Babele Oggi

Una selezione di notizie dalla Galassia

Blog costituzionale

Di benefici minori e costi maggiori

Babele Oggi

La conservazione generale e indiscriminata dei dati è consentita nel quadro dei diritti fondamentali dell’UE? È passato un decennio da quando alla Corte di giustizia dell’Unione europea (CGUE) è stata posta questa questione giuridica un po’ eccessivamente semplicistica. Per un decennio, diverse iterazioni di questa questione giuridica, sia che riguardasse le varie forme di dati in questione o gli scopi per i quali i dati vengono conservati, ad esempio l'antiterrorismo, la sicurezza nazionale o le indagini penali, sono giunte ripetutamente alla CGUE. Ogni ripetizione di una domanda simile ha rivelato il ruolo crescente del settore privato nelle forze dell’ordine e nel campo della sicurezza nazionale a scapito della protezione dei diritti fondamentali degli individui. Il caso La Quadrature du Net II aggiunge una nuova formulazione alla questione: in che misura i fornitori di servizi Internet possono conservare gli indirizzi IP dei propri utenti in modo che HADOPI (Haute Autorité pour la Diffusion des Œuvres et la Protection des droits d'auteur sur Internet) – l’autorità amministrativa francese per la tutela del diritto d’autore, può accedere ai dati di identità civile collegati a tali indirizzi per irrogare sanzioni? Nel rispondere a questa domanda, la Corte inclina la scala metaforica verso l’interesse delle indagini penali. L’esito del caso potrebbe contribuire all’ampliamento della sorveglianza privatizzata che si basa su uno schema generalizzato di conservazione preventiva dei dati. Le conclusioni della Corte potrebbero consolidare le pratiche intrusive che emergono dalla narrativa antiterrorismo in una pratica statale regolare, a scapito della protezione dei diritti fondamentali.

Dagli inizi pieni di speranza a un futuro cauto

Le autorità di contrasto e le agenzie di sicurezza lodano l'analisi dei dati delle comunicazioni come fondamentale nelle indagini penali e nelle questioni di sicurezza nazionale, al punto che gli Stati hanno incaricato i fornitori di servizi di comunicazione elettronica, che detengono la chiave dell'enorme quantità di dati estratti dai loro utenti, di fornire dati obblighi di conservazione per garantire che i dati non vengano cancellati quando necessario. Il risultato è la collaborazione tra attori del settore privato e autorità di contrasto per prevenire, individuare, indagare e perseguire i crimini in un modello di azione preventiva. I confini sono quindi sfumati per quanto riguarda la responsabilità e la supervisione degli schemi di conservazione dei dati che si basano su questa collaborazione.

Dieci anni fa, la sentenza della CGUE Digital Rights Ireland e le sue successive conclusioni nel caso Tele2 rappresentavano un raggio di speranza per il rafforzamento dei diritti fondamentali contro gli schemi preventivi e generalizzati di conservazione dei dati. La Corte ha criticato la grave interferenza che tali schemi causano al godimento dei diritti alla privacy e alla protezione dei dati da parte degli individui come prescritto dalla Carta dell’UE – al punto che sono serviti da precedente per sostenere che gli schemi indiscriminati di conservazione dei dati erano preclusi ai sensi del diritto dell’UE, poiché comportano interferenze sproporzionate con i diritti della Carta (per l’analisi delle decisioni vedere qui ).

Questa tendenza attorno a un solido discorso sui diritti fondamentali da parte della CGUE ha iniziato a cambiare con le sue decisioni La Quadrature du Net e Privacy International del 2020, in cui ha iniziato a eliminare gli obiettivi di sicurezza per i quali gli Stati membri possono imporre la conservazione di diversi tipi di dati dai servizi di comunicazione fornitori.provider. Una questione giuridica comune in entrambi i casi era l'applicabilità del diritto dell'UE alla contestata legislazione nazionale sulla conservazione dei dati, che i governi francese e britannico sostenevano fosse basata sulle norme di sicurezza nazionale previste dal Trattato UE (vale a dire, l'articolo 4(2) ) TUE) e la normativa specifica dell'UE che disciplina gli obblighi di trattamento dei dati dei fornitori di servizi di comunicazione elettronica, ovvero la direttiva e-Privacy). Se la Corte avesse concordato sul fatto che la pertinente normativa nazionale sulla conservazione dei dati esula dall’ambito di applicazione del diritto dell’UE, i doveri di tali fornitori di servizi sarebbero sfuggiti al suo controllo, per poi essere soggetti al diritto costituzionale nazionale e alla Convenzione europea sui diritti dell’uomo ( La Quadrature du Netto , punto 103).

Tuttavia, la legislazione in questione si basava sulla deroga in materia di sicurezza nazionale ai sensi dell’articolo 15, paragrafo 1, della direttiva e-Privacy, che consentiva agli Stati membri di imporre ai fornitori di servizi di conservare i dati delle comunicazioni (compresi gli indirizzi IP) più a lungo del periodo richiesto dalla disposizione. dei loro servizi (punti 95-96 e 101). Obbligare i fornitori di servizi a conservare i dati per legge ha interferito con i diritti degli utenti del servizio alla privacy e alla protezione dei dati (paragrafi 114-115). Questo mandato giuridico doveva essere proporzionato all’obiettivo che si prefiggeva di raggiungere: proteggere la sicurezza nazionale e combattere i reati gravi (punti 121-122).

La conservazione degli indirizzi IP come grave lesione al diritto alla privacy

Anche se ciò avrebbe potuto in parte affrontare le questioni di responsabilità legale legate alla privatizzazione legale, in cui gli attori del settore privato sono incaricati dalla legge di agire nell'interesse degli obiettivi di sicurezza degli Stati (per il concetto di privatizzazione legale di de Londras, vedere qui ), le critiche si sono concentrate su l’analisi di proporzionalità dei diversi mandati di conservazione e categorie di dati comunicati (vedi qui ). Questo mandato di mantenimento doveva essere proporzionato all’ingerenza che causava al godimento di tali diritti. Con la sua valutazione della proporzionalità, la Corte si è concentrata sui diversi scopi di conservazione legati alla sicurezza pubblica, da quello più grave rappresentato dagli interessi di sicurezza nazionale alla lotta ai crimini gravi. Quanto più una misura di trattenimento è invasiva, tanto più serio dovrebbe essere lo scopo di pubblica sicurezza. L'indirizzo IP, tuttavia, non rivelava la vita privata delle persone tanto quanto gli altri tipi di dati sul traffico, mostrando solo il proprietario dell'apparecchiatura terminale ( La Quadrature du Net , punto 152). Rivelare il titolare potrebbe essere l'unico modo per indagare sull'autore di un reato online (comma 154), incentivando il legislatore a imporre una conservazione generale e indiscriminata dei dati ai fornitori di servizi internet in modo che le informazioni siano disponibili oltre il periodo per il quale sono necessario ai fini della fatturazione (par. 155). Tuttavia, l'indirizzo IP potrebbe essere utilizzato per profilare le attività online degli utenti (par. 153). Per mitigare questa possibilità, la legislazione che imponeva un obbligo di conservazione dei dati doveva rispettare determinate condizioni, principalmente l’obiettivo di combattere i reati gravi, prevenire minacce alla sicurezza pubblica e salvaguardare la sicurezza nazionale (par. 156). Una lettura inversa di questa conclusione sarebbe che l’obiettivo di indagare su crimini non gravi non giustifica la conservazione generale e indiscriminata degli indirizzi IP a causa dell’interferenza sproporzionata che provoca con la privacy e i diritti di protezione dei dati.

Nella sentenza La Quadrature du Net II la CGUE non si è opposta a questa potenziale lettura inversa. Essa ha distinto la normativa controversa sulla base della sua valutazione secondo cui l'HADOPI aveva un accesso limitato ai dati conservati – poteva accedere solo all'identità civile del titolare dell'indirizzo IP. Se, come ha sostenuto la Corte, non esisteva la possibilità di effettuare una profilazione sulla base degli indirizzi IP conservati, l’ingerenza derivante dalla conservazione generale ed indiscriminata dei dati non poteva essere considerata “grave”. Con questa soglia più bassa per l’interferenza sui diritti, la Corte ha ritenuto che i fornitori di servizi Internet potessero essere obbligati a conservare tutti gli indirizzi IP dei loro utenti del servizio per combattere i “reati in generale” (paragrafo 82), per quanto minori possano essere. Questa privatizzazione legale generalizzata doveva soddisfare standard specifici – ma per quanto gradito sia stato il tentativo della Corte di limitare questa sorveglianza indiscriminata, gli standard stabiliti sembrano non essere in grado di affrontare la logica sottostante.

Oh, il principio di proporzionalità. Dove sei?

In definitiva, tali standard erano volti a garantire che l’ingerenza non fosse grave impedendo la profilazione online (punti 86-90). Senza tale profilazione, il costo per i diritti fondamentali delle persone potrebbe essere bilanciato con il beneficio della conservazione dei dati per indagare su crimini comuni. Questo approccio, tuttavia, coglie solo un aspetto limitato degli impatti della privatizzazione della sorveglianza in questione.

Il problema qui è che questa azione preventiva non considera le circostanze individuali di ciascun caso, poiché si presume che l’antiterrorismo e gli interessi di sicurezza nazionale siano guidati da un imperativo a rischio zero. Uno schema generalizzato di conservazione degli indirizzi IP non prende di mira persone specifiche in base al loro coinvolgimento in presunti comportamenti criminali. Riguarda tutti coloro che utilizzano Internet, indipendentemente dal loro comportamento online. Ciò porta a trattare chiunque come autore di un reato penale: il regime di accesso, nonostante le conclusioni contrarie della CGUE, non garantisce la stessa protezione senza un controllo indipendente. Per quanto riguarda il test di proporzionalità, da un lato della bilancia c’è la prevenzione (anche minore) della criminalità. Dall’altro vi sono categorie di interessi diverse dalla libertà dalla profilazione online, come la presunzione di innocenza e la ragionevole aspettativa di anonimato online. La corte, tuttavia, non ha esplorato il caso di tali interessi e si è concentrata esclusivamente sulla profilazione online. Interessi diversi potrebbero richiedere diversi livelli di protezione. Senza questa analisi, la conservazione degli indirizzi IP veniva considerata un costo minore, mentre l’indagine sui crimini comuni veniva considerata un vantaggio significativo. Una logica preventiva che si ritrova nella retorica dell’antiterrorismo e della sicurezza nazionale ricercata nella prevenzione ordinaria della criminalità a scapito dei diritti fondamentali.

Inoltre, questo abbassamento della tutela dei diritti fondamentali nel quadro dell’UE potrebbe avere un impatto anche sulla protezione dei dati trasferiti dall’UE a paesi terzi. Nelle cause Schrems I e II , la CGUE ha adottato una lettura rigorosa del livello di adeguatezza che il paese ricevente deve permettersi per i dati in arrivo, criticando i suoi schemi indiscriminati di conservazione dei dati. Le sue scoperte nella saga Schrems sono più protettive nei confronti dei dati personali rispetto alla sua recente giurisprudenza, l’ultima delle quali è La Quadrature du Net II . La recente posizione della CGUE sulla questione potrebbe potenzialmente fungere da leva per respingere le preoccupazioni sugli estesi poteri di sorveglianza delle forze dell'ordine e delle autorità di intelligence nel Regno Unito quando la Commissione europea riconsidererà le sue decisioni di adeguatezza per le leggi del Regno Unito che proteggono i dati personali nel giugno 2025 (cfr. Qui ). La compatibilità delle leggi sulla sorveglianza del Regno Unito con il quadro normativo dell’UE sui diritti fondamentali continua ad essere una questione aperta. Per quanto La Quadrature du Net II possa indicare che la giurisprudenza della CGUE sulla conservazione dei dati continua ad evolversi verso l’annullamento della precedente lettura restrittiva della Corte sulla conservazione dei dati ammissibile, ulteriori questioni permangono mentre il Regno Unito intende modificare la propria legislazione sulla protezione dei dati. Le leggi sulla sorveglianza, quindi, sono tra molti altri problemi che devono essere riconsiderati nella valutazione dello stato di adeguatezza del Regno Unito. Proprio come la giurisprudenza della CGUE, nulla è risolto.

Questa è la traduzione automatica di un articolo pubblicato su Verfassungsblog all’URL https://verfassungsblog.de/of-minor-benefits-and-major-costs/ in data Thu, 28 Nov 2024 10:54:25 +0000.