Data Retention: tra prevenzione del terrorismo e tutela della privacy
di Camilla Bellini
La disciplina della Data Retention, che definisce la durata di conservazione dei dati personali nelle comunicazioni elettroniche per fini di accertamento e repressione dei reati, se correttamente applicata potrebbe essere oggi uno strumento efficace di ridefinizione del binomio riservatezza-sicurezza in tempi di ordinario terrorismo.
Il clima d’insicurezza affermatosi nel periodo post-11 settembre 2001 ha costretto gli Stati occidentali ad adottare misure irreversibili di potenziamento dei poteri delle agenzie di intelligence al fine di innalzare i propri standard di sicurezza davanti alla minaccia jihadista.
La scia di terrore diffusasi in tutto il mondo a seguito degli attentati ha indotto i Governi di rimettere in discussione i propri valori democratici, primo fra tutti la privacy. Quest’ultima infatti ha subito un grave «scacco matto» da parte di quello che oggi è comunemente definito terrorismo 3.0, che si presenta come una minaccia deterritorializzata, sempre più volatile e asimmetrica, alimentata dall’effervescenza emotiva dei propri adepti che grazie alla rete tessono legami virtuali e ricostituiscono una communitas senza confini né appartenenze nazionali.
Alla luce di quanto appena detto, è lecito porsi un interrogativo: è possibile oggigiorno affermare che la privacy e la sicurezza siano parti coessenziali del sistema democratico? Un’eventuale risposta affermativa a tale quesito determinerebbe l’ineludibile necessità di accrescere il livello di tutela apprestato al c.d. «corpo elettronico», ovvero all’insieme di metadati raccolti sul conto di ciascun utente della rete, al fine di preservarne la libertà personale avverso la paventata costruzione di una «società della sorveglianza»[1] che si sta lentamente sostituendo, dopo ogni attacco terroristico sferrato al cuore dell’Occidente, alla «società delle libertà» in cui si è finora esplicata la nostra personalità[2].
Nel corso degli anni Novanta del secolo scorso abbiamo assistito a un ampliamento del concetto stesso di riservatezza dovuto, in particolar modo, alla transizione della definizione di habeas corpus in quella di habeas data, in quanto se «i nostri dati sono parte coessenziale della nostra persona» allora il termine privacy deve, in un mondo costantemente interconnesso, tenere conto anche dell’utilizzo che altri possano fare dei nostri dati, allocando in capo al singolo un crescente potere di controllo ed eventualmente di veto alla circolazione degli stessi.
Al tempo stesso, il Presidente dell’Autorità Garante per la protezione dei dati personali, Antonello Soro, ha argutamente evidenziato che se «nella società digitale noi siamo i nostri dati e la vulnerabilità dei nostri dati è vulnerabilità delle nostre persone», allora il mondo occidentale è chiamato a elaborare sistemi di prevenzione e contrasto del crimine organizzato e di ogni forma di fondamentalismo senza rinnegare la propria identità e tradire la fiducia dei cittadini ogniqualvolta vengano attuate politiche di sicurezza basate sul monitoraggio indiscriminato dei dati personali (i c.d. controlli a strascico).
Se ciò accadesse, infatti, ne deriverebbe una intollerabile violazione e limitazione dei diritti e delle libertà fondamentali propedeutiche all’esercizio di ogni attività umana, in quanto ciascuno di noi è sì disposto a subire micro-lesioni della propria sfera di riservatezza in nome di più alti livelli di sicurezza ma previo bilanciamento e rispetto dei principi sanciti nelle Carte costituzionali occidentali.
La società contemporanea, alimentata da uno stato di costante interconnessione reso possibile dall’inarrestabilità del progresso tecnologico, ha determinato la nascita di un c.d. «potere occulto»[3] legittimante la costituzione di sempre più numerose banche dati che costituiscono un patrimonio pressoché inesauribile di informazioni dei singoli utenti, al punto da aver reso necessaria una regolamentazione di accesso ai dati personali.
Pertanto l’Italia, con notevole ritardo rispetto agli altri Paesi europei, ha varato la legge n. 675/1996[4] sulla protezione dei dati personali, poi confluita nel decreto-legislativo del 30 giugno 2013, n. 196 (c.d. Codice in materia di protezione dei dati personali), al fine di procedimentalizzare il trattamento delle informazioni di carattere personale così da minimizzare i rischi di perdita e distruzione delle stesse.
Nonostante il Codice della Privacy abbia rappresentato un significativo passo in avanti in materia di protezione dati, è innegabile che la minaccia terroristica [rectius la criminalità organizzata in generale] abbia portato alla creazione di una società orwelliana, in cui l’uomo si è progressivamente trasformato in una «miniera di informazioni a cielo aperto» con conseguenti controverse violazioni del trattamento dei propri dati dovute all’introduzione di sempre più sofisticati strumenti di sorveglianza in possesso dell’intelligence. Quest’ultima infatti è stata ripetutamente chiamata a fornire risposte tempestive agli attacchi cibernetici, spesso di matrice jihadista, lesivi della sicurezza nazionale, al punto da essersi resa necessaria la nascita di una «cultura della privacy» che possa tornare a bilanciare adeguatamente le esigenze securitarie e gli interessi dei produttori di tecnologie.
Proseguendo con la nostra analisi, appare imprescindibile analizzare la situazione venutasi a determinare quando l’8 aprile 2014 la Corte di giustizia dell’Unione europea, con la sentenza relativa al caso Digital rights Ireland[5], ha sancito l’invalidità della Direttiva Data Retention 2006/24/CE[6] del Parlamento europeo e del Consiglio (la c.d. Direttiva Frattini), riguardante la protezione dei dati personali nelle conversazioni elettroniche[7], la loro conservazione e utilizzo per finalità d’indagine, accertamento e perseguimento di reati gravi (soprattutto di stampo terroristico).
Più specificatamente, venne censurato l’articolo 6 della presente Direttiva in quanto da quest’ultimo si evinceva che gli Stati membri potessero conservare per periodi non inferiori a sei mesi e non superiori a due anni dalla data della comunicazione i dati personali che fornivano rilevanti informazioni sui destinatari e sulla frequenza delle interconnessioni, pur non riguardando direttamente il loro contenuto[8]. Un periodo di retention dei dati giudicato dalla Corte assolutamente inaccettabile in quanto implicante da parte dell’autorità pubblica una grave ingerenza nella vita privata dei cittadini, esposti a loro insaputa a un costante stato di sorveglianza.
Un altro grave deficit della Direttiva era rappresentato dalla mancanza di una differenziazione normativa in relazione ai termini (rispetto ai quali era stato stabilito solamente un lasso temporale minimo e massimo), agli individui, ai mezzi di comunicazione elettronica e ai dati del traffico, con conseguenti generalizzazioni e assenza di eccezioni relative alla tipologia dei gravi reati da contrastare. In merito a questi ultimi, peraltro, l’atto comunitario non consentiva di stabilire quale fosse il criterio in base al quale i reati potessero essere considerati sufficientemente gravi da giustificare una simile ingerenza.
L’attività di prevenzione e contrasto alla criminalità organizzata e al terrorismo necessita quindi di azioni di sorveglianza ad hoc, non fondate su un controllo di massa generalizzato e su una raccolta indiscriminata di dati delle comunicazioni elettroniche con conseguente ingiustificata limitazione delle libertà in gioco.
Il punto cardine della pronuncia della CGUE è costituito dalla legittimazione della Data Retention per un periodo non superiore a sei mesi e previa definizione delle modalità di accesso ai dati del traffico da parte delle autorità nazionali nel rispetto dei criteri di tracciabilità e sicurezza.
È fondamentale allora garantire concretamente il rispetto del principio di proporzionalità al fine di un bilanciamento tra le limitazioni dei diritti fondamentali e le esigenze di pubblica sicurezza, tenendo conto del tipo di reato perseguito, delle esigenze investigative, del tipo di dato da captare e del mezzo di comunicazione impiegato.
A livello europeo il periodo di conservazione dei dati delle comunicazioni telematiche per ragioni di sicurezza è modulato in maniera differenziata nei singoli Paesi. La Francia, per esempio, ha stabilito che la conservazione debba avvenire, indistintamente per tutti i reati, per un periodo massimo di dodici mesi; la Germania ha statuito che il trattenimento dei dati del traffico telefonico e della navigazione in Internet debba avere una durata di dieci settimane, mentre i dati sulla geocalizzazione devono essere eliminati dopo quattro settimane; in Belgio il lasso temporale è di sei-nove mesi a seconda della gravità del reato; infine la Spagna ha fissato un termine standard di dodici mesi, con possibile riduzione a sei mesi o estensione a due anni a seconda dei casi[9].
Per quanto riguarda il nostro Paese, in materia di Data Retention l’Italia ha costituto una vera e propria anomalia in quanto già il Codice Privacy del 2003 prevedeva che i dati del traffico telefonico fossero conservati per due anni, quelli del traffico telematico per un anno e per trenta giorni quelli delle chiamate senza risposta; tali periodi di conservazione erano poi stati estesi con il decreto-legge antiterrorismo del 2015 che imponeva fino al 30 giugno 2017 l’obbligo di retention dei dati relativi al traffico telematico o telefonico.
Con l’entrata in vigore della Legge Europea 2017[10] è stato infine introdotto l’obbligo in capo agli operatori telefonici di prorogare la conservazione dei dati del traffico per sei anni per finalità di accertamento e repressione dei reati[11], legittimando così una sproporzionata ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali[12].
Si tratta di un unicum nel panorama europeo necessario per prevenire e contrastare più efficacemente la minaccia terroristica, in quanto gli Stati membri devo poter adottare le misure necessarie per assicurare efficaci strumenti d’indagine e di esercizio dell’azione penale contro i reati legati al terrorismo.
È indubbio che il mondo stia vivendo una nuova stagione del terrorismo 3.0 caratterizzata dall’ubiquità delle azioni jihadiste e per questo si rende necessaria la definizione di un architrave del rapporto tra strumenti investigativi e protezione dati che legittimi la compressione della privacy per un periodo di tempo determinato e solamente in via eccezionale.
Nonostante ciò sia quanto auspicato, il dato preoccupante che si registra a livello europeo è relativo a una tendenza pressoché generalizzata nel seguire l’esempio italiano, con conseguente estensione dei tempi di retention dei dati dei cittadini sospetti di crimini gravi, aggirando così i limiti fissati dalla CGUE a difesa dei diritti fondamentali e delle leggi europee in materia di riservatezza.
Più controllo sulle nostre attività digitali, più sorveglianza online, più intelligence digitale: sono questi gli antidoti al terrorismo che, al fine di divulgare il proprio messaggio propagandistico e fare proselitismo, sempre più si nutre del patrimonio d’informazioni aggredibili nello spazio ciberentico. Le agenzie di intelligence e le aziende tecnologiche mondiali sono chiamate a elaborare strategie di controllo del communication space, sempre più riguardato come uno spazio fisico da presidiare e proteggere attraverso attori legittimi che ne ostacolino la conquista da parte delle organizzazioni terroristiche[13].
I sistemi democratici devono quindi essere in grado di trasformare la vulnerabilità dello spazio cibernetico in fattore di stabilità e resistenza al terrorismo, potenziando la condivisione di responsabilità e collaborazione tra lo Stato e i cittadini, alla luce di una nuova dimensione di «sicuracy» che combini le esigenze garantiste della sicurezza con quelle della privacy.
[1] Così, Soro A., La società sorvegliata. I nuovi confini della libertà,
in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4630179, 2016.
[2] Sul punto, cfr. Rodotà S., Intervista su privacy e libertà, in Conti P. (a cura di), Roma-Bari, Laterza, 2005.
[3] Alessandro Mantelero, esperto in materia di protezione e regolamentazione dei dati personali, aveva a tal proposito affermato «Man mano che si amplia il numero di possessori di computer si allarga conseguentemente quello dei detentori del nuovo potere informatico, consistente nel controllo dei singoli, reso possibile dall’acquisizione e dall’elaborazione di informazioni. Un potere spesso occulto, sia per le modalità di esercizio, essendo possibile un archivio di dati a completa insaputa dei soggetti interessati in assenza di alcuna regolamentazione, sia in ragione dell’ignoranza da parte delle persone a cui le informazioni si riferiscono delle modalità tecniche e dei meccanismi di gestione delle stesse». Per maggiori approfondimenti, v. Mantelero A., Il costo della privacy tra valore della persona e ragione d’impresa, Milano, Giuffrè, 2007, 14.
[4] Cfr. L. 31 dicembre 1996, n. 675 rubricata «Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali».
[5] Cfr. sent. Corte di giustizia europea (Grande Sezione), 8 aprile 2014, Digital Rights Ireland Ltd (C- 293/12) contro Minister for Communications, Marine and Natural Resources e altri e Kärntner Landesregierung (C-594/12) e altri, 2014. La rilevanza di tale sentenza è messa in risalto in Bonfiglio S., Diritto alla privacy e lotta al terrorismo nello spazio pubblico europeo, in Democrazia e Sicurezza, 2014, III.
[6] Per ulteriori approfondimenti, v. Saetta B., Data Retention, in https://protezionedatipersonali.it/data-retention, 2019.
[7] Si fa riferimento a tutti i dati relativi al traffico riguardante la telefonia fissa/mobile (numero del chiamante/ricevente, data e durata della conversazione, frequenza delle chiamate), l’accesso a Internet (indirizzo IP, siti visitati, dispositivo utilizzato, durata della consultazione), la posta elettronica e la telefonia online, relativi a tutti gli abbonati e gli utenti registrati in Europa, con esclusione dei contenuti delle suddette comunicazioni.
[8] Sul punto, cfr. Tresca M., Sicurezza vs protezione dei dati, la CGUE cambia registro, in Amministrazione In Cammino, 2016.
[9] Cfr. Barberio R., Parliamo di Russia, ma la vera anomalia sul “data retention” è l’Italia,
in https://www.huffingtonpost.it, 2018.
[10] Cfr. art. 24, della legge 20 novembre 2017, n. 167, «Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea», in vigore dal 12 dicembre 2017.
[11] Per maggiori approfondimenti, cfr. Senor M.A., Quel pasticcio brutto sulla data retention,
in https://www.ictsecuritymagazine.com, 2017.
[12] Così, Data Retention fino a 6 anni, la norma italiana bocciata anche dal Garante Privacy europeo, in https://www.privacyitalia.eu/data-retention-fino-a-6-anni-la-norma-italiana-bocciata-anche-dal-garante-privacy-europeo/10114/, 2019.
[13] V. Scorza G.–Masera A., Internet, i nostri diritti, Bari-Roma, Editori Laterza, 2016, 79 ss.
Autore