Nel decennale dell’attacco alle torri gemelle abbiamo assistito a molte riflessioni sugli effetti che il gesto kamikaze ha generato in tutto il mondo a livello politico, sociale e culturale.
Mi inserisco nell’analisi delle conseguenze esaminando quel particolare profilo giuridico costituito dall’emanazione, a poco più di un mese dall’11 settembre 2001, da parte del Governo statunitense del USA PATRIOT Act, acronimo dell’aulico titolo “Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001”.
Come noto, il Patriot Act è una legge federale che ha introdotto una serie di modifiche legislative su preesistenti atti normativi (Wiretap Statute, ECPA, FISA, etc.) finalizzate al rafforzamento dei poteri di indagine e di sorveglianza delle law enforcement e delle agenzie di sicurezza statunitensi.
Altrettanto noto, il fatto che la legge, in virtù della situazione emergenziale dichiarata dopo i fatti dell’11 settembre, ha completamente usurpato il tradizionale sistema di bilanciamento tra sicurezza pubblica e libertà fondamentali.
L’atto si compone di dieci titoli, di cui il secondo incrementa i poteri degli organi investigativi in materia di acquisizione di dati nel settore della comunicazione elettronica, il terzo prevede misure finalizzate alla lotta del fenomeno del riciclaggio e del segreto bancario, il quarto disciplina la politica dei flussi migratori, mentre i successivi prevedono forme di sostegno per le vittime del terrorismo e creano nuove fattispecie di reato in materia di terrorismo o ad esso collegato con correlata possibilità (prevista dalla coeva Authorizazion for the Use Military Force) di detenere a tempo inderminato persone meramente sospettate di terrorismo, senza formulare un’accusa formale e senza garantire loro il diritto di difesa ed un equo processo.
La legge, nella parte relativa alle comunicazioni elettroniche che più ci interessa, permette a FBI, CIA e altre autorità di pubblica sicurezza di ordinare ai provider di effettuare intercettazioni e monitorare il traffico internet, senza autorizzazione della magistratura.
Il Patriot Act introduce inoltre, le National Security Letter (NSL), con l’invio delle quali l’FBI può chiedere agli ISP (access, hosting e content) nonché biblioteche, istituti finanziari e di credito tutti i dati personali degli utenti di cui siano in possesso, senza un ordine dell’Autorità giudiziaria. Mediante questo strumento possono essere raccolti dati quali: posta elettronica, siti web visitati, dati anagrafici relativi agli account registrati, transazioni on-line, documenti medici, informazioni scolastiche e finanziarie. La sezione del Patriot Act relativa alle NSL vieta a chiunque ne sia il destinatario di rivelare a terzi il fatto che l’FBI ha cercato o ha avuto accesso ai dati e agli archivi di cui dispone.
Anche prima dell’entrata in vigore del Patriot Act, l’FBI poteva servirsi delle National Security Letters per ottenere informazioni senza l’autorizzazione di un giudice, ma solo nei confronti di soggetti sospettati di terrorismo o di spionaggio, mentre oggi possono essere utilizzate nei confronti di chiunque.
La legge è stata aspramente criticaus. dalle associazioni per la difesa dei diritti civili (merita una menzione speciale l’ACLU – American Civil Liberty Union – che ha anche promosso alcune questioni di incostituzionalità) ma, al comtempo, strenuamente difesa dalle forze dell’ordine, che la ritengono un efficace strumento per la lotta al terrorismo: “Il Patriot Act difende la nostra libertà ed è importante per i nostri concittadini capire che le garanzie costituzionali sono al loro posto quando si parla del Patriot Act, perché diamo grande valore alla nostra Costituzione”, disse George W. Bush dopo la firma della legge.
Invero, il Bill of Right non pare sia stato affatto rispettato considerato che il Patriot Act ha comportato la sospensione del writ di habeas corpus per gli stranieri detenuti a Guantanamo (ripristinato dalla Corte Suprema nel 2007), principio cardine in materia di libertà personale sulla scorta di un’interpretazione forzosa del principio di territorialità della legge penale secondo cui, essendo la fortezza di Guantanamo situata in territorio cubano, le persone ivi detenute non sarebbero sottoposte alla giurisdizione delle Corti federali, nonché notevoli limitazioni delle libertà di espressione e di comunicazione. In tal senso, parlare di violazione della privacy è estremamente riduttivo, specie laddove privacy non è sinonimo di protezione dei dati personali e, soprattutto, ove non vi sia adeguata copertura costituzionale del diritto.
Alcune delle disposizioni contenute nel Patriot Act, in linea con la ratio di una legislazione d’emergenza, erano delle sunset provisions, ovverosia delle norme a scadenza temporale.
La prima proroga è stata approvata dal Congresso il 21 luglio 2005 con 257 voti favorevoli contro 171, ma tutte le sunset provision, tranne tre, sono state rese permanenti.
Il 26 maggio 2011 il Congresso ha approvato la seconda proroga delle tre disposizioni in scadenza (sezioni 206, 215 e 6001), senza alcuna disamina e discusisone dei numerosi emendamenti che erano stati depositati. Queste tre disposizioni scadranno il 1° giugno 2015.
Tuttavia, mentre nessuno stupore ha accompagnato la prima proroga del 2005, la seconda ha suscitato molto clamore perché Barack Obama, durante le sua compagna elettorale, aveva caldamente osteggiato la legge; nello stesso discorso di insediamento, il neo Presidente aveva apertamente sostenuto che la repressione delle libertà non faceva onore ad una grande nazione come gli Stati Uniti.
Invero, non si unisce l’America, dividendo gli americani e non la si rafforza indebolendo le libertà fondamentali dei suoi cittadini.
Quando i cittadini vengono depauperati di spicchi di libertà, infatti, qualsiasi sia la causa che ne giustifica la perdita, anche se apparentemente la più giusta, condivisibile ed impellente, la società intera ne esce sconfitta e lo Stato magari avrà anche vinto grazie a tali privazioni la guerra contro il nemico di turno, ma avrà perduto la battaglia essenziale dell’intangibilità dello Stato di diritto.
Tuttavia, non sono stati questi alti argomenti giuridico-ideologici a smuovere le acque negli ultimi mesi, quanto i malumori delle potenze economiche americane. Di recente, infatti, le grandi multinazionali informatiche e gli ISP hanno manifestato insofferenza nei confronti del sistema legislativo americano che, imponendo invasive norme di sorveglianza e controllo, potrebbe minare alla radice lo sviluppo delle ITC company nei prossimi anni. In particolare, è il cloud computing, su cui sono stati fatti grandi investimenti, ad essere a rischio.
In tale cornice, poco idealistica ma probabilmente molto più efficace nei risultati, va a mio parere collocato l’intervento, lo scorso mese di aprile avanti la Commissione Giustizia del Senato, del general counsel di Microsoft, Brad Smith, secondo cui la tutela della privacy garantita dall’Electronic Communications Privacy Act (su cui, come abbiamo detto, è intervenuto massivamente il Patriot Act) non sarebbe più adeguata ai nuovi scenari prospettati dall’era cloud in quanto gli utenti non si sentirebbero sufficientemente tutelati.
Nello stesso contesto si pone la notizia, divulgata lo scorso giugno sempre dalla Microsoft (seguita a ruota da analogo comunicato stampa di Google), secondo cui il Patriot Act impone alle società statunitensi l’esibizione alle law enforcement dei dati personali dei loro utenti anche se archiviati in banche dati situate all’estero, in particolare in Europa, con vincolo di segretezza nei confronti degli utenti in ordine ai dati consegnati.
Il riferimento alle National Security Letter è del tutto evidente. Così come è evidente la volontà di far emergere la questione priprio oggi, nonostante il fenomeno sia senza dubbio noto già da dieci anni.
L’argomento ha ovviamente scatenato una serie di polemiche in Europa, ove si è urlato alla violazione delle direttive a protezione dei dati personali (95/46/CE e 2002/58/CE), le quali ancorano la tutela dei dati personali in base (art.4, dir. 95/46/CE) al principio di stabilimento del titolare del trattamento in uno Stato membro, ovvero, allorquando il titolare non sia stabilito, usi strumenti di trattamento situati nel territorio di uno Stato membro: la consegna da parte delle società americane di dati personali detenuti in banche dati situate in territorio europeo costituirebbe dunque una aperta violazione dei predetti principi di tutela.
Il quadro giuridico di riferimento non è però così semplice da delineare.
Qualcuno ha affermato che le direttive privacy non si applicherebbero alla fattispecie perché non disciplinano il trattamento di dati aventi per oggetto la sicurezza pubblica, la difesa e la sicurezza dello Stato e le attività dello Stato in materia penale (art.3, dir. 95/46/CE), se non che è fuor di dubbio che il riferimento normativo è pacificamente da intendersi alla sicurezza di uno Stato membro UE cui la direttiva è rivolta e non certo a quella degli USA!
Qualcun altro ha sostenuto che troverebbe piuttosto applicazione la Decisione quadro 2008/977/GAI sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale sembra applicabile, ma la tesi non è condivisibile vuoi perché la decisione riguarda il settore penale e non l’intelligence, vuoi perché regolamenta la comunicazione di dati tra le autorità pubbliche competenti (all’interno dell’Unione, ma anche tra Stato membro e Stati terzi) europea e non la comunicazione da privato ad autorità extracomunitaria.
Non a caso, nei casi PNR (Passenger Number Records) e Swift la trasmissione diretta di dati personali da società private (compagnie aeree e banche) al Governo americano è stata oggetto di accordi specifici a livello politico (nel caso PNR anche molto dibattuti in quanto il Parlamento europeo non concordava sulla linea di condotta adottata dal Consiglio d’Europa) tra Unione europea e Stati Uniti.
La situazione pare dunque sollevare un caso di conflitto di norme.
Da un lato, infatti, i trattamenti di dati personali effettuati da società americane in territorio europeo sono sicuramente assoggettati alle direttive privacy in quanto rientranti in ambito privatistico-economico (le direttive, come noto, sono atti normativi tipici del secondo pilastro).
Tuttavia, la comunicazione di dati personali degli utenti di soggetti privati ad una autorità pubblica di uno Stato terzo, non è certo legittima atteso che l’obbligo legale che scrimina il trattamento, previsto dall’art.7, comma1, lett. c), dir. 95/46/CE, è riferibile solo alle legislazioni interne nazionali dei vari Stati membri dell’Unione europea.
Dall’altro, le società americane che operano in Europa, se ed in quanto titolari o co-titolari del trattamento, spesso gestiscono dati personali in parte nel vecchio continente ed in parte negli Stati Uniti, il che legittimamente le vincola al rispetto dell’ordinamento statunitense.
Due, a questo punto, le considerazioni prospettabili.
La prima è che nella misura in cui le multinazionali americane sono giuridicamente configurabili (talvolta anche per espresso riconoscimento delle DPA europee) come titolari del trattamento, la collocazione fisica dei dati personali da loro trattati non rileva, potendone esse disporre a prescindere dall’allocazione geografica, con l’unico limite di ottemperare alle leggi locali per quanto attiene la singola fase di trattamento ivi effettuata.
La seconda è che la globalizzazione della società moderna impone ormai di affrontare qualsiasi problematica con mentalità ultraterritoriale.
L’Europa può tutelare i dati dei suoi cittadini fin tanto che il loro trattamento avviene nel suo territorio, ma non può pretendere di estendere la propria giurisdizione oltre oceano.
Parimenti, gli Stati Uniti non possono continuare a sottrarsi alle leggi europee nascondendosi dietro il dito dell’I want you dello zio Sam.
Il cloud computing contribuirà ad abbattere le ultime frontiere, ma non per questo sarà più libero o meno vulnerabile se non verranno risolte a monte le questioni giuridiche sulle leggi applicabili.
In particolare, non potranno non essere attentamente analizzati gli aspetti legati alla conservazione (retention) dei dati e dei meta-dati (file di log) degli utenti dei servizi cloud sia perché dai tempi e dalla sicurezza della retention dipende la fiducia degli utenti nel fornitore del servizio, sia perché dall’imposizione di una retention ex lege a fini di prevenzione e repressione dei crimini o per motivi di sicurezza pubblica dipende il successo stesso del cloud (se oggi si sequestrano i PC, domani dove verranno cercati i dati se non nelle piattaforme cloud?)
Sino ad oggi l’Europa si è limitata a dibattere sull’opportunità della direttiva Frattini in tema di data retention (che, essendo stata emanata a ridosso degli attentati terroristici di Londra e Madrid, rappresenta una sorta di alter ego europeo del Patriot Act), giudicata, prima ancora della sua emanazione, lesiva dei diritti fondamentali dal WP 29, ma ritenuta, solo pochi mesi or sono, uno strumento indispensabile per combattere il crimine dalla Commissione europea.
In attesa dei preannunciati interventi politici europei volti ad affrontare e risolvere questa recente “patata bollente” dell’interferenza del Patriot Act nella vita privata degli europei, cominciamo a riflettere seriamente sugli effetti, diretti ed indiretti, che i periodi di retention dei dati da parte delle società americane (ma non solo) hanno sulla nostra privacy.
