Uno sguardo in Europa alla luce della
recente sentenza della Corte europea dei diritti dell’uomo: vittoria
della privacy come diritto umano
Nel 2013, Edward Snowden, ex informatico della CIA e consulente della National Security Agency (NSA) americana - organismo del Dipartimento della difesa - fece una serie di clamorose rivelazioni che dettero il via al c.d. Datagate,
lo scandalo sulla sorveglianza di massa messa in atto da alcuni governi
all'insaputa dei cittadini. Per diffondere le informazioni in suo
possesso, si avvalse della collaborazione di alcuni giornalisti
d’inchiesta dei quotidiani The Guardian e The Washington Post, mettendo a loro disposizione migliaia di documenti top secret collezionati
durante la sua attività. La portata delle rivelazioni fatte da Snowden è
incalcolabile ed ha messo in imbarazzo più di un governo occidentale,
al punto da costringerlo ad abbandonare gli Stati Uniti per rifugiarsi
prima ad Hong Kong e poi in Russia.
In
particolare, l’ex informatico portò alla luce come l'NSA avesse messo
in piedi una complessa rete di spionaggio, basata su programmi come PRISM e Tempora,
in grado di intercettare il traffico internet e telefonico di utenti di
ogni parte del mondo. A tal fine l'NSA aveva usufruito oltre che del
supporto di altre istituzioni statunitensi, quali l'FBI o il
Dipartimento di Giustizia, anche di importanti società private, tra le
quali Google e Facebook.
Fondamentale è stata anche la collaborazione dei servizi di intelligence
straniera per accedere ai principali punti di snodo delle
telecomunicazioni sparsi per il mondo. Oltre ai servizi degli altri
paesi, i c.d. “Five Eyes” che hanno siglato l'accordo UK-USA -
alleanza di Paesi anglofoni guidata dagli Stati Uniti e dal Regno Unito
con lo scopo di raccogliere informazioni attraverso l’intercettazione
di comunicazioni e composta anche da Canada, Australia e Nuova Zelanda -
l'NSA ha cooperato anche con agenzie di varia nazionalità, tra cui il Bundesnachrichtendienst tedesco, l'Unit 8200 israeliano e il National Defence Radio Establishment svedese (Försvarets radioanstalt), il quale ha dato accesso ai cavi sotto al Mar Baltico.
Nati
con la giustificazione della lotta al terrorismo e la preservazione
della sicurezza nazionale, i vari programmi di sorveglianza erano stati
estesi ed usati impropriamente per valutare elementi come la politica
estera e la stabilità economica di alcuni paesi, o per raccogliere
informazioni riservate anche riguardanti soggetti privati.
Le rivelazioni Snowden crearono un terremoto di grandissima portata in tutto il mondo, ma soprattutto fu accolto come un grande shock
in Europa dove, da sempre, il tema della sicurezza nazionale a scapito
dei diritti fondamentali poggia su valutazioni ed equilibri totalmente
diversi rispetto ad altri contesti, ed in particolare gli USA. Ciò è
dimostrato dai principi europei in materia di privacy
e dagli interventi delle Corti, soprattutto la Corte europea dei
diritti dell’uomo, la quale come vedremo non si è mai tirata indietro
quando si è reso necessario ribadire la centralità della tutela della
riservatezza dei cittadini.
1. L’approccio europeo: la privacy come diritto fondamental
Il ‘900 è stato un secolo caratterizzato, nella sua prima metà, dall’impossessamento e dalla manipolazione di informazioni personali a fini politici. La religione, le opinioni politiche, l’affiliazione sindacale o la razza dei soggetti erano conoscenze utili per il controllo sociale. Ciò ha indubbiamente rappresentato un input
per i costituenti nazionali ed il legislatore europeo ad adottare carte
fondamentali e trattati in totale contrapposizione e rifiuto dei regimi
precedenti, dirette cioè alla maggior tutela possibile dei diritti e
delle libertà dei soggetti, ivi compreso il diritto alla privacy, il quale è riconosciuto a livello comunitario come un diritto fondamentale.
Un
primo elemento normativo a sostegno di quanto sopra affermato lo si
trova nella Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, c.d. CEDU, firmata il 4 novembre 1950 a Roma dagli Stati membri del Consiglio d’Europa
ed entrata in vigore il 3 settembre 1953. La CEDU può essere
considerata come il primo trattato che mira alla tutela dei diritti
umani dell’individuo, ed è inoltre l’unico, ancora oggi, dotato di un proprio meccanismo giurisdizionale permanente di garanzia: la Corte europea dei diritti dell’uomo, con sede a Strasburgo.
Tra i diritti fondamentali dell’uomo riconosciuti dall’articolato della CEDU c’è l’art. 8, il quale stabilisce al par.1 che “ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza”, e al par. 2 che “non può esservi ingerenza di una autorità pubblica nell’esercizio
di tale diritto a meno che tale ingerenza sia prevista dalla legge e
costituisca una misura che, in una società democratica, è necessaria
alla sicurezza nazionale, alla pubblica sicurezza, al benessere
economico del paese, alla difesa dell’ordine
e alla prevenzione dei reati, alla protezione della salute o della
morale, o alla protezione dei diritti e delle libertà altrui”. L’attenzione è essenzialmente focalizzata sulla difesa dell’individuo dalle ingerenze arbitrarie dei pubblici poteri.
Sempre in sede di Consiglio d’Europa,
nel 1981 terminarono i lavori della Convenzione sulla protezione delle
persone rispetto al trattamento automatizzato di dati a carattere
personale, c.d. Convenzione 108, il cui scopo, espresso all’art. 1, era “garantire,
sul territorio di ciascuna Parte, ad ogni persona fisica, quali che
siano la sua nazionalità o la sua residenza, il rispetto dei suoi
diritti e delle sue libertà fondamentali, e in particolare del suo
diritto alla vita privata”.
Sul fronte dell’Unione europea, invece, è la Carta dei diritti fondamentali dell’Unione
europea - nota anche come Carta di Nizza - approvata dal Parlamento
europeo nel novembre 2000 a riaffermare il carattere fondamentale del
diritto alla privacy con due diverse disposizioni: l’art. 7 e
l’art. 8, dedicati rispettivamente al diritto alla vita privata e
familiare ed al diritto alla protezione dei dati di carattere personale.
Ciò che emerge quindi è che l’approccio europeo al diritto alla privacy e alla protezione dei dati personali si caratterizza e si distingue per l’attenzione particolare al soggetto ed il suo diritto all’intimità,
nonché per il rispetto della stessa considerato in stretto legame con
la tutela della sua dignità. Un approccio confermato peraltro dalla
giurisprudenza della Corte europea dei diritti dell’uomo.
2. La giurisprudenza della CEDU: baluardo contro la sorveglianza di massa
Una delle più risalenti ed importanti pronunce della CEDU in merito alla configurabilità della privacy come diritto fondamentale nonché limite alle ingerenze istituzionali, è la sentenza sul caso Kroon & Altri c. Paesi Bassi, nella quale la Corte ha ribadito che l'oggetto essenziale dell'art. 8 della Convenzione è quello di “tutelare l'individuo contro l'arbitrio delle autorità pubbliche”.
Tuttavia, come sostengono i giudici di Strasburgo, non si tratta solo
di un obbligo negativo, bensì vi possono essere obblighi positivi
inerenti al rispetto effettivo della vita privata. La privacy
come diritto umano è quindi un limite all’ingerenza dei pubblici poteri
alla pari di altri, quali ad esempio la libertà personale o la libertà
d’espressione.
Nel
corso degli anni, la posizione della Corte non ha subito flessioni,
anzi, con il diffondersi della rivoluzione digitale si è mostrata sempre
più vigile per tutelare gli individui dai sempre maggiori rischi per la
vita privata, ed in modo particolare quando questi provengano dalle
autorità. Ciò è ancor più vero a partire dalle rivelazioni di Edward
Snowden, che hanno fatto suonare campanelli d’allarme tanto nelle
associazioni a favore dei diritti civili, quanto nelle Corti chiamate a
farli rispettare.
Con la sentenza sul caso Zakharov c. Russia
del 4 dicembre 2015, i giudici di Strasburgo hanno condannato Mosca per
gli aspetti controversi della sua legislazione sulla sorveglianza
segreta e sulle intercettazioni individuali ritenendo
che la cornice legale riguardo alle intercettazioni delle comunicazioni
telefoniche non offrisse alcuna tutela adeguata ed efficace contro
l’abuso. Secondo la Corte, infatti, considerata la natura segreta delle
misure di sorveglianza, il loro ampio spettro (poiché possono riguardare
tutti gli utenti di telefonia mobile) e la mancanza di mezzi efficaci
per sfidarle a livello nazionale, ha ritenuto che questo tipo di
attività dovesse essere giustificato da interessi di estrema importanza
nonché circoscritte da leggi di qualità elevata. Pertanto, accogliendo
il ricorso presentato il 20 ottobre 2006 da Zakharov,
la Corte ha affermato che il sistema delle intercettazioni segrete
delle comunicazioni telefoniche mobili in Russia costituiva una
violazione del diritto alla vita privata, così come tutelato
dall'articolo 8 della Convenzione.
Sulla stessa linea si colloca un’altra pronuncia, ossia quella sul caso Szabo & Vissy c. Ungheria
del gennaio 2016. Anche quest’ultima decisione, simile alla precedente,
ha ribadito che ogni forma di intromissione nella sfera privata ed ogni
raccolta di dati debba essere rigidamente giustificata da interessi di
pari valore o perfino superiore, non potendo invece essere tollerata
alcune flessibilità arbitraria che si traduca in forme di sorveglianza
di massa.
One LEGALE | Experta Privacy
Tutta la normativa in tema di
privacy, gli orientamenti di organi giudicanti e Autorità garante, tanti
strumenti per garantire di essere in regola con tutti gli adempimenti:
guide pratiche, commentari, riviste, action plan, check list, formule,
news.
3. La recente sentenza nel caso Big Brother Watch & Altri contro Regno Unito
Su questa scia di pronunce, arriviamo alla più recente e forse quella di maggiore interesse simbolico: la sentenza 25 maggio 2021 sul caso Big Brother Watch & Altri c. Regno Unito (testo in calce) avviato nel 2013 da 16 organizzazioni (tra cui ACLU e Privacy International) per la difesa dei diritti individuali a seguito dello scandalo Datagate. In particolare i giudici hanno stabilito che lo spionaggio di massa dei dati delle comunicazioni effettuato dal GCHQ (Government Communications Headquarters) inglese, per come permesso dal Regulation of Investigatory Powers Act (RIPA) del 2000, violasse il diritto fondamentale alla vita familiare e alla privacy sancito all’art. 8 della Convenzione.
La legge in questione ha consentito per anni all’intelligence britannica di intercettare enormi flussi di informazioni elettroniche – telefonate, e-mail, ricerche in internet, attività sui social, metadati, ecc. – che transitano nei cavi a fibra ottica, anche sottomarini: il sistema era l’asse portante del c.d. programma Tempora, svelato nel 2013 da Snowden, che prevedeva la condivisione delle informazioni intercettate con l’NSA americano - il quale sovrintendeva negli USA l’analogo progetto PRISM - andando così a costituire il più grande sistema di sorveglianza globale nella storia dell’umanità. I giudici hanno anche condannato l’acquisizione di dati attraverso gli Internet Provider. Il RIPA, che è stato sostituito dall’Investigatory Powers Act (IPA) nel 2016, avrebbe inoltre limitato il diritto di libertà di espressione e di stampa garantito dall’articolo 10 della Convenzione.
Peraltro,
oltre alle informazioni dei propri cittadini, il Regno Unito scambiava
dati e intercettazioni con Stati Uniti, Canada, Regno Unito, Australia e
Nuova Zelanda, i c.d. Five Eyes. Grazie a questa connessione
tra i paesi anglofoni più ricchi e potenti del mondo, i servizi segreti
delle varie agenzie potevano scambiarsi tutte le informazioni e i dati
che passavano attraverso i cavi dove materialmente viaggiano i dati da
un continente all’altro.
In questo modo ciascuno di questi Paesi, per avere accesso ai dati di
altri cittadini cedeva il controllo sui dati dei propri.
A
parere della Corte, le intercettazioni preventive dei servizi segreti
non sono di per sé vietate, ma devono sempre essere limitate a sospetti
specifici e oggettivi. Nel caso di specie, è mancata la supervisione end-to-end, ossia la presenza di un organismo indipendente dall’esecutivo che fosse incaricato di monitorare l’operato dell’intelligence e che decidesse in anticipo i perimetri d’indagine
e le operazioni legittime. In altri termini, sì a un regime di
intercettazione collettiva finalizzata a contrastare la minaccia del
terrorismo e l’eventualità che il web
venga sfruttato per organizzare attività ad esso connesse, ma solo se
ciò non degenera in uno spionaggio governativo incontrollato, massivo ed
indiscriminato, che esula da effettivi interessi oggettivi di sicurezza
nazionale.
In quest’ultimo caso, come ribadisce la Corte, si sfocia in una sorveglianza di massa che viola un diritto umano, quello alla privacy riconosciuto dall’art. 8 della Convenzione.
Tuttavia sulla questione dello scambio di dati tra i Five Eyes, la Corte è stata meno severa.
Sul
punto, infatti, la maggioranza dei giudici non ha accolto la richiesta
degli attivisti per i diritti civili di considerare come violazione dei
diritti fondamentali gli accordi di interscambio informativo tra i
cinque stati anglosassoni. La Grand Chamber ha deciso, con 12
voti a 5, che la cooperazione tra i loro servizi segreti è lecita,
poiché ci sono regole sufficientemente chiare per consentire un
trasferimento di dati tra le rispettive intelligence.
I giudici dissenzienti hanno però ammonito che la presenza di tali
regole non è sufficiente, essendo anche qui necessari meccanismi
espliciti per controllare il potenziale uso improprio dei poteri di
sorveglianza.
4. Conclusioni
Quante
volte ancora si sentirà parlare di sorveglianza di massa, uso improprio
dei dati personali o ingerenze illegittime e ingiustificate nella sfera
privata, non è dato saperlo. Con grande probabilità, però, la partita
non è chiusa. Basti pensare al lungo iter processuale che ha condotto alla pronuncia del 25 maggio scorso.
Gli attivisti per i diritti civili avevano già ottenuto una prima pronuncia da parte dell’Investigatory Powers Tribunal, il tribunale che vaglia i ricorsi contro le agenzie di sicurezza. Quest’ultimo aveva dichiarato illegale l’accordo di scambio di informazioni tra Regno Unito e Stati Uniti in quanto segreto, ma non l’illegittimità né dell’accordo né delle
intercettazioni di massa. Non soddisfatte della pronuncia del
tribunale, nel 2015 le organizzazioni avevano portato la causa davanti
alla prima sezione della CEDU, che nel settembre del 2018 si era pronunciata riconoscendo come la mancanza di opportune salvaguardie rendesse illegittime quelle intercettazioni. Tuttavia Big Brother Watch e le altre organizzazioni, ancora non soddisfatte della sentenza, avevano chiesto che si pronunciasse anche anche la Grand Chamber,
la quale, composta da 17 giudici, è chiamata a giudicare soltanto quei
casi considerati di estrema importanza. Quest’ultima si è poi espressa
con la sentenza appena esaminata. Si tratta di una sentenza
importantissima, pronunciata dalla più alta Camera dell’organo posto a
presidio dei diritti umani da ormai quasi settant’anni. Capiremo la sua
portata e soprattutto se le ONG stavolta si riterranno soddisfatte, ma
l’attenzione rimane e rimarrà altissima.
E
pensare che, nel novembre 2013 e proprio in concomitanza con le
rivelazioni di Snowden, il Comitato per i diritti umani dell'ONU approvava all’unanimità una risoluzione intitolata “Il diritto alla privacy nell’era digitale”, dichiarandosi preoccupato per le pratiche di sorveglianza di massa e auspicandone la cessazione immediata.
Gli scandali successivi come Cambridge Analytica,
i timori e i dubbi sulle nuove tecnologie come il riconoscimento
facciale e gli assistenti vocali, nonché le nuove leggi volte a
legittimare forme di ingerenza come la recentissima legge c.d.“Sécurité globale” in Francia, sembrano rendere vane le speranze del Comitato.
CEDU, SENTENZA 25 MAGGIO 2021 >> SCARICA IL TESTO PDF
