Luci e ombre della CEDU sulle intercettazioni di massa e lo scambio di dati tra gli Stati
26 Maggio 2021
Le intercettazioni di massa e la sorveglianza dei servizi elettronici (mail, internet, fax etc.) hanno assunto un'importanza fondamentale nella nostra società per la lotta al terrorismo ed alla criminalità, incrementando lo scambio di dati tra paesi, soprattutto verso gli USA, con ovvie problematiche. In generale le intercettazioni di massa non violano la privacy se accompagnate da dovute garanzie contro gli abusi e gli arbitri: si ha una violazione degli artt. 8 e 10 laddove non sono rispettate ed è violato l'anonimato delle fonti giornalistiche. Invece lo scambio di dati tra paesi stranieri è lecito e non viola dette norme.
È quanto deciso dalla Grand Chamber della CEDU nei casi Big Brother Watch ed altri c. Regno Unito (ric. 58170/13: conferma sostanzialmente quanto detto sul primo grado nella rassegna del 14/9/18) e Centrum for Rattvisa c. Svezia (ric. 35252/08: ribaltata la decisione di primo grado) del 25 maggio.
Nel primo caso, 16 ricorrenti (associazioni e giornalisti) operanti nel campo delle libertà civili lamentano che i servizi segreti inglesi, in accordo con quelli americani, avrebbero istituito un programma d'intercettazione di massa, con ricerca, selezione, archiviazione e trasmissione dei dati raccolti dai servizi di comunicazione anche elettronica (nello specifico si contestavano i programmi d'intelligence americana denominati Prism ed Upstream e la c.d. operazione Tempora, decisa dal governo inglese, per una sorveglianza indiscriminata di massa, come denunciato da Snowden nel 2013). Giudicavano che tutto ciò discriminasse maggiormente i cittadini residenti fuori dal Regno ritenuti più suscettibili ad essere oggetto di queste intercettazioni. Nell'altro caso, si tratta di un'onlus a difesa delle libertà e dei diritti civili, derivanti dalla Cedu e dal diritto svedese che lamenta come il regime di intercettazione di massa previsto dalle leggi svedesi potesse od avrebbe potuto violare la privacy dell'associazione e dei privati, delle imprese e delle organizzazioni con cui scambiava dati in patria ed all'estero, anche particolarmente sensibili visti i suoi fini statutari, tramite telefono, mail, fax etc.
Quando le intercettazioni di massa sono lecite? Le pagg. 65-82 della sentenza Big Brother indicano le norme e la prassi internazionali e comparative sul punto. I principi che regolano questa delicata materia sono stati dettati da alcune sentenze della CGUE: Google Spain, Digital Rights Ireland Ltd e Safe Harbour (EU:C:2014:237, 238 e 317 nei quotidiani del 8/4 e 13/5/14; EU:C:2015:650; sul punto si vedano gli speciali di Del Ninno nei quotidiani del 16 e 19/10/15). Tali criteri sono diventati ancora più stringenti con l'approvazione del GDPR e della Direttiva di Polizia, seppure gli Stati dispongano di un ampio margine di apprezzamento in materia. Recentemente la CGUE, mancando queste garanzie, ha invalidato la Decisione del 2016 sullo scudo della privacy per lo scambio dei dati tra UE ed USA (EU:2020:559 nel quotidiano del17/7/20), dettato i limiti alla sorveglianza indiscriminata ed alla trasmissione di dati (EU:C:2020:790 e 791 nel quotidiano del 6/10/20) e dichiarato illecito il webtracking delle pagine dei social network (EU:C:2018:388 nel quotidiano del 5/6/18). Infine il caso Kennedy c. Regno Unito del 2010 ha dettato le linee guida in materia elencandole analiticamente. Si devono considerare: i motivi per cui l'intercettazione di massa può essere consentita, le circostanze in cui le comunicazioni di un individuo possono essere intercettate, la procedura per il rilascio dell'autorizzazione da parte di un'autorità indipendente, le procedure per la selezione, la revisione e l'utilizzo di “elementi intercettati”, le precauzioni da adottare per comunicarli ad altre parti, la previsione di limiti alla durata dell'intercettazione, alla conservazione dei dati intercettati e alle circostanze in cui questi e devono essere cancellati o distrutti, le procedure di controllo, da parte di un'autorità indipendente, del rispetto delle garanzie di cui sopra e dei poteri di tale autorità in caso di violazione, le procedure di controllo indipendente dopo il rispetto delle garanzie e i poteri conferiti all'organismo competente per far fronte alle violazioni.
Necessaria evoluzione della prassi stante le differenze tra intercettazioni individuali ed indifferenziate. La CEDU rimarca come l'evoluzione della tecnologia giochi un ruolo fondamentale per chiarire e risolvere le problematiche sottese a questi delicati temi: da un lato le reti di criminalità internazionali usano mezzi tecnologici sempre più sofisticati per comunicare e sottrarsi alla detenzione (dark web, bitcoin etc.), dall'altro c'è la necessità di adattare le regole delle intercettazioni individuali al regime di quelle massive, tenendo conto del rischio di abusi e del fine legittimo che le caratterizza di operare in segreto. Nelle intercettazione indifferenziate perciò si devono adottare «garanzie dall'inizio alla fine: a livello nazionale la proporzionalità e l'adeguatezza delle misure prese dovrebbero essere valutate per ciascuna fase del processo», id est questi controlli devono essere sia a priori (devono essere autorizzate da un'autorità indipendente che ne delimiti ed individui con precisione l'oggetto e la loro durata) sia a posteriori (controllo e supervisione indipendente ad es. da parte del Garante, di un tribunale). Più precisamente, l'attività di controllo deve avvenire prima, durante e dopo la cessazione delle stesse. Infatti inizialmente è ordinata una raccolta di massa ed indifferenziata di dati dai fornitori di servizi di comunicazione etc., poi vengono definiti selettori, anche potenti, per fare una prima scrematura dei dati rilevanti ai fini della ricerca di criminali etc., in seguito questi vengono elaborati da un analista che stila il primo rapporto di intelligence, contestualmente deve essere fatta una scrematura tra dati utili e quelli estranei alla ricerca con la loro relativa distruzione. Vi deve essere un controllo costante dall'autorizzazione delle intercettazioni alla distruzione dei dati obsoleti, inutili, estranei per tutelare i diritti degli intercettati e dei terzi estranei dall'inizio alla fine del processo. In generale vengono individuati detti criteri per valutare la liceità delle intercettazioni massive ed il rispetto di queste garanzie, sostanzialmente coincidenti con quelli individuati dal caso Kennedy: «(1) la natura di reati che possono dar luogo a un provvedimento di intercettazione; (2) una definizione delle categorie di persone che potrebbero subire l'intercettazione delle loro comunicazioni; (3) un limite alla durata dell'intercettazione; (4) la procedura da seguire per esaminare, utilizzare e memorizzare i dati ottenuti; (5) le precauzioni da adottare nella comunicazione dei dati ad altri soggetti; e (6) le circostanze in cui i dati intercettati possono o devono essere cancellati o distrutti» (Weber e Saravia c. Germania del 2006).
Carenze degli ordinamenti inglesi e svedesi. La CEDU, pur rimarcando come i servizi svedesi rispettino gli oneri che gravano su di loro e come in generale la legge sull'intercettazioni di massa rispetti i principi dettati dalla Cedu, evidenzia tre carenze relative all'assenza di regole chiare sulla distruzione dei dati non sensibili, di una legge o norme (nemmeno quelle sulla raccolta di informazioni di origine elettronica) che impongano di tener conto degli interessi legati alla vita privata degli interessati quando si condividono i dati con partners esteri ed infine non è previsto alcun controllo a posteriori. Controllo invece presente nella contestata legislazione inglese del 2000 in cui un Commissario ed un Tribunale ad hoc sono incaricati di vagliare possibili abusi ed i ricorsi introdotti da chi si ritiene vittima di queste intercettazioni. Dette importanti garanzie però non colmano le carenze di questa legge: le intercettazioni non sono ordinate da un'autorità indipendente e non sono indicati i selettori generali e specifici per indicare l'individuo ricercato (indirizzi IP, numero di cellulare etc.). In entrambi i casi si ha un'ingerenza illecita nella privacy degli intercettati sia quale assenza di garanzie contro gli abusi sia perchè, seppure ordinate per fini legittimi, vanno al di là di quanto necessario in una società democratica.
Lecito lo scambio di dati tra paesi. Per la CEDU questa attività è accompagnata dalle garanzie e dai controlli a priori ed a posteriori sopra indicati perciò non costituisce una deroga all'art.8 né all'art.10 Cedu.
Illecito imporre alle società di servizi di comunicazione la cessione di dati. È lapalissiana questa deroga dell'art.8 per i motivi sinora esplicati anche nella prassi della CGUE sopra richiamata. Dato che non ha alcun fondamento legale costituisce una violazione degli artt.8 e 10 cedu.
Tutela delle fonti giornalistiche. La protezione dell'anonimato delle fonti giornalistiche è il pilastro della libertà di stampa e di conseguenza, stante il ruolo fondamentale che i giornalisti rivestono nella società (“cani da guardia”), della democrazia. L'assenza di selettori e di termini specifici di ricerca della contestata legge inglese comporta la raccolta indiscriminata di informazioni legate all'attività di un giornalista, ivi comprese queste strettamente confidenziali, la loro prolungata conservazione e l'esame da parte di analisti: tutto ciò non è subordinato all'autorizzazione da parte di un giudice o di altra autorità indipendente.
Fonte: Diritto e Giustizia |