Babele Oggi

Una selezione di notizie dalla Galassia

Blog costituzionale

Le cose diverse non sono le stesse

Babele Oggi

Recentemente sono apparsi due articoli sul Constitution Blog riguardanti l'uso di PimEyes da parte della polizia e i procedimenti penali. Con l'aiuto del software le forze dell'ordine sarebbero riuscite a localizzare la terrorista della RAF Daniela Klette tramite il sito web di un club di capoeira di Kreuzberg. Christian Thönnes ha sostenuto che tramite PimEyes si accedeva ai “dati di conservazione”, motivo per cui l’uso di questo software sarebbe consentito solo secondo gli standard della Corte di giustizia europea per la conservazione dei dati . Vorrei contraddirlo e sottolineare che, sebbene PimEyes sia discutibile dal punto di vista della sicurezza, non rappresenta una forma di conservazione dei dati. Si tratta di un accesso procedurale penale legato ad eventi a dati di massa privati ​​e non regolamentati. Si tratta di un'area problematica separata con molte questioni aperte, soprattutto perché l'atto investigativo non è ancora stato regolato dalla legge. Tuttavia, sulla base della giurisprudenza della Corte costituzionale federale, è già possibile dedurre i principi fondamentali di cui il legislatore dovrà tenere conto nel creare la base di autorizzazione per software come PimEyes .

PimEyes , Quick-Freeze e conservazione dei dati

Ricordiamo: PimEyes cerca file di immagini in Internet e utilizza l'intelligenza artificiale per riconoscere, tra le altre cose, Volti (spiegato qui ). Attualmente non esiste una base giuridica specifica per l'utilizzo di questo software nell'ambito di un procedimento penale. Il presunto utilizzo del software da parte delle autorità di sicurezza potrebbe quindi essere illegale , poiché la “raccolta mirata di dati generalmente accessibili” necessita di una propria base giuridica secondo il BVerfG ( qui punto 309).

Tuttavia Thönnes ha già ipotizzato che una base giuridica per la domanda non potrebbe essere creata affatto o solo entro limiti ristretti, poiché l'uso corrisponde alla “conservazione dei dati”. Mi sembra che ci sia un malinteso sul termine conservazione dei dati.

La questione della conservazione dei dati è una questione politica e giuridica da oltre due decenni e attualmente minaccia di riacutizzarsi. Alcune settimane fa, dopo una lunga resistenza da parte della SPD, il governo federale ha annunciato di voler introdurre il successore della conservazione dei dati, la cosiddetta procedura di congelamento rapido . Ma per alcune voci politiche questo non è sufficiente . A peggiorare le cose, pochi giorni fa la Corte di giustizia europea ha anche abbassato i requisiti per l'accesso agli indirizzi IP memorizzati. Non si può pretendere la fine della controversia. Piuttosto il contrario.

È quindi giunto il momento di fare più luce sul concetto di conservazione dei dati e di distinguere tra i vari problemi attuali legati all’utilizzo dei dati da parte della polizia. Uno sguardo più attento mostra che ci sono differenze significative tra i regimi di conservazione dei dati e fenomeni come PimEyes .

Sul concetto di conservazione dei dati

Quando nella Repubblica Federale si parla di conservazione dei dati si intende quasi sempre la memorizzazione dei dati del traffico delle telecomunicazioni (vedi Albers in Zubik/Podkowik/Rybski (a cura di), Data Retention, 2021, p. 117 ss.). I dati di traffico sono dati che non riguardano il contenuto delle telecomunicazioni, ma solo le circostanze delle telecomunicazioni (chi ha comunicato a distanza, quando, con chi, per quanto tempo, da dove e con quale IP o MAC, ecc.?).

Fino a pochi anni fa questi dati erano regolarmente a disposizione degli operatori di telecomunicazioni, poiché nell'età appena tollerabile prima dei contratti forfettari venivano utilizzati per calcolare i costi dei contratti di telefonia mobile o simili. dovevano essere raccolti. Poiché di norma le fatture devono essere conservate per motivi di diritto commerciale e fiscale (§ 257 comma 4 HGB, § 147 AO), i dati sul traffico erano generalmente disponibili e potevano essere utilizzati da diverse autorità per indagini ( Breyer 2005, pag. 13 ). Con la fine della riscossione dei costi basata sull’utilizzo questi dati rischiavano di andare perduti, motivo per cui il legislatore europeo ha rapidamente obbligato i fornitori a memorizzare i dati sul traffico e a trasmetterli.

È noto che la Corte di giustizia europea ha ritenuto sproporzionata questa direttiva e l'ha dichiarata nulla. Anche i tentativi dei legislatori nazionali di introdurre regimi corrispondenti in modo indipendente sono falliti. Soprattutto la Francia e il Belgio si sono dimostrati particolarmente ostinati e, qualche anno fa, hanno convinto la Corte di giustizia europea a ridurre significativamente i suoi requisiti e ad indicare la possibilità di un utilizzo massiccio dei dati sul traffico.

In base a ciò, la “procedura di congelamento rapido” è consentita (vedi ultimo paragrafo 75 qui ). I dati sul traffico non vengono memorizzati in modo casuale e universale, ma solo da una persona specifica su richiesta quando se ne presenta l'occasione. Questa misura dovrebbe ora essere incorporata nelle leggi sulla sicurezza della Repubblica federale.

Dati di massa nelle forze dell’ordine: regola invece che eccezione

Oggi il termine conservazione dei dati non viene più utilizzato esclusivamente in relazione ai dati sul traffico delle telecomunicazioni, poiché esistono ora obblighi di conservazione per i dati passeggeri e finanziari non dissimili dalla direttiva sulla conservazione dei dati. Se si osserva solo la formulazione del termine, non è possibile limitarsi ai dati menzionati, perché tutti i dati archiviati da qualche parte vengono archiviati "di riserva".

In realtà, l’utilizzo di dati archiviati in modo massiccio non è un fenomeno derivante esclusivamente dai suddetti obblighi di archiviazione, anche se a volte può sembrare così. Le autorità di contrasto sono sempre state convinte che tutti i dati disponibili ovunque possano in linea di principio essere raccolti nell'ambito delle indagini (cfr. Masing , NJW 2012, 2305 [2309]), indipendentemente da quanto tempo questi dati siano stati "immagazzinati". In caso di dubbio le autorità giudiziarie si limitano a basare le richieste dei privati ​​sulla clausola generale di indagine di cui all'articolo 161 comma 1 frase 1 Alt. 2 StPO.

È degno di nota il fatto che la StPO non contenga ancora una base (costituzionale) per le richieste di informazioni da parte di privati, poiché gli attori privati ​​hanno da tempo sostituito lo Stato come maggiore collettore di dati. Di questa circostanza non si tiene sufficientemente conto nell’ormai obsoleto StPO (vedi ad esempio Singelnstein , NStZ 2012, 593 (603 ss.); Kölbel in MüKo StPO, § 161 Rn. 26). Esistono norme esemplari, come ad es. § 8a par. 1 BVerfSchG.

In ogni caso, dalla prassi investigativa risulta chiaramente che l’utilizzo di dati di massa privati, anche se devono essere archiviati per motivi commerciali o fiscali (ad esempio articolo 257 del Codice commerciale tedesco), non può costituire conservazione dei dati. In caso contrario l'art. 161 par. 1 frase 1 Alt. 2 StPO dovrebbe essere misurato rispetto agli standard delle corrispondenti sentenze della CGUE e del BVerfG. Non mi sembra che questa fosse l'intenzione dei tribunali.

Ovviamente l’equazione conservazione di massa dei dati + possibile accesso da parte delle forze dell’ordine/autorità di sicurezza = conservazione dei dati non funziona.

La conservazione dei dati nello Stato di Costituzione e il principio di reattività

Le ragioni per cui la direttiva sulla conservazione dei dati ha effettivamente rappresentato una grave violazione dei diritti fondamentali non sono perché la direttiva ha consentito l’accesso ai dati di massa in termini di sicurezza, ma piuttosto a causa della deviazione dai principi costituzionali che accompagna lo Stato che ordina l’archiviazione per scopi di sicurezza:

La conservazione dei dati di telecomunicazione, dei passeggeri e finanziari, a differenza dell'archiviazione delle fatture alberghiere, avviene in definitiva per scopi di sicurezza e non per scopi fiscali o economici. Ciò è discutibile secondo lo Stato di diritto: ordinando la memorizzazione di determinati dati espressamente per facilitare o consentire indagini, lo Stato indica di presumere la potenziale necessità di questi dati per indagare o prevenire comportamenti criminali ( Puschke/Singelnstein , NJW 2008 , 113 [118] e all'inizio Lisken , ZRP 1994, 264 [267 ss.]).

Ordinando la memorizzazione di dati fondamentalmente innocui per un'eventuale raccolta di informazioni di sicurezza, lo Stato rompe con l'idea di base secondo cui fondamentalmente si fida dei garanti e interviene nelle informazioni per motivi di sicurezza solo se riceve ragioni adeguate per farlo. Lo Stato deve essenzialmente comportarsi in modo reattivo nel contesto della garanzia della sicurezza.

Rompere con questa struttura reattiva è ciò che rende la conservazione dei dati (e altre misure di sorveglianza di massa) così sensibili.

Restrizioni legali sugli strumenti di analisi come PimEyes

L'analisi dell'intera rete da parte di web crawler specializzati in dati immagine è strutturalmente diversa dalla "conservazione dei dati". Lo Stato stesso non memorizza qui alcun dato né ne ordina la memorizzazione, ma utilizza invece PimEyes come modello di ricerca in un'occasione specifica per cercare tra file di immagini liberamente accessibili.

Ma ciò non significa che non dovrebbero esserci requisiti elevati per il loro utilizzo. PimEyes porta anche a una sensibile interferenza con il diritto all'autodeterminazione informativa, perché influenza il modo in cui possiamo percepire la privacy su Internet: l'uso di web crawler da parte della polizia significa che gli utenti della rete non possono più aspettarsi nulla di più a causa dell'enorme volume di dati di godere di un certo grado di anonimato da parte dello Stato. L’uso di software automatizzati che elaborano enormi quantità di dati va oltre le indagini tradizionali.

L’adeguamento del lavoro di polizia al progresso digitale è necessario, ma deve essere accompagnato dalla legge. Le rudimentali basi autorizzative degli atti investigativi classici (soprattutto le clausole generali) non sono più sufficienti. Il BVerfG ha quindi giustamente affermato nella sua decisione sulle ricerche online che gli strumenti di analisi di massa necessitano di una propria base giuridica, anche se i dati con essi elaborati sono liberamente accessibili ( qui punto 309). Si può solo essere d'accordo con questo. Dal punto di vista dei titolari dei diritti fondamentali, la pretesa delle autorità di contrasto di poter ottenere, se necessario, tutti i dati esistenti è difficilmente compatibile con il fatto che i dati personali sono disponibili ovunque nell'era dell'informazione. Le indagini su Internet non dovrebbero essere più difficili delle indagini nel mondo analogico. D’altro canto la rete non dovrebbe essere a disposizione delle autorità investigative e di sicurezza come un honeypot.

Analisi di dati di massa nella giurisprudenza del BVerfG

Da molti anni il BVerfG affronta con successo questo contrasto tra tutela della privacy ed efficacia investigativa, ricavando dai diritti fondamentali requisiti concreti per la base per l'autorizzazione di determinati atti investigativi.

Poco più di un anno fa, nella sua decisione sulle leggi di polizia ad Amburgo e in Assia , il BVerfG ha stabilito determinati requisiti per l'analisi automatizzata di dati di massa. Questa giurisprudenza riguarda l'analisi di dati conservati dalle autorità e precedentemente raccolti per vari motivi (registrazioni anagrafiche, dati di indagini precedenti, ecc.). Non può quindi essere applicato direttamente a PimEyes , ma si adatta molto meglio dei giudizi sulla conservazione dei dati.

Il BVerfG attesta che le analisi automatizzate dei dati hanno un livello di intervento autonomo, indipendentemente dall'origine dei dati, perché consentono l'elaborazione di insiemi di informazioni ampi e complessi (n. 69). Il peso dell'intervento è determinato principalmente dal tipo di dati utilizzati o dal tipo di conoscenza generata, dalla quantità dei dati e dalla segretezza della misura/indagine. In base al peso dell'intervento è possibile determinare quanto stringenti dovranno essere i requisiti per l'utilizzo della misura (“qualunque formula”).

Quando si utilizzano i web crawler, tuttavia, le diverse banche dati non vengono confrontate e combinate, ma viene cercata solo una banca dati predefinita, anche se molto grande, anziché in base a un'immagine modello (spiegata qui ). Ciò significa che l’analisi non è rilevante per la personalità quanto il confronto strutturale di diversi set di dati. Tuttavia, la misura elabora segretamente i dati di un gran numero di persone. Secondo gli standard del BVerfG l'intervento sarà probabilmente significativo, ma non troppo severo.

Di conseguenza, l’uso dei web crawler a fini investigativi dovrà probabilmente essere limitato all’indagine o alla prevenzione di determinati crimini che vanno oltre una soglia banale. Inoltre i sospetti sull'autore del fatto dovrebbero già essere aumentati oppure dovrebbe sussistere un pericolo urgente. Sarà possibile rinunciare alla riserva d'uso del giudice, ma non agli obblighi di protocollo, di rendicontazione e di protezione generale dei dati.

Alla fine, solo il BVerfG può determinare esattamente come dovrebbe essere progettato. Sulla base delle esperienze passate, è dubbio che il legislatore stesso riuscirà a realizzare un disegno che rispetti i diritti fondamentali. Tuttavia, non dovrebbe prestare attenzione alle “istruzioni di navigazione” derivanti dai giudizi sulla conservazione dei dati nei suoi esperimenti, poiché PimEyes è fondamentalmente diverso dai regimi di conservazione dei dati.

Questa è la traduzione automatica di un articolo pubblicato su Verfassungsblog all’URL https://verfassungsblog.de/things-that-are-different-are-not-the-same/ in data Fri, 03 May 2024 08:01:23 +0000.