Accesso transfrontaliero ai dati degli utenti da parte delle forze dell’ordine: anno 2021 in revisione

Apparentemente, le forze dell'ordine in tutto il mondo stanno ottenendo la loro lista dei desideri delle feste, grazie all'adozione da parte del Consiglio d'Europa di un nuovo protocollo imperfetto alla Convenzione di Budapest, un trattato che disciplina le procedure per l'accesso alle prove digitali oltre confine nelle indagini penali. Il Secondo Protocollo aggiuntivo ("il Protocollo") alla Convenzione di Budapest, che rimodellerà il modo in cui la polizia di un paese accede ai dati delle società Internet con sede in un altro paese, è stato fortemente influenzato dalle forze dell'ordine e impone nuovi poteri di polizia intrusivi senza adeguate tutele per la privacy e altri diritti fondamentali.

È stato approvato il 17 novembre 2021, una grave delusione che può mettere in pericolo utenti di tecnologia, giornalisti, attivisti e popolazioni vulnerabili in paesi con fragili protezioni della privacy e indebolire il diritto di tutti alla privacy e alla libertà di espressione in tutto il mondo. A seguito della decisione del Comitato dei Ministri del Consiglio d'Europa del CdE , il Protocollo aprirà le firme ai Paesi che hanno ratificato la Convenzione di Budapest ( attualmente 66 Paesi ) intorno a maggio 2022.

È stata una lunga lotta e un anno molto impegnativo. L'EFF, insieme a CIPPIC , European Digital Rights (EDRi) e altri alleati, si è battuto per far sapere al CdE e al mondo che il Protocollo veniva approvato senza adeguate protezioni dei diritti umani . A febbraio abbiamo lanciato avvertimenti sul problema e notato che le riunioni di bozza per finalizzare il testo si sono svolte a porte chiuse, escludendo la società civile e persino le autorità di regolamentazione della privacy. Dopo che la bozza di protocollo è stata approvata a maggio dal Comitato per la criminalità informatica del CdE, l'EFF e 40 organizzazioni hanno esortato il Comitato dei ministri , che rivede anche la bozza, a concedere più tempo per suggerimenti e raccomandazioni in modo che i diritti umani siano adeguatamente protetti nel protocollo.

Ad agosto, abbiamo presentato 20 raccomandazioni solide e complete per rafforzare il protocollo, tra cui la richiesta alle forze dell'ordine di ottenere un'autorizzazione giudiziaria indipendente come condizione per le richieste transfrontaliere di dati degli utenti, il divieto alle squadre investigative della polizia di aggirare le salvaguardie della privacy negli accordi segreti di trasferimento dei dati e l'eliminazione delle disposizioni che impongono ai fornitori di Internet di collaborare direttamente con gli ordini delle forze dell'ordine straniere per i dati degli utenti, anche laddove le leggi locali richiedono loro di disporre di un'autorizzazione giudiziaria indipendente per tali divulgazioni. Abbiamo poi difeso la nostra posizione in un'audizione virtuale davanti all'Assemblea parlamentare del Consiglio d'Europa (APCE), che ha suggerito emendamenti al testo del Protocollo.

Purtroppo, PACE non ha preso a cuore tutte le nostre preoccupazioni. Sebbene alcuni dei nostri suggerimenti siano stati seguiti, il nucleo delle nostre preoccupazioni in merito a standard di privacy deboli non è stato affrontato. Il rapporto e l' opinione di PACE sulla questione rispondono alla nostra posizione rilevando un "difficile dilemma" sull'obiettivo della cooperazione legale internazionale date le leggi e le garanzie significativamente incoerenti nei paesi che aderiranno al trattato. PACE teme che "standard più elevati [potrebbero] mettere a repentaglio" l'obiettivo di combattere efficacemente la criminalità informatica e conclude che sarebbe impraticabile rafforzare le regole di protezione della privacy. Fondamentalmente, PACE è disposta a sacrificare i diritti umani e la privacy per convincere più paesi a firmare il loro trattato.

Questa posizione è sfortunata, poiché molte parti del Protocollo sono una lista dei desideri delle forze dell'ordine , non sorprende poiché è stata scritta principalmente da pubblici ministeri e funzionari delle forze dell'ordine. Nel frattempo, le lacune nella protezione dei diritti umani ai sensi delle leggi di alcuni paesi partecipanti sono profonde. Come EFF ha dichiarato a PACE nella sua testimonianza alla sua audizione virtuale , i poteri dettagliati delle forze dell'ordine internazionali dovrebbero essere accompagnati da solide tutele legali per la privacy e la protezione dei dati. "Il Protocollo evita apertamente di imporre forti salvaguardie armonizzate nel tentativo attivo di invogliare gli stati con precedenti in materia di diritti umani più deboli a firmare", ha affermato EFF. “Il risultato è una netta diluizione della privacy e dei diritti umani su scala globale. Ma il diritto alla privacy è un diritto universale”.

PACE ha suggerito al Comitato dei Ministri alcune modifiche a tutela della privacy, alcune delle quali basate sui nostri suggerimenti, ma il Comitato non le ha tenute in considerazione. Ad esempio, l'APCE ha convenuto che il protocollo dovrebbe includere nuovi riferimenti alla proporzionalità come requisito nella tutela della privacy e della protezione dei dati (articoli 13 e 14). Ha anche affermato che "le immunità di alcune professioni, come avvocati, medici, giornalisti, ministri religiosi o parlamentari" dovrebbero essere esplicitamente rispettate e che dovrebbero esserci statistiche pubbliche su come sono stati utilizzati i poteri creati dal Protocollo e quante persone sono stati colpiti.

Altre preoccupazioni della società civile sono rimaste irrisolte; tra i vari esempi, PACE non ha proposto modifiche a una disposizione che vieta agli Stati di mantenere standard adeguati per l' accesso ai dati biometrici . Il Consiglio dei ministri ha quindi vincolato un regalo di festa alle forze dell'ordine adottando il Protocollo così com'è, senza nessuno dei miglioramenti suggeriti dall'Apce. Di conseguenza, l'applicazione delle salvaguardie dei diritti umani spetterà all'ampia gamma di singoli paesi che ora aderiranno al trattato nel prossimo futuro.

Ulteriori combattimenti su The Horizon per il 2022

Con l' adozione del Protocollo , ci saranno ora dibattiti nei parlamenti nazionali di tutto il mondo sulla sua ratifica e sugli standard che i paesi adottano durante l'attuazione. Ci sarà l'opportunità per i paesi di dichiarare riserve quando accedono al trattato. Ciò significa numerose possibilità a livello nazionale di influenzare il modo in cui i governi agiscono in base al Protocollo per tutto il 2022. Le persone, e le autorità nazionali per la protezione dei dati, nei paesi con una forte protezione delle informazioni personali dovrebbero richiedere che tali salvaguardie non siano eluse mediante l'attuazione del Protocollo.

Questo è in particolare il caso dei paesi dell'Unione Europea. Nonostante le forti critiche al protocollo da parte del Comitato europeo per la protezione dei dati, che rappresenta tutte le 27 autorità nazionali per la protezione dei dati nell'UE, la Commissione europea ha consigliato agli Stati membri di aderire al protocollo con il minor numero possibile di riserve. I paesi dell'America Latina dovrebbero anche essere cauti e consapevoli delle loro sfide particolari .

Le forze dell'ordine spinte per una rapida adozione del protocollo non avrebbero dovuto ignorare le attuali garanzie legali o compromettere i dibattiti nazionali verso standard minimi adeguati. I sostenitori della protezione dei dati e della privacy in tutto il mondo dovrebbero essere pronti a combattere.

Il Segretario generale del CdE ha accolto con favore l'adozione del Protocollo "nel contesto di un Internet libero e aperto in cui le restrizioni si applicano solo come mezzo per combattere la criminalità" – una visione ottimistica, senza dubbio, data la recente ondata di intenserepressioni di Internet da parte dei governi , tra cui alcuni firmatari della Convenzione di Budapest.

In primo luogo, parte dell'impulso per affrettare l'adozione del protocollo è stato quello di prevenire gli sforzi per creare un quadro più invadente per la polizia transfrontaliera. Nello specifico, un nuovo trattato internazionale sulla criminalità informatica , proposto per la prima volta dalla Russia, sta ottenendo consensi alle Nazioni Unite. Il trattato delle Nazioni Unite sulla criminalità informatica affronterebbe molti degli stessi poteri investigativi del Protocollo e della Convenzione di Budapest in modi che potrebbero essere ancora più preoccupanti per i diritti umani. (Come sfondo, la Russia promuove il suo trattato sulla criminalità informatica daalmeno un decennio ). Sfortunatamente, l'adozione del Protocollo non ha impedito questi sforzi. Non solo questi sforzi stanno attivamente andando avanti, ma il Protocollo ha ora creato una nuova base di poteri di polizia invasivi per la privacy che il trattato delle Nazioni Unite può ampliare. I negoziati sul trattato ONU inizieranno a gennaio .

L'EFF e i suoi alleati della società civile stanno già sostenendo un approccio basato sui diritti umani alla stesura del trattato ONU proposto e stanno spingendo per un ruolo più attivo nei negoziati delle Nazioni Unite di quanto non sia stato concesso dal CdE. Il nostro obiettivo nel prossimo anno sarà quello di collaborare con i nostri alleati in tutto il mondo per garantire che tutte le nuove regole di accesso ai dati incorporino garanzie chiare e solide dei diritti umani.

Questo articolo fa parte della nostra serie Year in Review. Leggi altri articoli sulla lotta per i diritti digitali nel 2021.