La National Security Agency, l’agenzia di servizi segreti americani, ha colpito il centro nevralgico di direzione dell’intelligence europea. “Le nuove tecnologie digitali non vengono usate semplicemente per l’accumulazione di informazioni ma anche come veri e propri strumenti di guerra”,  siamo “in presenza di una crescente capacità di fare danni senza alcuna struttura di regolazione”, questo il monito dell’ex premier Romano Prodi. Le questioni legate alla sorveglianza e al controllo sulle persone inevitabilmente intaccano gli aspetti più rilevanti della struttura dell’organizzazione sociale. Ciò nel senso che “esiste un inscindibile rapporto tra sorveglianza e libertà; tra controllo e autonomia della persona; tra vigilanza e rispetto della dignità umana” (1)

In questo scenario dai contorni quanto mai grigi e incerti, il presidente francese François Hollande e la cancelliera tedesca Angela Merkel hanno avanzato l’ipotesi di procedere a una “rinegoziazione” dei rapporti di intelligence tra l’Europa e il partner d’oltreoceano, riscontrando il consenso unanime degli altri Paesi dell’Ue. Si profila il rischio di “default” per l’amministrazione Obama e a tutti i meccanismi di governo e gestione dei dati personali (un “codice di condotta come definito dallo stesso Hollande).

In tale prospettiva, i Capi di Stato e di Governo lo scorso 25 ottobre si sono riuniti per procedere a una sottoscrizione della dichiarazione congiunta in riferimento alle recenti notizie sulle intercettazioni telefoniche condotte dagli Stati Uniti, in particolare allo “stretto rapporto tra l’Europa e gli Stati Uniti e il valore di tale partenariato” e si esprime la “convinzione che il partenariato deve basarsi sul rispetto e sulla fiducia, anche per quanto riguarda il lavoro e la cooperazione dei servizi segreti”. Sottolineando che “la raccolta di intelligence è un elemento essenziale nella lotta contro il terrorismo” (come d’altronde afferma la stessa amministrazione Obama: favorire il data mining (2) per motivi di sicurezza nazionale) e che “ciò vale per le relazioni tra i Paesi europei oltre che per le relazioni con gli Stati Uniti”, i firmatari sostengono che “una mancanza di fiducia potrebbe pregiudicare la cooperazione necessaria nel settore”.

Nel caso Verizon, gestore telefonico, la NSA riuscì a ottenere un’ordinanza segreta per raccogliere dati sulle telefonate dei propri utenti (nel periodo dal 25 aprile al 19 luglio 2013) e il controllo del traffico dati sui server di diverse compagnie internet di primo piano (colossi come Microsoft, Yahoo!, Aol, ma anche Facebook, Google, Apple e altre). La NSA procedeva alla raccolta dati dei clienti Verizon, in particolare numeri telefonici, orari, data e luoghi delle conversazioni, durata e codici identificativi dei telefoni: non si trattava di intercettazioni. La raccolta dati sfruttava quelle situazioni definite di alegality, cioè circostanze non completamente legali ma che risultano essere disciplinate dall’ordinamento giuridico internazionale; situazioni rientranti nella delicata questione della privacy e al monitoraggio del traffico in rete. La prima fondamentale fonte di diritto internazionale che riconosce il diritto alla privacy è la Convenzione europea dei diritti umani (3), in particolare l’art. 8 CEDU. (4) Il “diritto alla privacy” rientra in quell’ampia categoria di “vita privata”, concernente gli aspetti della vita dell’individuo e in quella di vita familiare (secondo la dottrina farebbero riferimento agli ambiti istituzionalizzati o materiali della privacy) e le modalità attraverso cui esse dovrebbero essere trattate, dette  “data protection”. “La finalità della disciplina di data protection rispetto alla difesa della privacy è di garantire la libera circolazione delle informazioni” (5). Ma con le dovute eccezioni: i “flussi transfrontalieri di informazioni personali” e lo scambio di informazioni tra le polizie nazionali dei Paesi aderenti all’Europol o dell’accordo Schengen sono esempi di una nuova giustificazione al flusso transnazionale di tali dati personali. I Paesi che hanno aderito allo spazio Schengen si sono impegnati nel garantire la protezione dei dati personali, negando il trasferimento d’informazioni riguardanti i propri cittadini verso Stati che, invece, non hanno nessuna forma di tutela in materia. Secondo il preambolo delle Guidelines dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) sulla protezione dei dati personali (6): “c’è il pericolo che le differenze nelle legislazioni nazionali possano ostacolare il libero flusso di dati personali lungo le frontiere … Restrizioni a questi flussi potrebbero causare serie distorsioni in settori importanti dell’economia, come quello bancario e delle assicurazioni (…) ” (7).

Con l’adozione della direttiva 95/46/CE (8) (direttiva dati), avente a oggetto la regolamentazione del trattamento di dati personali in territorio europeo, i flussi transfrontalieri di dati aventi come origine uno Stato membro Ue e come destinatario gli USA pongono una serie di complesse questioni di carattere giuridico, ma prima ancora di carattere politico. Infatti, tale direttiva prevede un regime piuttosto rigoroso per quanto concerne il trasferimento di dati personali verso Paesi terzi. Ai sensi dell’articolo 25, i flussi di dati personali verso uno Stato che non sia membro dell’Unione europea sono ammessi esclusivamente qualora quest’ultimo garantisca un livello di protezione adeguato; i parametri cui far ricorso nella valutazione “dell’adeguatezza” (9) del livello di protezione non sono indicati dallo stesso articolo 25. In assenza di riferimenti normativi espressi, si ricorre al complesso dei principi sostanziali sul trattamento posti dalla direttiva, “facendo ricorso ad un approccio casistico” (10)

Da un punto di vista pratico, esistono tre possibili modalità di trasferimento di dati personali all’esterno dello spazio Comunitario:

  • I dati personali dei cittadini europei possono essere trasferiti da un controller (titolare del trattamento dei dati) situato all’interno dell’Unione europea a un processor (responsabile del trattamento) situato in un Paese terzo. In questo caso il processor elaborerà i dati sotto la responsabilità del controller europeo, a sua volta vincolato dal rispetto della normativa comunitaria in materia.
  • Il controller situato all’interno dell’Ue trasferisce i dati personali ad un altro controller situato in Paese extraeuropeo, soggetto alla normativa di protezione dei dati personali del Paese terzo.
  • Infine, l’interessato (il data subject) trasferisce direttamente i suoi dati personali a un controller situato in uno Stato extracomunitario.

 

Per quanto esposto poc’anzi è opportuno precisare che gli Stati Uniti non sono dotati di una cornice normativa unitaria in tema di trattamento dei dati personali, né di un’autorità nazionale per la protezione degli stessi nel caso di flussi di dati indirizzati agli USA, e quindi “non può ritenersi soddisfatto il requisito del livello adeguato di protezione dei dati di cui all’art. 25 della direttiva” (11). È comunque consentito a una pluralità di attori di intervenire nel processo di valutazione del livello di adeguatezza del sistema di protezione dei dati personali di un Paese terzo, detta “mixed administration” (12) (amministrazione mista), in quanto coinvolge sia le istituzioni nazionali che Comunitarie.

 

Conclusioni

Procedendo sulla base di una esaustiva disamina della giurisprudenza europea, è possibile trarre delle utili interpretazioni per affrontare il delicato tema dei rapporti tra diritto alla riservatezza e rispetto della vita privata delle personalità politiche o degli esponenti di governo. All’indomani  dell’adozione della direttiva 95/46/CE (protezione dei dati di carattere personale), la dottrina statunitense aveva attuato in chiave metaforica, una sorta di imperialismo giuridico dell’Ue. “Se anche si volesse ritenere condivisibile tale ricostruzione, avente ad oggetto in particolare il requisito del livello adeguato di protezione dei dati di cui agli artt. 25 e 26 della direttiva dati, non si potrebbe non osservare che gli Stati Uniti hanno sostanzialmente rovesciato il rapporto di forza tra disciplina comunitaria e disciplina del trattamento dei dati personali” (13). A partire dal 2000, “con il sistema del safe harbor (approdo sicuro), la Commissione europea ha intrapreso un’attività volta a legittimare, al livello comunitario flussi di dati personali verso gli USA, non garantiti, nella sostanza, da un livello “adeguato di protezione” (14). Allo scopo di assemblare una conservazione generalizzata dei dati relativi al traffico telefonico e telematico, nonché del bilanciamento tra le opposte esigenze di tutela della privacy e di sicurezza nazionale, di data protection e data retention, l’intervento del legislatore  è stato indirizzato a una definitiva approvazione della “Direttiva 2006/24/CE” (15). L’esigenza di incrementare la sorveglianza sul traffico telefonico e telematico è strettamente correlata all’obiettivo di approntare una strategia antiterroristica globale: “la conservazione dei dati è di fatti intesa a garantire la disponibilità a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascun membro nella propria legislazione nazionale” (16).

Alla luce di quanto poc’anzi osservato, si può concludere che una delle sfide principali sullo scacchiere internazionale è porre enfasi nel settore della protezione dei dati personali e proteggere il diritto alla riservatezza delle persone fisiche per ragioni di pubblico interesse; nonostante la pubblica sicurezza sia un interesse della collettività, il diritto alla riservatezza, quale diritto fondamentale dell’individuo nella società dell’informazione, deve comunque essere tutelato. Ed è per tali motivi che si rende necessario raggiungere un certo equilibrio tra l’esigenza di sicurezza della collettività e l’esigenza di anonimato dell’individuo; essendo soddisfatto anche il fondamentale requisito della proporzionalità delle modalità di elaborazione dei dati rispetto alle finalità perseguite con l’elaborazione stessa. In altre parole, il responsabile del trattamento è tenuto a cancellare i dati archiviati non appena il fine perseguito con l’elaborazione di tali dati sia effettivamente realizzato.

 

 

*Caterina Gallo è laureata in Relazioni Internazionali presso l’Università degli Studi di Salerno.

 


Note:

(1)   Cfr. M. Focault, Sorvegliare e punire, Torino, 1976, 213 ss.; S. Rodotà, Tecnologie e diritti, Bologna, 1995, 101 ss; M. Revelli, Economia e modello sociale nel passaggio tra fordismo e toyotismo, in Appuntamenti di fine secolo, a cura di P. Ingrao e R. Rossandra, Roma, 1995, 166 ss.; D. Lyon, L’occhio elettronico, Milano, 1997, 100 ss. e 171 ss.

(2)   Il data mining, l’analisi dei Big data, il procedimento con cui una gigantesca mole di dati viene analizzata automaticamente allo scopo di scovare tracce potenzialmente interessanti, collegamenti o anomalie.

(3)   La Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali o CEDU è un trattato internazionale redatto dal Consiglio d’Europa, firmato a Roma il 4 novembre 1950 dai 12 stati al tempo membri del Consiglio d’Europa (Belgio, Danimarca, Francia, Grecia, Irlanda, Islanda, Italia, Lussemburgo, Norvegia, Passi Bassi, Regno Unito, Svezia, Turchia) ed è entrata in vigore il 3 settembre 1953. È stata ratificata da parte di tutti i 47 Stati membri (al 22 giugno 2007) del Consiglio d’Europa.

(4)   Articolo 8 Convenzione europea dei diritti umani “Diritto al rispetto della vita privata e familiare”: 1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. 2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui.

(5)   M. E. Bonfanti, “Il diritto alla protezione dei dati personali nel Patto internazionale sui diritti civili e politici e nella Convenzione europea dei diritti umani: similitudini e difformità di contenuti”, in Diritti umani e diritto internazionale, 5, p. 441, 2011.

(6)   I principali documenti adottati dall’OCSE in riferimento alla tutela della privacy comprendono le “Linee guida sulla sicurezza dei sistemi e delle reti d’informazione: verso una cultura della sicurezza”, adottate sotto forma di Raccomandazione del Consiglio dell’OCSE nella sua 1037a sessione, il 25 luglio 2002, le “Linee-guida sull’attuazione transfrontaliera delle misure a tutela della privacy”, le “Raccomandazioni” sui sistemi di autenticazione elettronica, le “Raccomandazioni” in materia di politiche per l’RFID” (Radio Frequency IDentification), e il cosiddetto “Anti-Spam ToolKit” che offre un pacchetto di misure, di varia natura, utili per la lotta allo spam a livello nazionale.

(7)   “… there is a danger that disparities in National legislation could hamper the free flow of personal data across frontiers… Restrictions on these flows could cause serious disruption in important sectors of the economy, such as banking and insurance…”. Linee Guida sulla Protezione della Privacy e i Flussi Transfrontalieri dei Dati, approvate dall’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) il 23 settembre 1980.

(8)   Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, in GU L 281 del 23 novembre 1995.

(9)   L’Articolo 25 non chiarifica il significato dell’espressione “protezione adeguata”. Il significato di tale espressione è stato chiarificato dall’ultima istituzione coinvolta all’interno del processo decisionale previsto dall’Articolo 25, il Gruppo di Lavoro 29. Questo comitato comprende i rappresentanti delle Autorità Garanti nazionali, e ha il compito di fornire pareri non vincolanti alla Commissione a riguardo della corretta applicazione della Direttiva 95/46/CE. “La protezione dei dati personali nelle relazioni tra UE e USA, le negoziazioni sul trasferimento dei PNR”, Marco Botta – M. Viola De Azevedo Cunha, in Diritto dell’informazione e dell’informatica, 2010, 26, 2, 315-341.

(10)In dottrina (A: Zinsert, “International data transfer out of the European Union: the adequate level of data protection according to article 25 of the European data protection directive”, in Journal of computer law 2003 p. 550) si è a tal proposito osservato che la nozione di adeguatezza deve essere esaminato caso per caso, in base ad un approccio pragmatico e funzionale.

(11)A. Terrasi, “SWIFT Program e tutela della riservatezza: ancora sul trasferimento di dati dall’Unione europea agli Stati Uniti”, in Diritti umani e diritto internazionale, 3, pp. 608, 2008

(12)F. Bignami, “Mixed Administration in the European Data Protection Directive: The Regulation of International Data Transfers”.  Vol 1, in Rivista Trimestrale di Diritto Pubblico, 31 – 57, 2004

(13)A. Terrasi, “SWIFT Program e tutela della riservatezza: ancora sul trasferimento di dati dall’Unione europea agli Stati Uniti”, 3, pp. 618, 2008

(14)A. Terrasi, “SWIFT Program e tutela della riservatezza: ancora sul trasferimento di dati dall’Unione europea agli Stati Uniti”, in Diritti umani e diritto internazionale, 3, pp. 619, 2008

(15)Direttiva del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, che modifica la direttiva 2002/58/CE e traduce i principi enunciati nella direttiva 95/46/CE in norme specifiche per il settore delle comunicazioni elettroniche

(16)M. Foglia, “Valori comuni in materia di privacy e trattamento dei dati personali”, in Diritto dell’informazione e dell’informatica, pp. 516 – 517, 2010.

 

 

Fonti

http://www.aise.it/esteri/unione-europea/157416-economia-digitale-immigrazione-e-disoccupazione-giovanile-le-conclusioni-del-consiglio-europeo-sul-qdata-gateq-rispetto-e-fiducia-anche-per-la-cooperazione-tra-servizi-segreti.html;

http://www.agoravox.it/Datagate-tutto-quello-che-c-e-da.html;

http://www.globalist.it/?Loid=138&CategoryID=171

 

 

 

 

Articolo precedente

IL “NIET” DELL’UCRAINA ALL’UE: MITI E REALTÀ

Articolo successivo

LA CRISI DELLA GRECIA