in particolare il Regno Unito ha in discussione nuove e più stringenti norme (Investigatory Powers Bill) che prevedono nuove misure preventive di sorveglianza dei cittadini e un fitto scambio di informazioni con le agenzie di sicurezza americane.

Attivisti e associazioni per i diritti civili hanno, quindi, portato la questione dinanzi alle massime autorità giurisdizionali, Corte di Giustizia (che ha annullato la direttiva Data Retention) e Corte Europea dei diritti dell’Uomo (CEDU), sostenendo che i programmi britannici violano la Convenzione. L’obiettivo è una pronuncia che ponga fine alle velleità di alcuni Stati, fissando dei paletti ben determinati alla capacità sempre crescente dei governi di raccogliere informazioni sui propri cittadini da utilizzare in casi futuri.

Corte europea dei diritti dell’uomo

Attualmente pendono vari casi dinanzi alla CEDU, che riguardano i programmi di sorveglianza britannici, in uno di questi (24960/15, 10 Human Rights Organizations e altri contro Regno Unito) è intervenuta anche EPIC (Electronic Privacy Information Center), l’organizzazione per i diritti umani con sede a Washington. Le organizzazioni per i diritti umani, i ricorrenti, sostengono che i programmi di sorveglianza britannici e le agenzie di sicurezza americane violino i diritti alla privacy e la libertà di espressione dei cittadini ed EPIC interviene esponendo le capacità di sorveglianza dell’NSA e l’impatto delle recenti modifiche normative statunitensi. Secondo EPIC, l’NSA raccoglie dati anche di soggetti non americani e li tratta senza le adeguate misure di tutela.

In attesa di una pronuncia sui programmi britannici in collegamento con gli americani, in realtà due recenti sentenze della CEDU sembrano già fornirci tutti gli elementi per una valutazione dei programmi gestiti secondo le modalità tipiche dell’NSA, e quindi anche del programma Tempora del Regno Unito.
Si tratta delle sentenze Zakharov contro Russia (47143/06), resa a dicembre del 2015, e soprattutto quella Szabo e Vissy contro Ungheria (37138/14), del gennaio 2016, nelle quali la CEDU stabilisce che i due governi incriminati hanno violato il diritto al rispetto della vita privata e della corrispondenza, come previsto dall’articolo 8 della Convenzione.

Quadro normativo

L’attuale quadro normativo in materia si può così sintetizzare.

La Convenzione per la protezione degli individui con riferimento al trattamento automatico dei dati personali (Convenzione 108), emanata nel 1981 dal Consiglio d’Europa, è il primo strumento cogente in materia. In particolare l’articolo 8 prevede che ogni individuo ha il diritto di conoscere l’esistenza di un casellario automatizzato di dati personali, le sue finalità e i dati del responsabile del casellario, nonché il diritto di ottenere la rettifica dei suoi dati o la cancellazione qualora siano stati elaborati in violazione delle disposizioni. E infine, il diritto a disporre di una procedura di ricorso per la tutela dei suoi diritti in relazione ai dati raccolti e conservati.

L’articolo 9 sancisce la possibilità di imporre limitazioni alla tutela degli individui in casi specifici, e cioè la deroga deve essere prevista dal diritto e costituire una misura necessaria in una società democratica alla protezione della sicurezza dello Stato, alla sicurezza pubblica, agli interessi monetari dello Stato o alla repressione dei reati oppure alla protezione della persona interessata e dei diritti e delle libertà altrui.

Il Protocollo addizionale alla Convenzione 108 (CETS 181) stabilisce che gli Stati firmatari devono provvedere all’istituzione di autorità con poteri di investigazione e di intervento, alle quali i cittadini possono rivolgersi per le violazioni dei loro diritti in materia di dati personali. Queste autorità devono essere indipendenti.

La risoluzione 68/167 dell’ONU, adottata nel dicembre del 2013, sul diritto alla privacy nell’era digitale, nell’esprimere profonda preoccupazione sull’impatto negativo che la sorveglianza e l'intercettazione delle comunicazioni può avere sui diritti umani, richiama gli Stati a rivedere le procedure e le norme in materia di intercettazioni, raccolta e conservazione di dati, al fine di rafforzare la tutela dei diritti umani. Inoltre chiede agli Stati di istituire meccanismi specifici per una maggiore trasparenza e responsabilità degli Stati in materia di sorveglianza delle comunicazioni.

La Raccomandazione del Comitato dei Ministri del Consiglio d’Europa del 1987 sancisce che la raccolta di dati per finalità di polizia deve essere limitata ai dati necessari per la prevenzione di pericoli reali (real danger) e per la repressione di specifici reati. Inoltre qualora i dati personali siano stati raccolti e conservati, l’individuo titolare dei dati dovrebbe essere informato appena tale comunicazione non possa più nuocere alle indagini in corso. La comunicazione ad altri enti pubblici dovrebbe essere ammessa solo in presenza di una specifica norma o autorizzazione oppure se tali dati sono indispensabili per la prevenzione di pericoli imminenti.
Restrizioni al diritto di accesso ai dati, o al diritto di rettificazione o di cancellazione, dovrebbero essere limitate ai casi in cui tali limiti siano necessari per gli scopi di polizia, e comunque il soggetto deve poter ricorrere ad una autorità indipendente che verifichi se il rifiuto è legittimo.

La Raccomandazione del Comitato dei Ministri del 7 febbraio 1995 prevede che le interferenze nelle comunicazioni, compreso l’uso di strumenti di ascolto o di intercettazione o altri strumenti di sorveglianza, sono ammissibili solo se previsti dalla legge e costituiscono una misura necessaria in una società democratica al fine di proteggere la sicurezza pubblica, la sanità pubblica, gli interessi economici dello Stato e per la prevenzione di reati. In ogni caso lo Stato deve garantire la possibilità di accesso ai dati e il diritto di rettifica, e la possibilità di ricorrere ad un organismo indipendente in caso di rifiuto di accesso o rettifica.

La Risoluzione del Consiglio d’Europa del 17 gennaio 1995 (96/C 329/01) sull’intercettazione legale delle telecomunicazioni, tratta i requisiti per i servizi di intercettazione legale delle telecomunicazioni, requisiti soggetti alla normativa nazionali.
In base alla normativa i servizi legalmente autorizzati richiedono che le telecomunicazioni siano rese accessibili, ma non possono essergli inviate telecomunicazioni non comprese nell’autorizzazione relativa all'intercettazione. Essi richiedono la facoltà di operare controlli permanenti in tempo reale, per intercettare la trasmissione di telecomunicazioni. Nel caso in cui non possano essere messi a disposizione i dati in tempo reale, i servizi legalmente autorizzati richiedono di disporne nel più breve tempo possibile dal termine della chiamata.

I servizi legalmente autorizzati richiedono agli operatori di rete o fornitori di servizi, di fornire una o più interfacce dalle quali le comunicazioni intercettate possono essere trasmesse alla sezione di monitoraggio dei servizi. L’intercettazione è progettata e posta in atto in modo tale da precludere l'utilizzazione non autorizzata o impropria e comunque da proteggere le informazioni relative all'intercettazione. Gli operatori di rete o fornitori di servizi devono proteggere le informazioni relative all’intercettazione oltre che i dati dell’intercettazione stessa. Le informazioni vanno inviate esclusivamente alla sezione monitoraggio designata nell’autorizzazione.

Questi requisiti sono stati poi confermati dalla Risoluzione del Consiglio n. 9194/01 del 20 giugno 2001.

La posizione della CEDU

Nelle pronunce aventi ad oggetto le misure di sorveglianza e di intercettazione, e in particolare nelle due sopra citate, la Corte valuta che la conservazione dei dati al fine di renderli disponibili per scopi di indagine in un momento successivo, costituisce interferenza con i diritti fondamentali, in particolare con il diritto al rispetto della vita privata e alla protezione dei dati personali ai sensi dell’art. 8 della Carta.
Anche l’accesso delle autorità nazionali competenti ai dati degli individui costituisce una interferenza con i diritti fondamentali.

Tale interferenza appare particolarmente grave nel momento in cui i dati vengono conservati e successivamente utilizzati senza che l’utente titolare dei dati sappia di essere stato registrato. Questa circostanza genera nell'individuo la sensazione che la sua vita privata sia oggetto di costante sorveglianza.

In questa prospettiva occorre tenere conto dei diversi studi (studio tedesco di otto anni fa, e uno più recente del Washington Post) che hanno evidenziato gli effetti negativi della sorveglianza di massa sugli individui.

Vero è che l’interferenza soddisfa un obiettivo di interesse generale, cioè contribuire alla lotta contro il terrorismo e gravi reati, e quindi per la sicurezza pubblica, ma occorre valutare rigorosamente il requisito della proporzionalità.

Quindi, la Corte sostiene che ogni interferenza sui diritti fondamentali del cittadino può essere giustificata solo se è prevista espressamente dalla legislazione, persegue degli obiettivi legittimi come previsti dall’articolo 8 della Convenzione, ed è necessaria in una società democratica per raggiungere i detti obiettivi.
La normativa specifica deve essere accessibile alle persone e comprensibile nel suo significato e nella possibilità di prevederne le conseguenze.

Nell’ambito della sorveglianza, il concetto di “prevedibilità” non significa che l’individuo deve essere in grado di prevedere quando è soggetto a monitoraggio, quanto piuttosto, considerato che un potere esercitato in segreto può portare facilmente ad abusi, è necessario che le norme riguardanti le procedure di intercettazione indichino la portata di tale potere discrezionale e siano chiare e dettagliate, in modo che i cittadini possano avere una precisa idea delle circostanze nelle quali l’autorità pubblica può ricorrere agli strumenti di sorveglianza.

La legge, inoltre, deve precisare gli obiettivi per le quali le autorità possono ricorrere a strumenti estremamente invasivi come quelli di monitoraggio ed intercettazione, e regolare le modalità di esercizio con sufficiente precisione, in modo da conferire ai cittadini una protezione adeguata contro qualsiasi abuso.

La normativa dovrebbe stabilire termini di scadenza per le autorizzazioni delle misure di sorveglianza. Inoltre deve prevedere regole chiare che disciplinino il deposito, l’utilizzo e la comunicazione dei dati intercettati, riducendo al minimo i rischi di accesso o divulgazione non autorizzata ai dati. La Corte ritiene essenziale anche la previsione di un obbligo di cancellazione dei dati non pertinenti allo scopo dell’intercettazione.

L’interferenza deve risultare necessaria in una società democratica, per perseguire un legittimo obiettivo, cioè occorre ritenere non solo che debba essere necessaria per la salvaguardia delle istituzioni democratiche ma nella sentenza Szabo e Vissy viene rimarcato un requisito del tutto nuovo:

la misura di sorveglianza deve essere strettamente necessaria per l’ottenimento di informazioni vitali in quella specifica operazione.

È fondamentale che vi sia un corretto bilanciamento tra i diritti contrapposti, da un lato la sicurezza pubblica, dall’altro i diritti fondamentali dei cittadini. La proporzionalità agli scopi legittimi perseguiti deve essere valutata avendo in considerazione tutte le circostanze del caso, quindi la natura, la portata e la durata delle misure che determinano l’interferenza, i motivi alla base dell’autorizzazione, le autorità competenti, e il rimedio previsto dalla legge nazionale.
Il requisito della proporzionalità implica la verifica della possibilità di raggiungere l’obiettivo con mezzi meno invasivi, nella quale ipotesi la misura di sorveglianza risulta sproporzionata.

La Corte ritiene ammissibili anche le misure di sorveglianza applicate a individui non sospettati di nulla, ma in possesso di informazioni inerenti reati, però in tali casi la valutazione della proporzionalità deve essere più rigorosa.

Per quanto riguarda le misure di supervisione, considerato che al momento in cui viene ordinata la misura di sorveglianza e quando viene attuata, l’individuo sotto controllo non è a conoscenza della misura, è essenziale che nella fase successiva, cioè al termine del monitoraggio, le misure di supervisione siano in grado di fornire garanzie adeguate. Il controllo giurisdizionale ha lo scopo di limitare il potere discrezionale della autorità preposte ad ordinare le misure di sorveglianza, verificando se sussistevano motivi sufficienti per l’attuazione della misura.

In tale prospettiva è anche essenziale la previsione di un obbligo di notificazione all'individuo dell’applicazione di misure di sorveglianza, ovviamente da attuarsi nel momento in cui tale notifica non è più pregiudizievole per il controllo, obbligo che è propedeutico alla verifica della misura.
Anche se l’autorità competente ad autorizzare le misure di sorveglianza può esser un’autorità amministrativa, purché indipendente, in un campo in cui l’abuso è potenzialmente più facile, trattandosi appunto di misure ordinate ed applicate in segreto, è in linea di principio auspicabile affidare il controllo di vigilanza a un giudice, poiché il controllo giudiziario offre le migliori garanzie di indipendenza, imparzialità e un procedura equa. Ed è pacifico che all’organismo che ha autorizzato la misura non può essere demandato anche il controllo sull’attuazione della medesima misura.

La CEDU precisa che un governo può intercettare le comunicazioni di un cittadino solo se l'organismo che autorizza la misura accerta che esiste un “ragionevole sospetto” sull’esistenza di irregolarità da parte della persona interessata.

E, infine, la Corte ritiene essenziale l’individualizzazione dell’autorizzazione.

Per essere legittima la sorveglianza deve essere mirata, e non può essere generalizzata, cioè l’ordine deve identificare chiaramente una determinata persona oppure un insieme di locali, identificazione che può essere fatta da nomi, indirizzi, numeri di telefono o altre specifiche informazioni.

Conclusioni

In estrema sintesi, dall’esame delle argomentazioni della Corte nelle varie sentenze in materia, si possono ricavare i seguenti requisiti per considerare legittimo il monitoraggio degli individui:

• La misura restrittiva deve essere prevista espressamente da una legge
• La misura deve essere necessaria in una società democratica per raggiungere degli scopi legittimi previsti e deve essere l’unico mezzo possibile per raggiungere tale scopo
• La misura di sorveglianza deve essere mirata e non può riguardare un insieme indiscriminato di individui
• La legge deve prevedere criteri oggettivi con i quali determinare i reati che giustifichino una tale vasta interferenza con i diritti fondamentali
• L’accesso ai dati conservati, da parte della autorità nazionali competenti, deve dipendere da un esame preliminare effettuato da un organismo indipendente
• Il periodo di conservazione dei dati deve essere graduato in base alla possibile utilità per gli scopi conseguiti
• Devono essere fornite garanzie sufficienti contro il rischio di abusi e di accessi non autorizzati e utilizzi illegittimi dei dati conservati
• Il soggetto posto sotto sorveglianza dovrebbe ricevere una comunicazione del fatto di essere stato sorvegliato, nel momento in cui tale comunicazione non pregiudica più la sorveglianza
• Il soggetto posto sotto sorveglianza deve avere la possibilità di rivolgersi ad un organismo indipendente per far valere i propri diritti

Insomma, secondo la CEDU, in considerazione del fatto che un sistema di sorveglianza istituito per difendere la sicurezza nazionale, è potenzialmente in grado di distruggere la democrazia, con la scusa di difenderla, è essenziale che esistano adeguate ed effettive garanzie contro ogni forma di abuso. E in particolare ogni forma di raccolta indiscriminata di dati dei cittadini (quindi non individualizzata) con conservazione per scopi futuri, deve ritenersi illegale in Europa. Ed è proprio quest’ultimo aspetto che renderebbe illegale in Europa i programmi di sorveglianza dell’NSA, ma anche probabilmente il programma TEMPORA attivato nel Regno Unito.