La Corte europea dei diritti umani stabilisce principi importanti per la tutela della sicurezza nazionale. Non si possono vietare le intercettazioni ad ampio spettro, ma deve essere possibile controllare l’uso che i governi ne fanno di Andrea Monti, professore incaricato di Digital law nell’università di Chieti-Pescara Originariamente pubblicato da Formiche.net
Una sentenza della Corte europea dei diritti umani pubblicata il 25 maggio 2021 ha stabilito un importante principio: le bulk-interception sono uno strumento efficace per la tutela della sicurezza nazionale, se sono eseguite con un sistema di controlli indipendenti a tutela dei diritti individuali.
Applicando questo principio, la Corte ha stabilito che la normativa inglese sulle attività di intercettazione all’interno del territorio nazionale e quella sul modo in cui vengono acquisiti i dati nella disponibilità di operatori telefonici e internet provider vìolano il diritto alla rispetto della vita privata e, quanto ai giornalisti, il diritto alla libertà di espressione. Inoltre, pur con una decisione a maggioranza, la Corte ha stabilito che le procedure britanniche sull’acquisizione di dati intercettati dagli USA sono invece rispettose di questi diritti.
A prescindere dalle tecnicalità relative alla legislazione inglese, non più rilevanti dopo l’uscita del Regno Unito dalla Ue, in termini più generali le conclusioni dei giudici di Strasburgo sono interessanti per tre ragioni.
In primo luogo, come detto, riconoscono che le bulk-interception sono necessarie per tutelare la sicurezza nazionale e che gli interventi della Corte possono riguardare il “come” sono eseguite ma non il “se”.
In secondo luogo, rinforzano il concetto che la inevitabile limitazione dei diritti individuali a tutela dell’interesse pubblico deve essere bilanciata dall’esistenza di norme giuridiche e soggetti indipendenti che autorizzano le richieste di intercettazione e ne controllano, a posteriori, la corretta esecuzione.
Infine, riconoscono implicitamente che la normativa sulla protezione dei dati personali — applicabile fino all’uscita dalla Ue — non può impedire scambi di informazioni con gli USA, nonostante questi ultimi siano, sulla carta, nella blacklist della Commissione europea quanto a rispetto degli standard di protezione fissati dal Regolamento 679/16 (GDPR).
I DIFETTI DELLE PROCEDURE CHE AUTORIZZANO LE BULK INTERCEPTION
L’esistenza di un organo indipendente che, sulla base della legge, valuta l’effettivo bilanciamento fra gli interessi dello Stato a garantire ordine e sicurezza e i diritti dei cittadini a subire limitate e motivate compressione dei propri diritti individuali è il principale strumento di garanzia da abusi istituzionali.
Tuttavia, ritiene la Corte, anche se il Regno Unito ha istituito un tribunale per verificare a posteriori eventuali abusi, l’autorizzazione ad eseguire intercettazioni necessarie alla tutela della sicurezza nazionale è rilasciata dal Secretary of State e non da un organo indipendente dall’esecutivo.
Inoltre, il modulo da compilare per ottenere l’autorizzazione da parte dell’esecutivo non contiene l’elenco dei selectors, cioè dei criteri di ricerca necessari ad individualizzare la ricerca estraendo informazioni rilevanti dall’enorme quantità di dati che transitano nella rete (paragrafo 425 della decisione).
A margine degli aspetti giuridici, è interessante notare, da un punto di vista più generale, l’approccio dell’esecutivo britannico per garantirsi una (relativa) libertà di manovra. Da un lato c’è una chiara scelta politica di alto livello: evitare controlli preventivi indipendenti sulle scelte dell’esecutivo, mantenendo “in casa” l’autorità di decidere se attivare una bulk interception.
Dall’altro c’è un sapiente utilizzo delle migliori tecniche burocratiche in modo da separare il livello politico da quello operativo. Se nella richiesta di autorizzazione a intercettare non ci sono le parole-chiave, il Secretary of State valuta secondo i criteri fissati dalla legge (necessità, proporzionalità e motivazione) l’opportunità di autorizzare l’operazione ma non entra nel merito del modo in cui è gestita in concreto.
Questo modo di procedere consente all’esecutivo di operare con una ragionevole plausible deniability e alle strutture di intelligence con ampio margine di autonomia che può arrivare —da qui la condanna— anche a violare la confidenzialità delle fonti di un giornalista.
È LEGITTIMO ACQUISIRE DATI INTERCETTATI DA ALTRI PAESI
La Corte si è anche occupata dei rapporti di cooperazione informativa fra l’Inghilterra e i non-contracting States (gli Usa, in altri termini).
Il punto di partenza del ragionamento è che le attività di intercettazione compiute da un altro Stato sovrano sono al di fuori della portata di quello ricevente e che sarebbe troppo facile aggirare i divieti normativi interni“esternalizzando” l’attività di intercettazione e importandone i risultati.
Per evitare questo aggiramento, ritiene la Corte, è necessario che lo scambio di dati sia previsto da un atto normativo e, anche in questo caso, che ci siano delle procedure di revisione del fine e del modo in cui le informazioni sono state ricevute.
Partendo da questa premessa, i giudici hanno deciso, ma questa volta solo a maggioranza, che il Communication intelligence agreement del 5 marzo 1946 e gli altri accordi per lo scambio di informazioni siglati con le ex-colonie sono fonte giuridica valida per giustificare la cooperazione fra gli apparati di intelligence dei due Paesi e che, quanto all’Inghilterra, sono applicati in modo da garantire adeguate salvaguardie per i sudditi della Corona.
È LEGITTIMA LA CONSERVAZIONE DEI DATI DI TRAFFICO
Il principio secondo il quale la limitazione del diritto al rispetto della vita privata e alla segretezza delle comunicazioni può avvenire solo se sono previste verifiche preventive da parte di soggetti indipendenti.
E se, successivamente, è possibile ricorrere a un’autorità con poteri giudiziari per lamentare eventuali abusi ha consentito alla Corte di Strasburgo di legittimare anche la contestatissima (in ambito Ue) data-retention cioè la conservazione dei dati di traffico telematico.
Come nel caso delle bulk-interception, infatti, l’Inghilterra è stata condannata per il “come” ha regolato questa scelta e non per avere deciso di farlo. La differenza può sembrare sottile, ma è sostanziale.
A margine, è opportuno evidenziare un passaggio del paragrafo 519 della sentenza nel quale, per stabilire la responsabilità del governo inglese, la Corte rileva la prevalenza della normativa comunitaria su quella del Regno Unito e prende atto dell’ammissione da parte del governo che le norme dell’Ipa (Investigatory Powers Act, n.d.t.) sulla conservazione dei dati relativi alle comunicazioni erano incompatibili con la normative Ue.
Il tema è molto complesso e coinvolge aspetti che vanno oltre una lettura puramente giuridica dell’argomentazione.
La sicurezza nazionale è un ambito che i trattati istitutivi della Ue riservano alla sovranità esclusiva degli Stati membri. Di conseguenza, quali che siano le norme comunitarie, queste non possono essere interpretate in modo da invadere la sovranità nazionale su ambiti esclusivi.
Tuttavia, l’ampliamento del raggio d’azione della normativa comunitaria è oramai un fait accomplis del quale questa sentenza è l’ennesimo epifenomeno. Nel silenzio (inconsapevole?) degli Stati membri e per fatti concludenti l’Unione sta costruendo quella costituzione europea contro la quale si erano pronunciate Francia e Olanda nel 2005 bloccandone l’entrata in vigore.
Questo processo, pur difficilmente arrestabile, costituisce un problema serio perché la Ue non è un soggetto politico autonomo e non ha il potere di incidere direttamente sulla sovranità degli Stati membri. Non può avere interessi nazionali, a maggior ragione se ipoteticamente in contrasto con quelli dei singoli Paesi che hanno aderito ai trattati istitutivi. In conseguenza, quando queste criticità oggi ignorate diventeranno politicamente evidenti si dovrà capire chi dovrà fare un passo indietro, se l’Unione o i suoi membri.
CONCLUSIONI
Benché questa sentenza sia stata presentata come una vittoria contro i progetti di sorveglianza tecnologica degli Stati, in realtà non è così. Pur con il dissenso di alcuni componenti del collegio giudicante, infatti, la Corte ha stigmatizzato il modo nel quale sono state eseguite le attività di intelligence mentre ne ha confermato l’accettabilità giuridica.
Nello stesso tempo, tuttavia, ha anche affermato il principio che pagando qualche centinaio di migliaia di Euro, si può operare anche senza rispettare scrupolosamente le regole.
È vero, infatti, che la Corte ha condannato l’Inghilterra a pagare circa 350.000 Euro per le spese di giudizio, ma è anche vero che si tratta di pochi spiccioli a fronte dei più che probabili vantaggi ottenuti dalle strutture di intelligence inglesi grazie alle carenze normative alla base della decisione.
Possibly Related Posts:
- Chatbot troppo umani, i rischi che corriamo
- Qual è il significato geopolitico del sistema operativo Huawei Harmony OS Next
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?