In una società digitalizzata e nella quale la tecnologia, compresa quella che consente di criptare le proprie comunicazioni rendendole segrete, è alla portata di tutti, come dare alle Forze dell’ordine la possibilità di contrastare efficacemente criminali e terroristi e proteggere i cittadini salvaguardando, al contempo, la loro privacy?
La risposta all’interrogativo non è per nulla banale, stante la necessità di conciliare esigenze contrapposte.
E avevamo già visto come in Inghilterra alla fine avesse prevalso la corrente dei falchi che vuole concedere a polizia e servizi di intelligence la licenza di intercettare e accedere a tutte le comunicazioni, comprese quelle crittografate. Anzi, di arrivare a chiedere agli stessi produttori di progettare apparati e servizi in modo che siano intercettabili, tanto da spingere le voci critiche a coniare il termine “surveillance-by-design”.
Nell’Unione europea, patria della legislazione più avanzata in tema di privacy ma al contempo soggetto composito con legislazioni nazionali non pienamente armonizzate e dipendente in larga parte dai servizi erogati da soggetti esterni alla sua giurisdizione, rispondere all’interrogativo iniziale risultava operazione ancora più sfidante, se possibile.
E alla fine, anche in Ue, è spuntato un documento, redatto da un gruppo di esperti incaricati dalla Commissione europea uscente e potenzialmente prodromico dei futuri interventi del legislatore europeo, che, nella sostanza, sembra ricalcare quello inglese. Mettendo sul piede di guerra i difensori del diritto alla privacy.
COME IL DOCUMENTO È SPUNTATO FUORI
Il documento si intitola “Recommendations of the High-Level Group on Access to Data for Effective Law Enforcement” ed è stato predisposto dall’High-Level Group (HLG), organismo nato nel giugno 2023 per volontà della Commissione e composto da esperti a cui è stata affidato il compito principale di fornire raccomandazioni per “enhance and improve access to data for the purpose of effective law enforcement“. In sintesi, per rendere accessibile agli organismi giudiziari ciò che oggi non lo è.
Il documento è da pochi giorni liberamente consultabile dalla Home page del sito dell’organismo che lo ha prodotto ma la sua esistenza e i suoi contenuti erano stati in precedenza anticipati da Patrick Breyer, membro del Partito dei Pirati tedesco. Successivamente il documento era stato in qualche modo esfiltrato e reso pubblico da Netzpolitik, sito di news in lingua tedesca che tratta di diritti digitali e cultura digitale con una attenzione particolare ai temi della sorveglianza di massa.
Peraltro, già a gennaio 2024 ventuno organizzazioni avevano firmato una lettera indirizzata all’HLG nella quale esprimevano la loro preoccupazione rispetto alle ipotesi di un accesso “by design” ai dati, chiedevano una maggiore trasparenza rispetto ai lavori del gruppo e arrivavano a metterne in discussione la legittimità stessa per la mancata iscrizione di alcuni dei suoi membri al Registro degli Esperti della Commissione.
COSA PREVEDONO LE RACCOMANDAZIONI
Il documento è una raccolta di raccomandazioni – quarantadue in tutto – ed è suddiviso in due sezioni: una introduzione, nella quale vengono illustrati i principi guida e i presupposti che hanno condotto alla formulazione delle raccomandazioni e in una seconda sezione nella quale le 42 raccomandazioni vengono elencate suddivise in tre gruppi principali:
Capacity Building measures, che contiene le raccomandazioni 1-10 dedicate alla costruzione di una capacità europea di analisi forense attraverso la standardizzazione di metodi, tecniche e strumenti e la costruzione di meccanismi che consentano lo scambio di ampi dataset in tempo reale, Cooperation with Industry and Standardisation, che riguarda le raccomandazioni 11-24, dedicate alle misure di cooperazione di cui richiedere l’adozione da parte di operatori e produttori, e, Legislative measures, che attiene alle raccomandazioni 25-42, nella quali vengono illustrate le proposte di modifica normativa.
Gli aspetti del documento che maggiormente hanno sollevato perplessità sono quelli relativi alla richiesta di reintrodurre l’obbligo di conservazione dei dati (“data retention“) esteso a tutti i provider di servizi – obbligo precedentemente esistente e rimosso nel 2014 a seguito di una sentenza della Corte di giustizia europea – e quello di richiedere a tutti i fornitori di tecnologie rilevanti di prevedere l’accesso legittimo ai dati già dalla fase di progettazione delle tecnologie stesse.
I PUNTI CONTROVERSI
Riguardo al primo aspetto, la novità emerge con chiarezza nella raccomandazione 27, nella quale si prevede che qualsiasi fornitore di servizi – indipendentemente dal fatto che sia un operatore di telecomunicazioni oppure un provider di servizi (cosiddetti OTT- Over The Top) – sia soggetto in tutti i paesi Ue al medesimo regime di conservazione dei dati. L’obbligo in capo ai provider dovrà includere la possibilità che i soggetti autorizzati possano accedere a dati e metadati in chiaro (anche quando il dato viene criptato durante la comunicazione) e identificare con certezza l’identità di colui che li ha prodotti o ricevuti.
Il concetto di piena collaborazione richiesta ai provider viene ulteriormente ribadito nelle raccomandazioni 33 e 34, nelle quali si auspica l’adozione di meccanismi sanzionatori per i provider che si rifiutano di collaborare, fino ad arrivare alla prigione per i soggetti che oltre a non collaborare ostacolano le attività degli organi giudiziari.
Il secondo aspetto chiama in causa i produttori di tecnologie, dove tale termine va inteso in senso molto ampio includendo in tale elenco dispositivi IoT, smartphone, produttori di hw e sw impiegato nell’automotive, ecc. e viene affrontato nella raccomandazione 22 la quale letteralmente richiede ai produttori “to implement lawful access by design” ovvero prevedere già nella fase di progettazione di una tecnologia le modalità per consentire agli organi giudiziari di accedere ai dati in modo legittimo.
LE REAZIONI
Malgrado le raccomandazioni non siano direttamente trasformabili in una bozza di direttiva, Patrick Breyer ha interpretato il documento predisposto dall’HLG come una sorta di wish list che la Commissione europea uscente, e in particolare la sua Presidente cui Breyer si rivolge chiamandola “la Grande Sorella“, avrebbe consegnato a quella che si insedierà subito dopo le elezioni europee, con l’invito a sposarne i principi alla base.
E forse è per cercare di rimarcare la loro terzietà che gli estensori del documento si sono premurati di inserire alcuni caveat di cui il legislatore dovrebbe tenere conto prima di tradurre le raccomandazioni in atti normativi: in primis, che tutte le misure descritte dovrebbero essere realizzate senza intaccare privacy degli utenti e sicurezza delle tecnologie, comprese le tecniche crittografiche, e poi ribadendo il concetto nella raccomandazione 26, nella quale si prevede l’istituzione di un gruppo di ricerca finalizzato a verificare la fattibilità tecnica delle misure indicate.