Conservazione dei dati in una prospettiva transfrontaliera
Come ampiamente noto, la conservazione dei metadati costituisce uno strumento essenziale nell’ambito della lotta al terrorismo e, più in generale, alle forme gravi di criminalità. Questa analisi si concentra sul confronto tra due “giganti” dal punto di vista della conservazione dei metadati a fini di sicurezza, ovvero Europa e Stati Uniti, ed evidenzia alcune sfide che ne derivano.
Per guardare agli sviluppi recenti, il 30 aprile 2024, la Corte di Giustizia Europea (CGCE) si è pronunciata nuovamente sulla conservazione dei metadati . La Corte ha stabilito che, sebbene la conservazione dei metadati non possa essere ignorata poiché è fondamentale per garantire strategie preventive efficaci contro la criminalità transnazionale, è necessario garantire ulteriori garanzie, ad esempio mantenendo gli indirizzi IP separati dai dati di identità civile. Sembra quindi che l’Unione Europea (UE) si stia affermando sempre più come l’attore principale nel difficile equilibrio tra la sicurezza pubblica, da un lato, e i diritti umani – come la privacy e la protezione dei dati – dall’altro.
Tuttavia, la conservazione dei metadati è utile ed efficace solo se misure e standard simili vengono adottati nel maggior numero possibile di paesi. Nello specifico, è essenziale che almeno le “due parti” del mondo occidentale, vale a dire Europa e Stati Uniti, garantiscano una cooperazione efficace e livelli simili di protezione in questo ambito. Un confronto tra i due risulta quindi molto utile per fare alcune considerazioni su questo punto.
Lo scenario europeo: una lotta senza fine tra Corte di giustizia e legislatori nazionali
Nel contesto dell’UE, la Corte di giustizia si è più volte pronunciata sulla conservazione dei metadati, non solo con la storica decisione Digital Rights (2014) e successive sentenze, come Tele2 Sverige (2016) , ma anche con la più recente sentenza La Quadrature du Net II ( 2024) , sopra menzionato. In queste sentenze, come in altre che affrontano altri aspetti dell'equilibrio tra sicurezza e diritti alla privacy (ad esempio, il parere A-1/15 , emesso nel 2017 e riguardante la raccolta e la conservazione dei dati del Passenger Name Record), la Corte di Lussemburgo ha ritenuto una posizione progressivamente più realistica e pragmatica, come notato dagli studiosi . Di fatto, nel corso del tempo la Corte ha convalidato la sorveglianza di massa e l’ha accettata come una condizione sine qua non da introdurre in qualsiasi strategia di pubblica sicurezza. Tuttavia, i giudici non hanno rinunciato a riaffermare tutele che, soprattutto se si guarda alla recente decisione, sono inquadrate in modo sempre più tecnico e preciso, tenendo conto di tecnicismi anche raffinati, come ha rimarcato l'analisi di Formici in questo Simposio.
In questo contesto, i legislatori nazionali non sembrano essere convinti che un atteggiamento equilibrato nel dilemma sicurezza vs. privacy sia la strada da percorrere: molti di loro – l’Italia, con il suo periodo di conservazione di 72 mesi, è un esempio lampante – fanno affidamento sulla conservazione dei metadati. regimi quantomeno dubbi – per usare un eufemismo – dal punto di vista dei principi sanciti nella giurisprudenza della Corte di giustizia europea in materia di sorveglianza.
Ciò vale non solo per gli Stati membri dell’UE. Infatti, anche se si guarda ai Paesi formalmente esterni all’Ue, ma che svolgono un ruolo rilevante nello scenario europeo, la situazione è preoccupante. Consideriamo solo il Regno Unito – non più uno Stato membro dell’UE, dopo la Brexit, ma sicuramente un attore essenziale nel mantenimento della sicurezza. Il Regno Unito, nonostante numerose decisioni sovranazionali che sanzionano o condannano alcuni aspetti della sua sorveglianza (vedi, ad esempio, la sentenza Big Brother Watch della Corte europea dei diritti dell'uomo e la sentenza Privacy International della Corte di giustizia europea), mantiene una parte piuttosto preoccupante delle disposizioni sull'intercettazione ai sensi dell'Investigatory Powers Act 2016 . Ad esempio, le norme sulle autorizzazioni dei tribunali sono inadeguate e le disposizioni sulla sorveglianza estera sono redatte in modo molto ampio, in modo da lasciare discrezionalità alle autorità governative quanto alla loro portata (per i potenziali effetti della recente giurisprudenza della Corte di giustizia europea sui trasferimenti di dati verso il Regno Unito, cfr. Kuşkonmaz in questo simposio).
Insomma, in Europa esiste una situazione piuttosto controversa. I tribunali, soprattutto quelli sovranazionali, cercano di garantire un atteggiamento ben ponderato. Il legislatore, invece, attribuisce cruciale importanza al lato sicurezza del binomio, e di conseguenza non rinuncia a una sorveglianza massiva e indiscriminata, anche attraverso l’uso dei metadati comunicativi. Tuttavia, l’esistenza stessa di un simile dialogo (o forse sarebbe meglio definirlo un braccio di ferro) tra corti e corpi legislativi è segno di solidi “controlimiti” all’azione di organismi politici che, per loro stessa natura, natura natura, tendono ad essere inclini alla sicurezza quando si tratta di proteggere i propri cittadini e le proprie istituzioni.
Lo scenario americano: un driver per l’abbassamento degli standard?
Negli Stati Uniti il punto di partenza nel campo del rapporto tra sicurezza e diritti come la privacy e la protezione dei dati è molto diverso da quello europeo. Ciò è dovuto a diversi fattori inerenti al sistema legale statunitense, al quadro giuridico pertinente e alla cultura giuridica.
Innanzitutto, il Quarto Emendamento – da cui si desume il diritto alla privacy – è ritenuto recessivo quando sono in gioco altre esigenze, tra cui quella della sicurezza. Se si considera l' interpretazione data dai tribunali , le circostanze in cui i mandati possono essere esclusi o ridotti sono quasi più numerose di quelle in cui sono considerati essenziali.
In secondo luogo, e connessa all'aspetto sopra menzionato, la nota dottrina delle terze parti, secondo la quale una persona non ha alcuna ragionevole aspettativa di privacy quando condivide volontariamente informazioni con altri. Questa dottrina consente una “liberalizzazione” quasi totale dei dati che gli individui forniscono a una varietà di entità, e la posizione giurisprudenziale su questa dottrina è ancora abbastanza consolidata, con poche o nessuna eccezione.
In terzo luogo, quando è coinvolta l’industria tecnologica – come nel caso della sorveglianza dei metadati, poiché la cooperazione dei fornitori di servizi di comunicazione con le autorità pubbliche è centrale – gli Stati Uniti tendono ad abbracciare una posizione molto “libertaria”, più orientata al mercato che all’economia. tutela dei diritti degli utenti. Ciò si manifesta, tra l’altro, nella scarsa regolamentazione del mercato tecnologico in generale, che poi si traduce in un’autoregolamentazione da parte dell’industria.
Tutte queste funzionalità sono chiaramente visibili nel contesto della conservazione dei metadati. Non solo gli Stati Uniti sono stati tra i pionieri di questa pratica, con la controversa Sezione 215 dell’USA Patriot Act del 2001, più volte estesa e poi incorporata nell’USA Freedom Act nel 2015; nel 2018 hanno inoltre approvato il Cloud Act, secondo il quale le autorità federali statunitensi possono accedere ai dati archiviati da qualsiasi azienda statunitense, tra l’altro a fini di prevenzione della criminalità. In effetti, il Cloud Act si applica extraterritorialmente, poiché non è necessario che i server dell'azienda abbiano sede negli Stati Uniti.
Allo stesso tempo, i tribunali statunitensi non hanno preso posizioni ferme contro la conservazione indiscriminata dei metadati effettuata senza forti garanzie. In effetti, la Corte Suprema federale, chiamata a pronunciarsi sull’accesso ai metadati delle comunicazioni, ha rimesso la causa al giudice di grado inferiore perché fosse respinta (si veda la sentenza Microsoft Corp. v. United States del 2018 , riferita ad una causa nata prima dell’entrata in vigore della il Cloud Act, ma venne risolta poco dopo la pubblicazione della legge).
Pertanto, a differenza dello scenario europeo, il contesto statunitense non vede un ruolo forte dei tribunali nel tentativo di contenere le derive del legislatore, che, di conseguenza, diventano significativamente più preoccupanti che sul versante europeo. Inoltre, i recenti risultati elettorali negli Stati Uniti potrebbero portare a una situazione ancora più preoccupante.
Inoltre, considerati gli effetti extraterritoriali della conservazione dei metadati, ma anche della lotta al terrorismo, che è un crimine transnazionale, vale la pena notare le implicazioni del regime giuridico statunitense sugli standard transfrontalieri di protezione della privacy. Sebbene il sistema europeo sia più protettivo, c’è davvero poco da fare quando le autorità di contrasto statunitensi richiedono l’accesso ai metadati sui server europei sulla base delle leggi statunitensi più intrusive. È vero che anche gli standard europei valgono a livello extraterritoriale e l’ effetto Bruxelles ha il suo peso. L’effetto Bruxelles può essere definito come l’influenza del diritto dell’UE anche al di fuori dei confini dell’UE, il che implica che anche i paesi extra-UE potrebbero finire per dover conformarsi alle norme dell’UE a causa della necessità di mantenere relazioni con i paesi dell’UE. Tuttavia, data l'importanza degli Stati Uniti sul mercato tecnologico, la prevalenza dei suoi standard (legali) basati sulla sua posizione di mercato non è da escludere e dovrebbe essere contrastata, ad esempio attraverso forti posizioni dei tribunali a favore della privacy, al fine di ripristinare un contesto globale equilibrato.
Alcune considerazioni conclusive
Il contesto presentato non intende fornire una visione totalmente pessimistica, sostenendo che gli standard dei diritti umani saranno necessariamente ridotti a causa del predominio economico degli Stati Uniti. Piuttosto, l’analisi mette in guardia contro il rischio di una sorta di “effetto Bruxelles inverso” e sostiene che dovrebbero essere compiuti sforzi per evitare che il potere economico degli Stati Uniti porti ad un abbassamento degli standard di privacy quando si tratta di sorveglianza dei metadati. Per fare ciò, le autorità europee dovrebbero impegnarsi in una revisione attenta e approfondita degli standard adottati negli Stati Uniti – e in qualsiasi altro paese terzo con cui l’UE scambia dati. La recente revisione della Commissione Europea sull’implementazione del Data Privacy Framework (DPB) statunitense sembra andare in questa direzione.
Su un piano più istituzionale, questo commento fa luce su quanto sia essenziale il ruolo dei tribunali nel trovare e mantenere un equilibrio tra la sicurezza, innegabile per garantire la sopravvivenza delle nostre società, e i diritti umani, essenziali se tali società sono disposte a essere considerato “democratico”.
Questa è la traduzione automatica di un articolo pubblicato su Verfassungsblog all’URL https://verfassungsblog.de/data-retention-in-a-cross-border-perspective/ in data Thu, 28 Nov 2024 16:02:47 +0000.