Il progetto di trattato di sorveglianza delle Nazioni Unite espande pericolosamente i poteri di sorveglianza statale senza solide garanzie sulla privacy e sulla protezione dei dati
Questo è il terzo post di una serie che evidenzia i difetti della proposta Convenzione delle Nazioni Unite sulla criminalità informatica. Consulta la Parte I, la nostra analisi dettagliata sulla criminalizzazione delle attività di ricerca sulla sicurezza, e la Parte II, un'analisi della tutela dei diritti umani.
Mentre ci avviciniamo alla sessione finale dei negoziati per la proposta di Trattato sulla criminalità informatica delle Nazioni Unite , i paesi non hanno più tempo per apportare miglioramenti cruciali alla bozza del testo. I delegati riuniti a New York dal 29 luglio al 9 agosto dovranno finalizzare il testo della convenzione che, se adottato, amplierà drasticamente le leggi sulla sorveglianza e indebolirà significativamente la tutela dei diritti umani. Questo trattato proposto dalle Nazioni Unite non è un trattato sulla criminalità informatica; è un ampio patto di sorveglianza globale.
I paesi che credono nello stato di diritto devono opporsi e sconfiggere la convenzione o limitarne drasticamente la portata, aderendo a linee rosse non negoziabili delineate da oltre 100 ONG. In un’alleanza insolita, la società civile e l’industria hanno concordato all’inizio di quest’anno in una lettera congiunta che il trattato così come è stato attualmente redatto deve essere respinto e modificato per proteggere la privacy e i diritti di protezione dei dati – nessuno dei quali è stato fatto nell’ultima versione del Trattato. Convenzione proposta.
Si prevede che il Comitato ad hoc delle Nazioni Unite che supervisiona i colloqui e la preparazione del testo finale esamini un testo rivisto ma ancora imperfetto nella sua interezza, insieme alle note interpretative, durante la prima settimana della sessione, concentrandosi su tutte le disposizioni non ancora concordato ad referendum . Tuttavia, in linea con il principio dei negoziati multilaterali secondo cui non si raggiunge un accordo finché non si raggiunge un accordo su tutto, eventuali disposizioni del progetto già concordate potrebbero potenzialmente essere riaperte.
Una bozza aggiornata , datata 23 maggio 2024, ma pubblicata il 14 giugno, è tuttavia lungi dall’essere risolta. Esistono ancora enormi disaccordi tra i paesi su questioni cruciali, tra cui la portata dei poteri di sorveglianza transfrontaliera e la protezione dei diritti umani. Tuttavia, alcuni paesi si aspettano che l’ultima bozza venga adottata.
Le bozze precedenti includevano la criminalizzazione di un’ampia gamma di discorsi e di una serie di crimini non informatici. Proprio quando pensavamo che gli Stati membri fossero riusciti a eliminare molti dei crimini più preoccupanti dal testo della Convenzione, essi potrebbero ricomparire. La proposta di risoluzione dell'Assemblea Generale del Presidente della Commissione ad hoc include la promessa di due sessioni aggiuntive per negoziare un emendamento con più crimini: "un progetto di protocollo supplementare alla Convenzione, che affronti, tra l'altro, ulteriori reati penali".
Cerchiamo di essere chiari: senza una solida protezione obbligatoria dei dati e garanzie sulla privacy, la bozza aggiornata rappresenta una brutta notizia per le persone di tutto il mondo. Ciò aggraverà le disparità esistenti nella tutela dei diritti umani, consentendo potenzialmente un maggiore intervento del governo, una sorveglianza incontrollata e l’accesso a dati sensibili che lasceranno gli individui vulnerabili alle violazioni della privacy e della protezione dei dati, agli abusi dei diritti umani o alla repressione transnazionale. Le fondamentali misure di tutela della privacy continuano a essere deplorevolmente inadeguate e nel testo stesso non sono presenti principi espliciti di protezione dei dati.
In questo terzo post, esploriamo i problemi causati dall’ampia definizione di “dati elettronici”, combinata con la mancanza di garanzie obbligatorie sulla privacy e sulla protezione dei dati nella convenzione proposta. Questo termine ha una portata molto ampia e vaga. Sembra includere dati personali sensibili, come identificatori biometrici, a cui la polizia potrebbe accedere senza protezioni adeguate e con deboli garanzie sulla privacy. Quel che è peggio, potrebbe poi essere condiviso con altri governi. Ciò comporta rischi significativi per i rifugiati, i difensori dei diritti umani e chiunque viaggi oltre confine. Invece di questa corsa al ribasso, chiediamo nel testo principi ferrei sulla privacy e sulla protezione dei dati per contrastare gli abusi.
Poteri chiave di sorveglianza che coinvolgono dati elettronici
Il capitolo IV della bozza, che tratta delle misure procedurali penali, crea un’ampia gamma di poteri governativi per monitorare e accedere ai sistemi e ai dati digitali delle persone, concentrandosi principalmente sui “dati degli abbonati”, sui “dati sul traffico” e sui “dati sui contenuti”. Questi poteri possono essere ampiamente descritti come forme di sorveglianza delle comunicazioni o di sorveglianza dei dati delle comunicazioni. Tradizionalmente, l’invasività della sorveglianza delle comunicazioni è stata valutata sulla base di tali categorie artificiali e formalistiche.
Il progetto rivisto introduce una categoria generale denominata "Dati elettronici" all'articolo 2, lettera b), definita come "qualsiasi rappresentazione di fatti, informazioni o concetti in una forma adatta all'elaborazione in un sistema di tecnologia dell'informazione e della comunicazione, compreso un programma idoneo a far sì che un sistema tecnologico dell’informazione e della comunicazione esegua una funzione”. Questa definizione estremamente ampia comprende tutte le forme di dati digitali, che in altri contesti godrebbero di tutele specifiche in base alla natura o all’origine di tali dati. Ad esempio, i dati sensibili come gli identificatori biometrici dovrebbero richiedere processi più rigorosi prima di potervi accedere a causa dei rischi significativi se raccolti senza protezioni adeguate. Inoltre, i dati relativi alle interazioni con il proprio avvocato o medico sono soggetti a privilegi legali. Questi privilegi sono progettati per garantire che gli individui possano comunicare apertamente e onestamente con i propri professionisti legali e medici senza timore che le loro informazioni private vengano esposte o utilizzate contro di loro in procedimenti legali. Tuttavia, l'attuale progetto non distingue tra la sensibilità dei diversi tipi di "dati elettronici" né impone di conseguenza solidi principi sulla privacy o sulla protezione dei dati.
Tre poteri investigativi – ordini di conservazione (articolo 25), ordini di produzione (articolo 27) e perquisizione e sequestro (articolo 28) – si riferiscono a questa categoria più ampia di “dati elettronici”. Ciò include dati non comunicativi, informazioni che non sono state comunicate a qualcun altro o archiviate presso un fornitore di servizi. Le categorie “dati sul traffico”, “informazioni sugli abbonati” e “dati sui contenuti” si applicano alla sorveglianza delle comunicazioni, ma queste categorie non vengono utilizzate – e non viene fatta alcuna distinzione di questo tipo – nel contesto dei poteri di conservazione, produzione, perquisizione e sequestro. . Quando i dati vengono archiviati, indipendentemente da come sarebbero stati classificati per scopi di sorveglianza delle comunicazioni, i poteri degli articoli 25, 27 e 28 possono essere utilizzati per prenderli di mira. Ciò include informazioni archiviate che sarebbero state considerate dati sugli abbonati, sul traffico o sui contenuti in un contesto di sorveglianza delle comunicazioni, nonché informazioni (come metadati o registrazioni sul dispositivo o un diario creato localmente ma mai condiviso) che non potrebbero essere un obiettivo della sorveglianza delle comunicazioni.
Questi tre poteri potrebbero potenzialmente essere applicati all’intera gamma di tipi di dati che possono essere elaborati, archiviati o trasmessi dai sistemi ICT. Ciò include tutti i tipi di dati digitali, che vanno da testo, immagini, documenti e identificatori biometrici, a programmi software e database. Esempi di dati elettronici nelle tecnologie emergenti potrebbero includere set di dati di addestramento utilizzati per modelli di apprendimento automatico, comprese immagini, testo e dati strutturati; record di transazioni e contratti intelligenti archiviati in reti blockchain; dati dei sensori raccolti da dispositivi intelligenti come letture della temperatura, rilevamento del movimento e dati di monitoraggio ambientale; Modelli 3D, dati spaziali e registri di interazione dell'utente utilizzati per creare esperienze coinvolgenti; tra gli altri. Include anche informazioni sensibili sulle persone che potrebbero non essere sempre interpretate come dati di comunicazione, come identificatori biometrici e dati neurali, tra gli altri.
Sebbene vi sia consenso sul fatto che i contenuti delle comunicazioni meritino una protezione significativa dalla legge a causa della loro capacità di rivelare informazioni sensibili, è ormai chiaro che altri dati non comunicativi, compresi quelli derivanti da una varietà di "dati elettronici", possono rivelare dati ancora più sensibili su un individuo rispetto al contenuto stesso e merita quindi una protezione di livello almeno equivalente. Il trattamento di questi dati elettronici molto sensibili, unito all’assenza di solidi principi obbligatori di protezione dei dati e di solide garanzie di tutela dei diritti umani nella convenzione stessa, solleva notevoli preoccupazioni circa l’eccessivo controllo, l’invasione della privacy e il potere incontrollato che garantisce alla polizia.
Oggi, questi tipi di informazioni potrebbero, prese singolarmente o analizzate collettivamente, rivelare l'identità, il comportamento, le associazioni, le condizioni fisiche o mediche, la razza, il colore, l'orientamento sessuale, le origini nazionali o i punti di vista di una persona. Le tecnologie emergenti illustrano chiaramente questi rischi. Ad esempio, i dati provenienti dai dispositivi sanitari indossabili possono rivelare condizioni mediche dettagliate e modelli di attività fisica; i dispositivi domestici intelligenti possono monitorare routine e comportamenti quotidiani; e l'analisi dei social media può dedurre opinioni politiche, connessioni sociali e preferenze personali in base a modelli di interazioni, post e Mi piace. Altri sensori indossati sul corpo, come quelli presenti nei dispositivi di realtà aumentata, possono rivelare informazioni fisiologiche relative a reazioni emotive consce e inconsce a cose che vediamo, sentiamo o facciamo.
Inoltre, i dati di geolocalizzazione provenienti da smartphone e dispositivi Internet of Things (IoT) possono mappare i movimenti di un individuo nel tempo, identificando potenzialmente la cronologia delle posizioni, i luoghi frequentati e gli spostamenti quotidiani, nonché i modelli con cui ha trascorso del tempo. I dati relativi a foto, videosorveglianza e riconoscimento facciale utilizzati negli spazi pubblici e privati possono identificare gli individui e tracciare le loro interazioni, mentre i dati biometrici provenienti da varie altre fonti possono confermare le identità e fornire accesso a informazioni personali sensibili.
Di conseguenza, tutti i dati, compresi quelli elettronici, dovrebbero ricevere la massima protezione nella convenzione proposta per salvaguardare la privacy individuale e prevenire abusi nel contesto dell’ascesa delle tecnologie emergenti. Ma il testo della convenzione esistente conferisce ai singoli paesi un’ampia discrezionalità sul tipo di protezione da offrire ai dati delle persone nell’attuazione di questi poteri. Come altrove, dovremmo avere garanzie obbligatorie sulla privacy (non solo ciò che il diritto nazionale potrebbe ritenere “appropriato” ai sensi dell’articolo 24) che forniscano forti limiti e supervisione per l’accesso a tutti i tipi di dati sensibili.
Infine, la decantata “neutralità tecnologica” della convenzione proposta significa anche che non esiste alcun meccanismo integrato per imporre nuove salvaguardie o restrizioni sull'accesso del governo a nuovi tipi di dati sensibili in futuro. Se le nuove tecnologie sono più intimamente connesse con i nostri corpi, cervelli e attività rispetto alle vecchie tecnologie, o se mediano sempre di più la nostra vita sociale o politica, la convenzione proposta non fornisce alcuna tabella di marcia per rendere i dati da esse prodotti più difficili. per l'accesso della polizia.
Come i poteri di sorveglianza delle comunicazioni, i poteri relativi ai "dati elettronici" mancano tutti di garanzie chiare e solide sulla privacy e sulla protezione dei dati
Tutti e tre i poteri che fanno riferimento ai “dati elettronici” condividono un problema che abbiamo già riscontrato in altri poteri relativi alla sorveglianza delle comunicazioni: nessuno di essi include chiare garanzie obbligatorie sulla privacy e sulla protezione dei dati per limitare il modo in cui i poteri vengono utilizzati. Tutti i poteri investigativi di cui al Capitolo IV del progetto di convenzione si basano sulle leggi nazionali per determinare se le restrizioni che li governano sono “appropriate” o meno, tralasciando numerosi standard di diritto internazionale che dovrebbero essere resi espliciti.
Per quanto riguarda i poteri relativi ai “dati elettronici” discussi di seguito, ciò è altrettanto allarmante perché tali poteri possono potenzialmente autorizzare le forze dell’ordine a ottenere letteralmente qualsiasi cosa archiviata in qualsiasi computer o supporto di memorizzazione digitale. Non esistono tipologie di dati che siano intrinsecamente off-limits nel testo della convenzione stessa (come ad esempio una norma secondo cui le richieste non possono obbligare all'autoincriminazione, o che devono rispettare privilegi come quello avvocato-cliente o medico-paziente privilegio), né tantomeno che richiedano necessariamente la previa autorizzazione giudiziaria per essere ottenuti, lasciando tali decisioni alla discrezionalità del diritto nazionale.
Ordini nazionali di conservazione accelerata di dati elettronici
- Particolarmente problematico è l’articolo 25 sulle ordinanze di sequestro conservativo, già concordato ad referendum . È molto ampia, comporterà la conservazione e la disponibilità dei dati personali per l'uso nei procedimenti giudiziari molto più del necessario e non include le necessarie garanzie per evitare abusi di potere. Consentendo alle forze dell’ordine di chiedere la conservazione senza alcuna giustificazione fattuale, si rischia anche di diffondere in tutto il mondo carenze familiari della legge statunitense . L’ articolo 25 impone a ciascun Paese di creare leggi o altre misure che consentano alle autorità di preservare rapidamente specifici dati elettronici, in particolare quando vi è motivo di ritenere che tali dati siano a rischio di perdita o alterazione.
- L'articolo 25, paragrafo 2, garantisce che quando vengono emessi ordini di conservazione, la persona o entità in possesso dei dati deve conservarli fino a 90 giorni, dando alle autorità tempo sufficiente per ottenere i dati attraverso canali legali, consentendo al tempo stesso il rinnovo di tale periodo . Non esiste un limite specifico al numero di volte che l'ordine può essere rinnovato, quindi può essere potenzialmente reimposto a tempo indeterminato. Gli ordini di conservazione dovrebbero essere emessi solo quando sono assolutamente necessari, ma l'articolo 24 non menziona il principio di necessità e manca di preavviso individuale e requisiti di motivi espliciti e obblighi di trasparenza statistica. L'articolo non limita il numero di volte in cui gli ordini di conservazione possono essere rinnovati per evitare requisiti di conservazione dei dati indefiniti. Ogni rinnovo dell'ordine di conservazione deve richiedere una dimostrazione della continua necessità e di motivi fattuali che giustifichino il mantenimento della conservazione.
- L’articolo 25, paragrafo 3, obbliga inoltre gli Stati ad adottare leggi che consentano di imbavagliare gli ordini di conservazione, vietando ai fornitori di servizi o agli individui di informare gli utenti che i loro dati erano soggetti a tale ordine. La durata di tale ordine di silenzio è lasciata alla legislazione nazionale. Come per tutti gli altri ordini di riservatezza, l'obbligo di riservatezza dovrebbe essere soggetto a limiti di tempo ed essere disponibile solo nella misura in cui la divulgazione minaccerebbe in modo dimostrabile un'indagine o altri interessi vitali. Inoltre, le persone i cui dati sono stati conservati dovrebbero essere informate quando è sicuro farlo senza mettere a repentaglio un’indagine. Organismi di controllo indipendenti devono vigilare sull’applicazione degli ordini di conservazione.
In effetti, accademici come l'eminente professore di diritto ed ex avvocato del Dipartimento di Giustizia degli Stati Uniti Orin S. Kerr hanno criticato simili pratiche statunitensi di conservazione dei dati ai sensi del 18 USC § 2703 (f) per aver consentito alle forze dell'ordine di obbligare i fornitori di servizi Internet a conservare tutti i contenuti di un sito web. account online dell'individuo a sua insaputa, senza alcun sospetto preliminare o controllo giudiziario. Questo approccio, inteso come misura temporanea per proteggere i dati fino all’ottenimento di un’ulteriore autorizzazione legale, manca del controllo legale fondamentale tipicamente richiesto per perquisizioni e sequestri ai sensi del Quarto Emendamento, come la probabile causa o il ragionevole sospetto.
La mancanza di garanzie obbligatorie esplicite solleva preoccupazioni simili riguardo all’articolo 25 della proposta convenzione delle Nazioni Unite. Kerr sostiene che queste pratiche statunitensi costituiscono un “sequestro” ai sensi del Quarto Emendamento, indicando che tali azioni dovrebbero essere giustificate da una causa probabile o, per lo meno, da un ragionevole sospetto – criteri evidentemente assenti nell’attuale bozza della convenzione delle Nazioni Unite.
Basandoci sull'analisi di Kerr , otteniamo un chiaro avvertimento: senza solide garanzie, tra cui un requisito esplicito di motivazione, previa autorizzazione giudiziaria, notifica esplicita agli utenti e trasparenza, gli ordini di conservazione dei dati elettronici proposti nel progetto di Convenzione delle Nazioni Unite sulla criminalità informatica rischiano di replicare la problematica pratiche degli Stati Uniti su scala globale.
Ordini di produzione di dati elettronici
Il trattamento dei “dati elettronici” negli ordini di produzione da parte dell'Articolo 27(a), alla luce dell'ampia definizione del termine contenuta nel progetto di convenzione, è particolarmente problematico. Questo articolo, che è già stato concordato con un referendum, consente di impartire ordini di produzione ai custodi di dati elettronici, imponendo loro di consegnare copie di tali dati. Sebbene richiedere i dati dei clienti a un'azienda sia un potere governativo tradizionale, questo potere è notevolmente aumentato nell'UD.
Come spiegato sopra, la definizione estremamente ampia di dati elettronici, che sono spesso di natura sensibile, solleva nuove e significative preoccupazioni sulla privacy e sulla protezione dei dati, poiché consente alle autorità di accedere a informazioni potenzialmente sensibili senza controllo immediato e previa autorizzazione giudiziaria. La convenzione deve invece richiedere la previa autorizzazione giudiziaria prima che tali informazioni possano essere richieste alle società che le detengono. Ciò garantisce che un’autorità imparziale valuti la necessità e la proporzionalità della richiesta di dati prima che venga eseguita. Senza garanzie obbligatorie di protezione dei dati per il trattamento dei dati personali, le forze dell’ordine potrebbero raccogliere e utilizzare dati personali senza adeguate restrizioni, rischiando così l’esposizione e l’uso improprio delle informazioni personali.
Il progetto di convenzione non include queste garanzie essenziali per la protezione dei dati. Per proteggere i diritti umani, i dati dovrebbero essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato. I dati dovrebbero essere raccolti per scopi specifici, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi.
I dati raccolti dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per gli scopi per i quali vengono trattati. Le autorità dovrebbero richiedere solo i dati essenziali per l’indagine. Gli ordini di produzione dovrebbero indicare chiaramente lo scopo per il quale vengono richiesti i dati. I dati dovrebbero essere conservati in un formato che consenta l’identificazione degli interessati per un periodo non superiore a quello necessario agli scopi per i quali i dati sono trattati. Nessuno di questi principi è presente nell’articolo 27, lettera a), e devono esserlo.
Ricerca e sequestro di dati elettronici archiviati
L'articolo 28 della bozza, anch'esso concordato ad referendum , conferisce ai governi ampi poteri per ricercare e sequestrare dati elettronici, ma senza garanzie chiare e obbligatorie per la privacy e la protezione dei dati, rappresenta una seria minaccia alla privacy e alla protezione dei dati. L’articolo 24 prevede alcune limitazioni, ma sono vaghe e insufficienti, lasciando molto alla discrezione delle leggi nazionali e soggette a ciò che ciascun paese ritiene “appropriato”. Ciò potrebbe portare a significative violazioni della privacy e all’uso improprio di informazioni personali sensibili.
- Ricerca o accesso : l'articolo 28, paragrafo 1, è un potere di perquisizione e sequestro che si applica a qualsiasi "dato elettronico" in un sistema di tecnologia dell'informazione e della comunicazione (TIC) (28, paragrafo 1, lettera a)) o in un supporto di memorizzazione dei dati (28 (1)(b)). Proprio come negli articoli precedenti, non include restrizioni specifiche su queste ricerche e non limita ciò che può essere preso di mira, per quali scopi o in quali condizioni. Ad esempio, ciò potrebbe consentire alle autorità di accedere a tutti i file e i dati presenti sul personal computer, sul dispositivo mobile o sull'account di archiviazione cloud di un sospettato.
- Ampliare la ricerca : l'articolo 28, paragrafo 2, consente alle autorità di effettuare ricerche in ulteriori sistemi se hanno motivo di ritenere che i dati ricercati siano accessibili dal sistema inizialmente cercato. Mentre la previa autorizzazione giudiziaria deve essere un requisito affinché il giudice possa valutare la necessità e la proporzionalità della perquisizione, l’articolo 24 impone solo condizioni e garanzie adeguate senza un’esplicita autorizzazione giudiziaria. Negli Stati Uniti, ad esempio, questo potere fa scattare le protezioni del Quarto Emendamento, che richiedono particolarità – specificando il luogo da perquisire e gli oggetti da sequestrare – nei mandati di perquisizione per prevenire perquisizioni e sequestri irragionevoli. L’Articolo 28(3) autorizza le autorità a sequestrare o proteggere i dati elettronici a cui si accede ai sensi delle disposizioni precedenti, compresa la creazione e la conservazione di copie dei dati elettronici, il mantenimento della loro integrità e il renderli inaccessibili o rimuoverli dal sistema.
- Sequestro o messa in sicurezza dei dati : l’articolo 28, paragrafo 3, lettera d), consente specificamente alle autorità di “[r] rendere inaccessibili o rimuovere tali dati elettronici nel sistema tecnologico di informazione e comunicazione a cui si accede”. Ad esempio, le autorità potrebbero copiare e archiviare tutte le e-mail e i documenti dal servizio di archiviazione cloud di un sospettato e quindi eliminarli dalla fonte originale.
Inoltre, l’articolo 28, paragrafo 3, lettera d), solleva ulteriori importanti preoccupazioni in materia di libertà di espressione e sicurezza.
- In primo luogo, sembra consentire a un'ordinanza del tribunale di distruggere permanentemente l'unica copia di alcuni dati, poiché non è necessario effettuare un backup o essere pronti a ripristinare i dati in un secondo momento se non c'è un processo giudiziario o la persona non è condannata per un crimine.
- In secondo luogo, per quanto riguarda i dati accessibili al pubblico, si tratta di una forma di processo di rimozione che può implicare preoccupazioni relative alla libertà di espressione. Gli articoli 5 e 24 contribuiscono a mitigare queste preoccupazioni. Applicando queste garanzie, gli articoli 5 e 24 mirano a garantire che l’attuazione dell’articolo 28, paragrafo 3, lettera d), non violi la libertà di espressione né si traduca in azioni sproporzionate. Tuttavia, a causa delle carenze di questi articoli, resta da vedere come saranno applicabili nella pratica.
Come abbiamo scritto in precedenza, l’articolo 24, sulle condizioni e le garanzie, non riesce a proteggere i diritti umani, rinviando le garanzie alla legislazione nazionale, invece di prevedere forti protezioni per far fronte ai maggiori poteri forniti dalla convenzione proposta. Non include esplicitamente principi cruciali come legalità, necessità e non discriminazione. Una protezione efficace dei diritti umani richiede la previa approvazione giudiziaria prima che venga condotta la sorveglianza, la trasparenza sulle azioni intraprese, la notifica agli utenti quando si accede ai loro dati se ciò non mette a repentaglio le indagini e la fornitura di modalità affinché le persone possano contestare gli abusi. Deferendo tali garanzie al diritto nazionale, l’articolo 24 indebolisce tali tutele, poiché le leggi nazionali possono variare notevolmente e non sempre forniscono le garanzie necessarie.
Una salvaguardia in un trattato che rinvia alle leggi nazionali rischia di incoerenza e abuso. Le forti protezioni in alcune nazioni possono essere indebolite da leggi più deboli in altre, che alla fine non riescono a fornire la protezione promessa.
Ciò crea una corsa al ribasso negli standard dei diritti umani, dove le leggi nazionali più deboli stabiliscono la norma globale, mettendo a repentaglio la privacy, la protezione dei dati e le libertà fondamentali che il trattato delle Nazioni Unite mira a sostenere.
Cooperazione internazionale e dati elettronici
Il progetto di Convenzione delle Nazioni Unite sulla criminalità informatica comprende disposizioni significative per la cooperazione internazionale, estendendo la portata dei poteri di sorveglianza nazionale oltre confine, da parte di uno Stato per conto di un altro Stato. Tali poteri, se non adeguatamente tutelati, comportano rischi sostanziali per la privacy e la protezione dei dati. (Mentre questo post si concentra sulle salvaguardie dei dati elettronici, altrettanto preoccupante è il trattamento dei dati di comunicazione, in particolare i dati degli abbonati e i dati sul traffico, anch'essi privi di solide protezioni e sollevano rischi preoccupanti.)
- L’articolo 42, paragrafo 1 (“Cooperazione internazionale ai fini della conservazione accelerata dei dati elettronici archiviati”) consente a uno Stato di chiedere a un altro di ottenere la conservazione dei “dati elettronici” nell’ambito del potere nazionale delineato nell’articolo 25. Ad esempio, se il Paese A sta indagando su un crimine e sospetta che i dati rilevanti siano archiviati su server nel Paese B, il Paese A può richiedere al Paese B di conservare questi dati per evitare che vengano cancellati o alterati prima che il Paese A possa richiederne formalmente l'accesso. Il Paese A può utilizzare la rete attiva 24 ore su 24, 7 giorni su 7, come indicato all'articolo 41, paragrafo 3, lettera c), per cercare informazioni sull'ubicazione dei dati e sul fornitore di servizi.
La rete attiva 24 ore su 24, 7 giorni su 7, estende significativamente il suo ruolo oltre la semplice conservazione dei dati elettronici archiviati di cui all'articolo 41, paragrafo 3, lettere c) e d). La rete, operativa 24 ore su 24, 7 giorni su 7, ha inoltre il potere di raccogliere prove quando vengono fornite informazioni legali e individuare sospetti, nonché fornire dati elettronici per evitare emergenze se "permesso dalla legge nazionale e dalla pratica del Paese richiesto. In modo allarmante, l'articolo 24, che stabilisce condizioni e garanzie, non si applica ai poteri esercitati dalla rete 24 ore su 24, 7 giorni su 7. Questa assenza di controllo significa che la rete può operare senza i necessari controlli ed equilibri, portando potenzialmente ad abusi di potere.
È importante notare che l’articolo 23, paragrafo 4, relativo all’ambito di applicazione delle misure procedurali penali nazionali (capo IV) autorizza solo l’applicazione delle garanzie dell’articolo 24 a poteri specifici nell’ambito del capitolo cooperazione internazionale (capitolo V). Mentre si potrebbe sostenere che i poteri del Capo V che corrispondono strettamente a quelli del Capo IV dovrebbero essere soggetti alle stesse garanzie, poteri significativi nel Capo V, come quelli relativi alla cooperazione tra autorità di contrasto (articolo 47) e alla rete 24 ore su 24, 7 giorni su 7 (articolo 41 ), non fanno specifico riferimento ai corrispondenti poteri del capo IV. Di conseguenza, potrebbero non essere coperti dalle garanzie di cui all’articolo 24. Ciò lascia aspetti critici, come la gestione dei dati elettronici in caso di emergenza o la consegna delle informazioni e della posizione degli abbonati, senza un’adeguata tutela dei diritti umani. Inoltre, l’articolo 47 sulla cooperazione tra le forze dell’ordine evidenzia l’ampia condivisione e lo scambio di dati sensibili, sottolineando i rischi di uso improprio.
- L’articolo 44, paragrafo 1 (“Mutua assistenza legale nell’accesso ai dati elettronici archiviati”) consente a uno Stato di chiedere a un altro “di cercare o accedere in modo simile, sequestrare o proteggere in modo simile e divulgare dati elettronici”, presumibilmente utilizzando poteri simili a quelli di cui all’articolo 28 , sebbene tale articolo non sia menzionato nell'articolo 44. Questa disposizione specifica, che non è stata ancora concordata ad referendum , consente un'ampia cooperazione internazionale nell'accesso ai dati elettronici archiviati. Ad esempio, se il Paese A ha bisogno di accedere alle e-mail archiviate nel Paese B per un'indagine in corso, può richiedere al Paese B di cercare e fornire i dati necessari.
Principi incrollabili sulla protezione dei dati sono essenziali per la convenzione proposta
I poteri di base per la sorveglianza nazionale non sono nuovi e sono relativamente semplici, ma l’introduzione di una convenzione internazionale che garantisce alle autorità un nuovo accesso ai dati sensibili, soprattutto a livello transfrontaliero, richiede misure rigorose di protezione dei dati.
- Il trattamento dei dati deve essere lecito e corretto.
- I dati dovrebbero essere raccolti solo per scopi determinati, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi.
- La raccolta dei dati deve essere ridotta al minimo in modo che sia adeguata, pertinente e non eccessiva rispetto agli scopi specifici dichiarati dal governo.
- I dati devono essere accurati e aggiornati.
- I dati non devono essere conservati più a lungo del necessario.
- I dati devono essere protetti da accessi non autorizzati e violazioni.
- Le persone dovrebbero poter accedere alle informazioni sul trattamento dei propri dati personali.
- Le persone dovrebbero essere informate su come vengono utilizzati i loro dati, sullo scopo del trattamento e sui loro diritti.
- I titolari del trattamento dei dati devono dimostrare il rispetto dei principi di protezione dei dati, con meccanismi di responsabilità in atto per ritenerli responsabili delle violazioni.
Il rispetto dei diritti umani non è solo un obbligo legale ma anche una necessità pratica per le forze dell’ordine. Come ha affermato l'Ufficio dell'Alto Commissario per i diritti umani (OHCHR) in “ Diritti umani e applicazione della legge: una guida per formatori sui diritti umani per la polizia ”, l'efficacia delle forze dell'ordine migliora quando rispettano i diritti umani. Inoltre, come notano la Dichiarazione di Vienna e il Programma d’azione, “L’amministrazione della giustizia, comprese le forze dell’ordine (…) le agenzie, (…) in piena conformità con gli standard applicabili contenuti negli strumenti internazionali sui diritti umani, [è] essenziale alla realizzazione piena e non discriminatoria dei diritti umani e indispensabile al processo di democrazia e di sviluppo sostenibile”.
Conclusione
L’attuale bozza della Convenzione delle Nazioni Unite sulla criminalità informatica è fondamentalmente viziata. Espande pericolosamente i poteri di sorveglianza senza solidi controlli ed equilibri, mina i diritti umani e pone rischi significativi per le comunità emarginate. Le definizioni ampie e vaghe di “dati elettronici”, insieme alle deboli garanzie sulla privacy e sulla protezione dei dati, esacerbano queste preoccupazioni.
I tradizionali poteri di sorveglianza nazionale sono particolarmente preoccupanti poiché sono alla base della cooperazione internazionale in materia di sorveglianza. Ciò significa che un Paese può facilmente soddisfare le richieste di un altro che, se non adeguatamente tutelate, possono portare a diffuse pressioni da parte del governo e ad abusi dei diritti umani.
Senza rigorosi principi di protezione dei dati e solide garanzie sulla privacy, questi poteri possono essere utilizzati in modo improprio, minacciando i difensori dei diritti umani, gli immigrati, i rifugiati e i giornalisti. Chiediamo urgentemente a tutti i paesi impegnati a favore dello stato di diritto, della giustizia sociale e dei diritti umani di unirsi contro questa pericolosa bozza . Che sia grande o piccola, sviluppata o in via di sviluppo, ogni nazione ha interesse a garantire che la privacy e la protezione dei dati non vengano sacrificate.
È necessario apportare modifiche significative per garantire che questi poteri di sorveglianza siano esercitati in modo responsabile e proteggere la privacy e i diritti di protezione dei dati. Se questi cambiamenti essenziali non verranno apportati, i paesi dovranno respingere la convenzione proposta per evitare che diventi uno strumento di violazione dei diritti umani o di repressione transnazionale .
Questa è la traduzione automatica di un articolo pubblicato su EFF – Electronic Frontier Foundation all’URL https://www.eff.org/deeplinks/2024/07/un-cybercrime-draft-convention-dangerously-expands-state-surveillance-powers in data Tue, 09 Jul 2024 14:14:34 +0000.