skip to Main Content

Safe harbour 2.0: i nodi da sciogliere per un nuovo equilibrio tra privacy e sicurezza nel convegno con Joe Cannataci

“Escludo che l’implementazione di backdoors in Internet e nelle altre comunicazioni possa essere una buona idea in termini di sicurezza”. Così Joe Cannataci, UN Special Rapporteur on the Right to Privacy, nel keynote speech di “Sicurezza e privacy: verso un Safe harbour 2.0”, evento che ha avuto luogo a Roma nel pomeriggio di mercoledì 9 dicembre. Cannataci 2 “In Italia – ha ammonito Cannataci – dite che l’appetito vien mangiando. Ecco, le agenzie di intelligence in questi anni hanno mangiato molto in termini di sorveglianza, ed è molto difficile ora invertire la rotta”. Le direttrici sulle quali si muove il percorso che porterà all’adozione di un nuovo Safe harbour dopo la sentenza con la quale la Corte di Giustizia Ue ha invalidato l’accordo che regolava il trasferimento dei dati dall’Europa agli Stati Uniti e le tematiche relative alla sicurezza hanno animato i lavori di un convegno promosso dall’Università Europea di Roma e dall’Accademia Italiana del Codice di Internet nell’ambito del PRIN “La regolamentazione giuridica delle Tecnologie dell’Informazione e della Comunicazione (TIC) quale strumento di potenziamento delle società inclusive, innovative e sicure”. IMG_6616Dopo i saluti iniziali di Antonio Derinaldis, Direttore della sede di Roma della Pegaso-Università Telematica, il Prof. Alberto Gambino, Presidente dell’Accademia, ha disegnato il quadro entro il quale si colloca il dibattito: “Come realizzare una protezione efficace ed equilibrata dei diritti fondamentali in un’epoca contrassegnata da un ritorno prepotente del fenomeno terroristico? Le risposte si collocano tra due poli: mantenere inalterata la tutela dei diritti umani nella loro massima portata ed estensione o all’opposto sospendere, nel prevalente interesse pubblico della sicurezza, alcune delle garanzie costituzionali, con compressione o svuotamento del contenuto di quel catalogo di diritti che costituisce il patrimonio delle democrazie liberali. È frequente che sull’onda emotiva degli eventi si tenda a ricorrere a questa seconda tendenza con legislazione emergenziale. Proprio l’esperienza francese purtroppo rappresenta un esempio di questa tendenza, dato che qualche giorno fa la Francia ha comunicato la sospensione della Convenzione Europea dei Diritti dell’Uomo come previsto dall’articolo 15 della Convenzione stessa. In questa cornice, e in quella degli scandali che hanno coinvolto gli Stati Uniti in materia di sorveglianza globale, si colloca il dibattito sulla possibilità di ricorrere a tecniche di cifratura e criptazione quale strumento che consenta di bilanciare le opposte esigenze di tutela della sicurezza pubblica da un lato e tutela della riservatezza e libertà di espressione dall’altro. Atteso il possibile impiego delle tecniche criptografiche per sfuggire ai controlli dell’autorità giudiziaria e, opposti sono gli atteggiamenti verso lo strumento stesso: da un lato le ambizioni di controllo da parte delle agenzie di sicurezza nazionali, che richiedono l’installazione di backdoor nei dispositivi, dall’altro le resistenze da parte di chi quei dispositivi li produce”. La Prof.ssa Giusella Finocchiaro, Ordinario di Diritto dell’Internet e Diritto privato nell’Università degli Studi Bologna e Socio fondatore dell’Accademia, incaricata di moderare la prima parte dei lavori, ha così proposto una riflessione che investe la radice delle questioni all’ordine del giorno: “Vorrei sottolineare il ruolo di supplenza politica svolto dalla Corte di Giustizia nel caso Schrems; parliamo infatti di scelte politiche sui principi. È questa tuttavia una prospettiva condivisa e accettata solo in una parte del mondo, quella dell’Europa occidentale.Il dibattito sui principi è quindi assolutamente da relativizzare in termini geografici”. Pollicino“Inserendomi sulla falsariga della politicità della sentenza – ha subito dopo esordito il Prof. Oreste Pollicino dell’Università Bocconi di Milano e Socio fondatore dell’Accademia – vorrei sottolineare un esercizio, se volgiamo di creatività, da parte della Corte e che è stato tenuto finora in scarsa considerazione: l’aver traghettato un giudizio relativo all’adeguatezza in un giudizio relativo all’equivalenza delle tutele adottate. Occorre farsi diverse domande: quali tecnica argomentativa e parametri sono stati utilizzati in questa operazione? A quale livello deve essere applicata questa clausola di protezione equivalente? I parametri interposti sono i paragrafi 7 e 8 della Carta di diritti fondamentali dell’Unione Europea, mentre la prima mossa della tecnica argomentativa vede un bilanciamento asimmetrico, con le tutele del 7 e 8 che prevalgono su tutti gli altri diritti in gioco. Qual è il suo ambito di applicazione territoriale? Qui siamo portati a pensare, come accaduto nel caso della sentenza Google Spain, che il suo ambito sia quello europeo, ma è un errore, perché le ricadute e le reazioni vanno ben oltre i confini del Vecchio Continente. Infine, bisogna riflettere su come questa clausola può essere contestualizzata all’interno di una constitutional theory della Corte ,che non fa altro che applicare una teoria costituzionale attraverso una teoria di common law”. IMG_6625Il Prof. Giorgio Resta dell’Università di Roma Tre e Socio fondatore dell’Accademia insieme a Mariavittoria Catanzariti ha proposto di considerare la decisione Schrems “come un momento terminale di un conflitto regolatorio che va avanti dal momento della direttiva comunitaria. Non è l’unico modello di reazione emersa, perché iniziative ne abbiamo viste anche in Parlamento. Il tema è: da dove nasce questa attenzione regolatoria tra Europa e Stati Uniti? Mi pare che questa vicenda tenda a privare di fondamento due delle più importanti ricostruzioni emerse a livello comparatistico finora. La prima è quella che riteneva gli Usa caratterizzarsi per una forte tutela dei dati nei rapporti verticali cittadino-stato, con l’Europa caratterizzata invece da una tutela forte nell’ambito inter-privato ma molto meno tra Stato e cittadini; anche la vicenda del Datagate dimostra che non è vero. In secondo luogo, la previsione relativa all’espansione al rialzo degli standard europei: il caso Schrems ci dimostra che questa tendenza può essere smentita a livello empirico”. Claudia Colonnello del Laboratorio di Scienze della Cittadinanza ha proposto il punto di vista di una sociologa: “Vorrei sottolineare che le antinomie sociali create dall’emergere della soggettività di massa degli individui complica di molto il panorama e comporta, anche se ancora è parzialmente invisibile, nuove dinamiche sociali che se per un verso aprono a minacce dall’altro potrebbero essere foriere di forze collettive che si stanno mobilitando per trovare una risposta alle nuove istanze democratiche nate all’interno delle società ad alto tasso tecnologico. Prima di Internet potevamo tracciare un confine tra essere umano e tecnologia, ora non più. E in questo senso sono centrali ponti interdisciplinari per affrontare un discorso di governance del mondo digitale”. L’Avvocato Guido Scorza, Presidente dell’Istituto per le Politiche dell’Innovazione, ha esordito ricordando che “nel 1928 il giudice Louis Brandies, in una della prime sentenze in materia di intercettazioni, prefigurava uno scenario in cui ogni comunicazione e aspetto della vita privata poteva essere conosciuto a chi aveva i mezzi per intercettarlo e si chiedeva se la Costituzione non contenesse gli strumenti per predisporre difese per il cittadino immerso in uno scenario del genere. Quasi un secolo dopo, ci stiamo ponendo le stesse domande. C’è spazio, e se sì quale, per una costituzionalizzazione di certe tutele?”. “Parlando del Safe harbour che verrà – ha proseguito Scorza – nella sentenza della Corte di Giustizia si dice che la decisione del 2000 non va bene perché negli Stati Uniti è prevista una compressione della privacy in favore della sicurezza troppo marcata. Noi come europei questo non possiamo accettarlo. Il 16 ottobre scorso il gruppo dei Garanti europei dell’Articolo 29 dice che i Paesi nei quali il potere delle pubbliche autorità di accedere alle informazioni va oltre quanto necessario non possono essere considerati approdi sicuri per i dati personali dei cittadini europei. Se ci fermassimo qua ritorneremmo nella tradizionale contrapposizione tra la nozione di privacy europea e quella degli Usa. Ma siccome non mi fermo al 16 ottobre, guardando cosa hanno espresso leader politici come Obama in queste settimane la sensazione è diversa. Dai discorsi sulla crittografia del Presidente degli Usa si passa a quelli sovrapponibili di David Cameron in termini già dopo i fatti di Charlie Hebdo. Dopo i fatti ancor più tragici del 13 novembre, abbiamo sentito il Presidente francese Hollande dichiarare la sospensione dei diritti fondamentali. E parliamo dunque della possibilità per i governi di utilizzare strumenti per la sorveglianza di massa. In Italia, Paese che sta uscendo da una vicenda spinosa come quella dell’Hacking Team, vediamo digerire certi temi con molta semplicità, tanto che il nostro premier arriva a dire senza mezze parole che una soluzione per la cyberintelligence, che lui definisce cybersecurity, sia l’acquisizione massiva di videoregistrazioni e il tagging di quei contenuti. Attività per la quale sono già stati previsti ingenti fondi pubblici, ma non mi sembra qualcuno abbia presentato al Garante della Privacy una richiesta di opinione su questa direzione. Mi chiedo dunque: leggiamo e ci interroghiamo sulla circostanza che saremo prossimi ad una negoziazione per il Safe harbour 2.0; per me negoziare però significa partire da due posizioni diverse e cercare un equilibrio. In questa situazione mi sembra invece che i soggetti che stanno negoziando non abbiano posizioni diverse, e tutto sommato nella eterna battaglia tra il diritto ala privacy e le esigenze di sicurezza l’Europa e gli Usa siano più vicini di quanto sembra. Se un incontro dovessero trovarlo, secondo me, lo troverebbero in una condizione molto diversa di quella che era il Safe harbour originario”. Lucio Scudiero, Research Fellow dell’Istituto Italiano Privacy, ha così approfondito la “dicotomia” tra privacy e sicurezza sottolineando le garanzie e i criteri di proporzionalità indicati dalla Corte di Giustizia nelle sue recenti sentenze, da quella sulla Data retention alla Google Spain fino appunto a quella sul Safe Harbour, oltre che i principi stabiliti dal Garante privacy in materia di biometria. Scudiero ha concluso con un quesito: “La sorveglianza di massa è davvero efficace? La mia risposta è secca: no”. IMG_6666Andrea Stazi (Public Policy Manager di Google), ha affermato che “Privacy e sicurezza sono due facce della stessa medaglia, non c’è l’una senza l’altra, una situazione palese già oggi e che sarà ancora più evidente nello scenario degli smart and connected devices nel c.d. Internet of Things. È importante l’utilizzo degli strumenti tecnologici per il bilanciamento dei diritti fondamentali, così come centrale è la trasparenza e la responsabilità da parte delle imprese. Gli episodi di data breach degli ultimi anni evidenziano la necessità della maggiore trasparenza possibile da parte di tutti i soggetti coinvolti e da parte delle imprese che subiscono questi attacchi per condividere informazioni e azioni di contrasto a simili episodi. È un passaggio fondamentale altresì per approcciare la nuova fase tecnologica che sta già estendendo la rete a una serie di oggetti tecnologici di uso quotidiano. Il filo conduttore tra i diversi principi fondamentali in gioco dal punto di vista dell’impresa è la fiducia degli utenti, e la conservazione di un rapporto fiduciario passa sia da un impegno costante di trasparenza nei confronti dei cittadini-utenti, sia dall’attribuzione agli stessi del controllo sulla tutela dei propri dati. Ad oggi, in effetti gli strumenti di protezione della privacy e della sicurezza più efficaci che abbiamo a disposizione sono da un lato l’interlocuzione con le autorità pubbliche poste a tutela di tali diritti, dall’altro la chiara informazione degli utenti e la protezione degli stessi tramite i migliori strumenti tecnologici disponibili (ad esempio la criptazione). Inoltre, risulta di particolare importanza lasciare all’utente la libertà di utilizzare gli strumenti di tutela come meglio crede, con la consapevolezza che ad esempio la privacy ha un significato diverso per ciascun utente e dunque quello che può fare un operatore nel rispetto dei diritti fondamentali è fornire tutti i mezzi di tutela possibili ma lasciare all’utente stesso il controllo della gestione dei propri dati”. IMG_6671La Prof.ssa Valeria Falce (Università Europea di Roma e Socio fondatore dell’Accademia), ha così domandato “qual è la barra da tenere dritta per evitare i rischi sottolineati da chi mi ha preceduto in termini di compressione dei diritti fondamentali? Occorre a mio avviso individuare nei principi di proporzionalità, bilanciamento e necessità le direttrici da seguire. Quanto alla tecnica giuridica da implementare si aprono degli spazi di vuoto importanti. La Corte è entrata in qeusto scenario come garante del diritto europeo in relazione ai diritti fondamentali, e d’altra parte il Gruppo Articolo 29 ha formulato le sue proposte e indicazioni, alle quali hanno fatto da contraltare le lettere di alcuni operatori economici che hanno fatto appello a una collaborazione tra Commissione europea e autorità nazionali al fine di evitare la frammentazione di indirizzi e auspicando che l’adozione di un nuovo framework arrivi presto. Mi sembra che con la pubblicazione delle linee guida del 6 novembre scorso si vada comunque definendo una prospettiva, dal punto di vista della tecnica giuridica, bottom up all’insegna della privacy by desing in cui delle soluzioni contrattuali con espressa previsione di obblighi interni di misure di sicurezza, coniugate a norme vincolanti di impresa, possono tracciare verso un nuovo e più adeguato equilibrio”. Nelle sue conclusioni Giuseppe Busia, Segretario Generale dell’Autorità Garante Privacy, ha così affermato: “La contrapposizione troppo spesso ripetuta fra privacy e sicurezza in realtà non esiste perché tutta la normativa sulla privacy contiene in sé una serie di bilanciamenti e l’esigenza spesso udita di raccogliere più dati per essere più sicuri non ha fondamento. Questo perché, purtroppo tragicamente, è stato dimostrato che gli attentatori dei tragici episodi di questo 2015 erano persone già conosciute dalle forze dell’ordine e dalla giustizia, e nonostante questo hanno potuto compiere le loro azioni. È dunque un problema di capacità di analisi dei dati raccolti e non di raccolta dei dati in sé per sé, già consentita dalla normativa sulla privacy. La raccolta massiva non serve e non è efficace, anzi, creando nuove banche dati si aumenta la superficie d’attacco”. “Per quanto riguarda lo specifico della sentenza della Corte di Giustizia – ha spiegato Busia – vorrei sottolineare due cose poste in luce oggi: in primo luogo, la sua valenza in termini politico-discrezionali, ma credo sia doveroso questo mestiere delle corti costituzionali perché si tratta di pesare i diritti e creare delle gradazioni tra di essi; la seconda riguarda l’efficacia extraeuropea della sentenza, perché stiamo decidendo qualcosa che non ha i confini nei quali operano tradizionalmente le corti e si apre dunque un discorso di regolazione politica tra le due sponde dell’Atlantico, ma anche rivolto all’esterno. Il confronto tra Europa e Stati Uniti avviene appunto in una porzione del mondo nella quale troveremo un equilibrio che dovrà evitare la sorveglianza massiva, dovrà tenere conto dei bilanciamenti, dovrà trovare gli strumenti, ma la sfida vera è esportarlo, capire che questo equilibrio è una ricchezza di questa parte del mondo e sulla sua base bisognerà saper dialogare con il resto del pianeta. Il bilanciamento tra privacy e sicurezza oggi ci pare il più urgente, ma è in realtà solo uno di quelli che dobbiamo trovare e che riguardano la nostra vita quotidiana. La partita è molto più ampia e ha a che fare con il senso stesso di cittadinanza. La partita schematizzata nel ‘raccolgo i dati contro i terroristi’ nasconde un quesito generale sul tipo di democrazia che abbiamo in mente, sul contratto sociale che regolerà le nostre vite”. 11 dicembre 2015

Back To Top