Blog costituzionale

Testare il terreno dei pool di dati privati

Al giorno d’oggi, i dati vengono per lo più raccolti non dagli attori statali ma dalle imprese. Per poter utilizzare i dati raccolti da queste aziende, le autorità di contrasto spesso le obbligano a consegnare i propri registri. Per garantire che le aziende raccolgano effettivamente (e non cancellino) i dati più utili per queste autorità, i legislatori hanno previsto obblighi di conservazione. Tuttavia, solo i dati molto specifici sono soggetti a tale conservazione, mentre la maggior parte dei dati viene archiviata dalle aziende per il proprio interesse economico. Ai fini di un resoconto di sorveglianza generale, ciò solleva la questione se i dati raccolti da attori statali (come i registri dei nomi dei passeggeri delle compagnie aeree [PNR] ) debbano essere trattati diversamente. Sebbene molti siano preoccupati per quest’ultimo aspetto, le potenziali minacce che questi pool di dati privati ​​rappresentano per l’esercizio dei diritti fondamentali vengono spesso trascurate. In ogni caso, un resoconto della sorveglianza generale richiede dati più empirici sull’esercizio dei poteri di sorveglianza per fornire un quadro completo del livello di sorveglianza in una società.

Prevenire la sorveglianza totale

La recente decisione della CGUE ( “La Quadrature Du Net II” ) sulla conservazione dei dati ha riportato in auge il sogno di obblighi di conservazione dei dati relativi al traffico delle telecomunicazioni – almeno per alcuni . La storia tedesca della conservazione dei dati risale a più di 14 anni fa: nella sua sentenza sulla conservazione dei dati del 2010 , la Corte costituzionale tedesca ha ritenuto che la conservazione dei dati sul traffico sia generalmente consentita, a condizione che le soglie molto rigide per le leggi che regolano la conservazione dei dati siano generalmente consentite. Uno dei requisiti che derivano dalla sentenza è quello che viene chiamato “Aufwachungsvergleich” (di seguito “conto di sorveglianza generale”). Secondo la sentenza, tale considerazione implica che il parlamento tedesco debba considerare le procedure di raccolta dati già esistenti prima di adottare nuove misure di raccolta dati di massa. La corte lo ha ritenuto necessario per evitare una distopia orwelliana in cui il governo è in grado di catturare tutte le attività dei cittadini. Nella citata sentenza del 2010 sulla conservazione dei dati, la Corte costituzionale tedesca ritiene che questo divieto di sorveglianza totale faccia parte dell’identità costituzionale che nemmeno la legislazione dell’UE può sostituire. Pertanto, il conto della sorveglianza generale è necessario per garantire la persistenza dell’identità costituzionale della Germania. In un momento in cui gli attori privati ​​hanno accumulato alcuni dei più grandi pool di dati, ciò fa sorgere la domanda su cosa serva affinché la sorveglianza generale consideri adeguatamente i pool di dati privati.

Dal 2010, il conto della sorveglianza generale si è emancipato da questo contesto specifico per diventare uno strumento per valutare le misure di sorveglianza condotte dalle autorità di sicurezza tedesche più in generale . Un resoconto della sorveglianza generale dovrebbe contenere una valutazione normativa delle misure di sorveglianza pertinenti insieme a un’indagine empirica. La dimensione normativa consente di valutare la possibile intensità di una misura, mentre la valutazione empirica mira a valutarne l'intensità nella pratica, ovvero la frequenza con cui le misure in questione sono state attuate. Entrambi sono essenziali per tenere conto del livello generale di sorveglianza statale in una società.

Il fatto che i dati siano stati raccolti sulla base di un obbligo di conservazione potrebbe essere un fattore importante per determinare l'eventuale intensità di una misura, ad es. e. la valutazione normativa. Questa domanda si estende esplicitamente a tutti i tipi di pool di dati, anche se la discussione pubblica si concentra spesso solo sulla conservazione dei dati del traffico delle telecomunicazioni (come già osservato qui ). Soprattutto con l’avvento dei social media, i dati raccolti dalle piattaforme online sono diventati sempre più importanti per le autorità di contrasto .

Per esaminare in che modo un account di sorveglianza generale può tenere conto dei pool di dati privati, esamineremo innanzitutto i tipi di dati che comprende il concetto di “conservazione dei dati”. Successivamente, esamineremo criticamente se sia giustificato non trattare i pool di dati privati ​​come conservazione dei dati. Infine, analizziamo cosa è necessario fare per consentire un efficace resoconto di sorveglianza generale, tenendo conto dei pool di dati privati.

Non si tratta solo di dati sulle telecomunicazioni

Nel contesto tedesco il termine “conservazione dei dati” o “Vorratsdatenspeicherung” si riferisce alla conservazione precauzionale di dati personali riguardanti il ​​traffico di telecomunicazioni senza indicazione specifica. Se necessario, i dati memorizzati potrebbero essere utilizzati successivamente per scopi non ancora previsti. Ciò è dovuto al fatto che la Corte costituzionale tedesca ha sviluppato la sua giurisprudenza in materia nella sua sentenza del 2010 principalmente alla luce dei dati sul traffico delle telecomunicazioni conservati dai fornitori di servizi come richiesto dalla legge di recepimento della direttiva sulla conservazione dei dati 2006/24/CE . Tuttavia anche in questa sentenza la Corte ha ritenuto che la conservazione dei dati relativi al traffico delle telecomunicazioni potrebbe aprire la strada ad un'ulteriore raccolta preventiva di dati ( punto 218 ), riconoscendo così che è ipotizzabile una conservazione dei dati in altri settori. Tenendo presente ciò, non sorprende che anche la CGUE faccia spesso riferimento alle proprie decisioni sui dati PNR nelle sue sentenze sulla conservazione dei dati (cfr. ad esempio CGUE, sentenza del 6 ottobre 2020, C 511/18 – La Quadrature du Net , par. 115 segg., 130 segg .

Nella pratica, infatti, i dati vengono conservati anche in altri ambiti e con altri mezzi. Ne sono un esempio i dati sui clienti e sull'utilizzo memorizzati dai fornitori di servizi digitali e postali per scopi operativi, che possono essere richiesti dalle autorità di contrasto in determinate circostanze (ad es . § 40 cpv. 2 e § 50 cpv. 2 della legge sull'Ufficio penale federale tedesco). ), così come i dati PNR e i dati finanziari, che vengono raccolti rispettivamente dalle compagnie aeree o dalle banche e trasmessi all'autorità nazionale preposta al trattamento dei dati (ad es . § 2 della legge tedesca sui dati dei passeggeri e § 24c della legge bancaria). ). Pertanto, un resoconto di sorveglianza generale deve considerare anche gli altri tipi di dati raccolti privatamente.

Conservazione dei dati pubblici e privati

Il punto centrale del dibattito sulla conservazione dei dati è l’obbligo degli attori privati ​​di archiviare determinati dati. La semplice archiviazione costituisce già un'ingerenza nei diritti fondamentali, come art. 7 e 8 CFR, art. 8 CEDU nonché art. 2 par. 1 e art. Inoltre, anche i diritti fondamentali della persona vengono pregiudicati quando i dati vengono recuperati dalle autorità di contrasto.

Gli obblighi di conservazione dei dati potrebbero quindi effettivamente aumentare l’intensità della sorveglianza su un individuo. Di conseguenza, le leggi che regolano la raccolta dei dati dai fornitori di servizi di telecomunicazione (dove esiste un obbligo di conservazione, cfr. § 172 par. 1 , 176 Legge tedesca sulle telecomunicazioni) erano più severe di quelle che regolavano la raccolta dei dati dai servizi dove Non esiste alcun obbligo di conservazione, ad esempio i fornitori di servizi digitali, che memorizzano i dati solo per i propri scopi.

Quando sussistono obblighi di conservazione dei dati, lo Stato può presumere che i dati rilevanti siano archiviati e può accedervi in ​​modo affidabile in qualsiasi momento. Ciò si differenzia da una conservazione “arbitraria” dei dati da parte dei fornitori di servizi digitali per scopi commerciali dal punto di vista dello Stato.

Tuttavia, prendendo in considerazione le grandi piattaforme di social media e i motori di ricerca, si delinea un quadro diverso. La maggior parte di questi servizi memorizzano i dati dei clienti nel proprio interesse economico . In alcuni casi, i dati potrebbero essere necessari per il funzionamento dell’azienda. Ad esempio, Netflix memorizza i dati degli utenti a fini di fatturazione e Facebook li memorizza per mostrarli ad altri utenti e pubblicare annunci pubblicitari. In altri, i dati hanno un valore economico, in quanto possono essere venduti . Dopotutto, la dominanza dei dati significa anche potere di mercato .

In questi casi le autorità statali possono fare affidamento sul fatto che i fornitori archiviano dati su larga scala. Anche i fornitori di servizi digitali probabilmente memorizzeranno più dati rispetto ai fornitori di telecomunicazioni e invece di pochi mesi, come previsto dai termini della Sez. 172 della legge tedesca sulle telecomunicazioni , i dati vengono spesso conservati per diversi anni.

Ciò significa che anche quando i servizi digitali memorizzano i dati solo per il proprio interesse, le autorità di contrasto possono comunque accedere a questi dati praticamente in qualsiasi momento. In definitiva, la conservazione dei dati da parte dei servizi digitali è altrettanto intensa per l’individuo quanto la conservazione dei dati da parte dei fornitori di telecomunicazioni.

Tuttavia, altri servizi digitali hanno fatto della privacy il loro modello di business (come Signal) e memorizzano solo i dati assolutamente necessari per il servizio. In questi casi, le autorità di contrasto possono accedere solo a pochi o a nessun dato senza obblighi di conservazione. Di conseguenza, solo quando sono in vigore obblighi di conservazione dei dati le autorità di contrasto possono aspettarsi una quantità minima di dati.

La valutazione della sorveglianza richiede dati empirici

Comune ai diversi tipi di conservazione dei dati è che l’accesso ai dati archiviati da parte delle autorità di contrasto tocca i diritti fondamentali degli interessati. Che si tratti del recupero di dati archiviati privatamente o di un cambiamento di scopo nell'accesso a dati archiviati dalle autorità statali, l'accesso ai dati costituisce una nuova ingerenza. La conservazione dei dati di per sé non crea ulteriore conoscenza per le autorità di contrasto, ma l’accesso ai dati sì. È quindi essenziale che un resoconto generale della sorveglianza si concentri sull’accesso ai dati. Tuttavia, la (generalmente) maggiore quantità e qualità dei dati può essere giustificata con un punteggio di intensità più elevato delle misure pertinenti quando si esegue l’analisi giuridica dei poteri di sorveglianza.

Oltre all’analisi normativa, il resoconto della sorveglianza generale richiede ancora – come spiegato sopra – dati empirici sulla frequenza di accesso ai dati al fine di fornire una piena comprensione della quantità totale di sorveglianza nella società . I dati quantitativi sui poteri di sorveglianza sono tuttavia piuttosto scarsi. Mentre per alcune forme di sorveglianza esistono obblighi di notifica, ad esempio l' articolo 101b del codice di procedura penale tedesco richiede una notifica sul monitoraggio delle telecomunicazioni, per molte altre misure esistono lacune significative negli obblighi di notifica. La giurisprudenza costituzionale della Corte costituzionale federale tedesca richiede esplicitamente obblighi di rendicontazione solo per misure specifiche che interferiscono con i diritti fondamentali in modo particolarmente intenso.

Una richiesta di dati più empirici sulle misure di sorveglianza

Questa linea di giurisprudenza richiede una certa revisione alla luce del resoconto generale della sorveglianza. Senza dati empirici sufficienti è impossibile creare un’immagine significativa della quantità totale di sorveglianza all’interno di una società. Il concetto di misurazione dell’entità della sorveglianza deriva dall’imperativo costituzionale di impedire la sorveglianza totale della società. In una serie di sentenze , la Corte costituzionale federale ha stabilito che i poteri di sorveglianza devono essere coordinati in modo tale da evitare che una persona diventi oggetto di sorveglianza completa attraverso l'esercizio di poteri da parte di diverse autorità di polizia e di intelligence. Questo concetto può essere esteso al contesto più ampio del conto della sorveglianza generale, che si basa anch’esso sull’idea di prevenire la sorveglianza totale. È responsabilità dello Stato coordinare tutti i poteri di sorveglianza al fine di non superare il livello di sorveglianza consentito in una società. Come accennato in precedenza, ciò richiede non solo un’analisi normativa ma anche un’analisi quantitativa dell’esercizio dei poteri di sorveglianza. Attualmente, questo compito di coordinamento non può essere soddisfatto con i dati empirici disponibili.

È responsabilità condivisa del legislatore e delle autorità preposte all’applicazione della legge garantire il rispetto dei requisiti costituzionali. Di conseguenza, il legislatore dovrebbe introdurre maggiori obblighi di segnalazione per l’esercizio dei poteri di sorveglianza e le autorità di sicurezza dovrebbero – in modo proattivo – migliorare il monitoraggio interno dell’esercizio delle competenze. Sulla base di una base empirica così solida, diventa possibile un resoconto completo della sorveglianza generale.


Questa è la traduzione automatica di un articolo pubblicato su Verfassungsblog all’URL https://verfassungsblog.de/testing-the-waters-of-private-data-pools/ in data Fri, 29 Nov 2024 10:25:19 +0000.