Dati personali e sicurezza nazionale: una storica sentenza europea in tema di sorveglianza digitale

La Corte di giustizia europea nel suo comunicato afferma come la conservazione generale e indiscriminata di tali dati può essere consentita solo quando i governi affrontano una concreta e grave minaccia alla sicurezza nazionale

0
1008
Indice

Nella vita reale, è sempre l’incudine a rompere il martello.
(George Orwell)
È di poche settimane fa la pronuncia della Corte di Giustizia dell’Unione europea che individua nella sorveglianza di massa illimitata di dati telefonici e internet una pratica illegale. Una decisa e precisa presa di posizione che potrebbe limitare fortemente i poteri delle agenzie di intelligence dei Paesi UE.
L’indiscriminata raccolta e conservazione dei dati personali – identità, indirizzi IP, etc – da parte degli operatori teleco e di quelli operanti nel settore internet, confligge apertamente con il diritto dell’Unione che si oppone a questo tipo di disposizioni, fatti salvi i giustificati motivi di grave minaccia alla sicurezza nazionale e, in particolare, con la Direttiva Ue sulla privacy nelle comunicazioni elettroniche.
La sentenza della Corte è il risultato del lavoro svolto su quattro casi specifici accaduti in Francia, Belgio e UK, e sui quali gli stessi governi chiesero l’estensione degli strumenti di sorveglianza a tutela dei propri cittadini; un giudizio chiaro, ove si ribadisce un concetto troppo spesso dimenticato: “l’interferenza con i diritti fondamentali dei cittadini deve essere sempre accompagnata da garanzie efficaci ed esaminata da un tribunale o da un’autorità amministrativa di garanzia indipendente […]” .
Parliamo della raccolta e conservazione generalizzata di dati personali da parte delle società di telefonia e degli internet provider, effettuata per motivi di polizia giudiziaria e intelligence.
Una difesa del diritto alla privacy all’interno dell’Unione che rischia di riverberarsi concretamente anche al di fuori dei confini domestici, riflettendosi, ad esempio, sui governi degli Stati Uniti e della Cina, le due potenze che hanno amplificato, più di altri – e a dismisura – gli strumenti di sorveglianza tecnologica, in nome della sicurezza nazionale.
La Corte di giustizia europea nel suo comunicato afferma come la conservazione generale e indiscriminata di tali dati può essere consentita solo quando i governi affrontano una concreta e grave minaccia alla sicurezza nazionale.
Infatti, solo in questa tipica e stringente situazione è consentito il pieno accesso ai dati telefonici e al traffico dati degli utenti, che va comunque limitato al solo periodo strettamente necessario e mai procrastinato oltre il consentito.
Una decisione che sottolinea, marcatamente, come nessun governo debba mai essere né al di fuori, né al di sopra della legge ma, principalmente, come le moderne democrazie debbano porre limitazioni e controlli ai poteri di sorveglianza nelle attività investigative. Nella valutazione complessiva, oltre a ciò, i giudici rammentano come tutti i tribunali nazionali non dovranno mai tener conto di tutte le informazioni raccolte dalle autorità che non rispettano i principi enunciati nella sentenza.
Tuttavia, nel dispositivo si è lasciato ampio spazio all’interpretazione proprio dei principi esposti nel giudizio di merito, in quanto spetterà agli Stati membri dell’Unione definire meglio cosa sia e quando si concretizzi una grave minaccia per la sicurezza nazionale.
Peraltro, secondo la decisione della Corte, solo le persone gravemente sospettate di coinvolgimento in attività terroristiche potranno essere “spiate” online e pedinate in real time, anche oltre i limiti di tempo stabiliti, sempre e solo in rapporto al perdurare dello stato di effettiva minaccia.
Sul punto osserviamo come questa decisione arrivi, temporalmente, in un momento particolare per le istituzioni europee, impegnate nella stesura della nuova normativa e-privacy, che definirà i diritti e le condizioni del trattamento e la protezione dei dati personali, nella fattispecie delle comunicazioni elettroniche.
Il nuovo Regolamento e-privacy è impostato per completare l’apparato giuridico comunitario sulla privacy dei dati, composto anche dal Regolamento generale sulla protezione dei dati GDPR, adottato definitivamente nel 2018.
Orbene, sulla scorta dei pronunciamenti sin qui analizzati, proviamo a focalizzare la quaestio traslandola sul delicato tema del trattamento dati effettuato con strumenti Telco nell’emergenza da Covid-19: la pandemia ci porterà ad una surveillance di massa generalizzata, argomentandola con motivazioni di sicurezza nazionale?
Anche perché, facendo leva proprio sulle tecnologie applicative, in modo particolare sul tracciamento digitale, si apriranno una serie di interrogativi oggettivi sui limiti tra la privacy e la necessità di un utilizzo sproporzionato di dati personali, nell’ipotetico tentativo di rallentare questa particolare epidemia.
Del resto sappiamo benissimo che per arrestare la diffusione del Coronavirus, impedendo l’effetto domino dei contagi, l’unica strada resta, obtorto collo, un controllo collettivo sistematico, perché questa emergenza sanitaria  oltre agli effetti clinici – sta avendo, e continuerà ad avere, effetti devastanti sull’economia nazionale, e dunque i controlli di polizia e di intelligence, potrebbero rappresentare uno degli strumenti di cui lo stato si serve – sempre a fini di sicurezza nazionale – per raccogliere, custodire e diffondere ai soggetti interessati, siano essi pubblici o privati, le informazioni rilevanti per la tutela della sicurezza delle istituzioni, dei cittadini e delle imprese (fattore di sicurezza economica).
Ed è proprio su questo indirizzo tecnologico – oltre al tracciamento sanitario manuale – che si stanno muovendo tutti i governi nazionali colpiti dalla pandemia. Ad esempio, delle tante misure tecnologiche di contrasto al Codid-19 utilizzate in diverse parti del mondo, talune sono altamente invasive della privacy: nello Stato thailandese, chi rientra provenendo dalle aree classificate SARS-Cov-2 Risk deve scaricare obbligatoriamente un’applicazione che consentirà alle autorità di polizia di monitorare i propri spostamenti durante il periodo di quarantena; procedure analoghe nella città di Hong Kong, dove il governo per far rispettare la quarantena si avvale di App interfacciate a tecnologie indossabili come il braccialetto elettronico. O come l’App utilizzata dal dipartimento polacco degli Affari Digitali, che richiede ai cittadini posti in quarantena di inviare alle autorità di polizia un selfie geolocalizzato – sintetizzando facial recognition e contact tracing – in orari random durante l’arco dell’intera giornata.
Nell’esempio polacco si utilizza un sistema altamente lesivo della sfera privacy, perché si controlla sia l’identità della persona, utilizzando la tecnica del riconoscimento facciale, sia la reale posizione geografica dell’utenza telefonica mobile, una combinazione che replica tecnologicamente in sé, di fatto, quello che altrimenti sarebbe un vero controllo di polizia.
A questo punto la domanda è: esiste un compromesso tra il diritto alla privacy e quello della salute pubblica?
Rileggendo le sentenze della Corte di Giustizia, possiamo affermare che molte di queste misure, mutuate possibilmente anche ai fini di una sicurezza nazionale “a latere”, siano momentaneamente necessarie, trovando il giusto equilibrio tra i due diritti, proprio nella compressione temporale della sfera privacy a tutto vantaggio della salvaguardia della salute pubblica.
Una compressione del diritto alla riservatezza che nel sistema giuridico europeo rappresenta uno status di rango elevato, quale garanzia fondamentale dell’individuo; una tutela tendenzialmente opposta, invece, al sistema statunitense, dove il trattamento dei dati personali rappresenta un “bene” che può essere scambiato con altri, in un approccio tipico dei sistemi utilitaristici.
Ebbene, se la tecnologia di tracciamento dei contatti può essere un utile supporto al contenimento – ipotetico – dei contagi, allora andrà utilizzata come complemento ai test medici, al tracciamento sanitario effettuato manualmente nelle strutture sanitarie: perché se ci affidassimo esclusivamente alla sorveglianza di massa, beh, questa sarebbe la soluzione ultima meno incisiva per contrastare l’epidemia!
Del resto, a supporto di quanto detto sin qui, anche lo European Data Protection Board – EDPB -, si è espresso sull’argomento trattamento dei dati personali in emergenza pandemica, peraltro pubblicando una quick guide, riaffermando come il Regolamento GDPR non ostacoli tutte quelle misure eccezionali e temporanee adottabili nel contrasto della diffusione del Coronavirus, evidenziando come i dati personali vadano protetti, e come l’emergenza rappresenti una condizione pubblica validata all’interno del dettato normativo, legittimandone appunto, le restrizioni delle libertà, a condizione però, che tali compressioni dei diritti siano proporzionate e strettamente circoscritte al periodo emergenziale.
Per concludere, ci troviamo nuovamente davanti al già discusso problema dell’umanesimo digitale, legato all’etica degli algoritmi contenuti nelle App di tracciamento, questione che nel prossimo futuro ci confronterà sempre di più con l’etica legata al modo digitalizzato della medicina, dovendo definire cosa sarà socialmente accettabile, definito e legalmente riconosciuto, altrimenti si correrà il rischio – come sta già accadendo in questa emergenza pandemica – di ritrovarci delle tecnologie mal gestite, fuorvianti e dannose per la sanità stessa!
Dunque, sviluppare e utilizzare nuove tecnologie cd. socialmente accettabili, fortemente impattanti sulla sfera della privacy, pone questioni etiche che vanno ben oltre gli hardware e software utilizzati, rendendo necessaria una riflessione, tanto filosofica quanto concreta, sulla nostra identità digitale: quale impatto avrà – sociale, personale, salute, lavoro, etc. – una raccolta indiscriminata di dati personali sulla vita di un essere umano?
Tecnologie IoMT che nel perimetro sanitario solleveranno sempre di più importanti impatti nella sfera personale dell’individuo; nuove tecniche che ci condurranno verso la cd. medicina di precisione, che avrà come scopo ultimo la focalizzazione di cure mediche incentrate sulle caratteristiche genetiche del paziente e calibrate sul suo stile di vita.
Si potrà insomma gestire una montagna di dati personali, che se usati in maniera illegittima, quanto illegale, diverranno un potenziale fattore discriminante, ad esempio, nell’ambiente di lavoro, nei rapporti con le istituzioni, ma più in generale nei rapporti sociali.