Versione scritta dell’intervento tenuto a e-privacy 2013, Winter Edition
Come noto, le rivelazioni di Edward Snowden hanno portato alla luce una serie di operazioni di intelligence poste in essere dall’agenzia americana NSA (National Security Agency) e dall’inglese GCHQ (Government Communications Headquarters), spesso congiuntamente in quanto cd. partner di pari (primo) livello. Tra queste operazioni, PRISM e TEMPORA sono quelle più note, sia per diffusione mediatica sia per la particolare pervasività delle azioni di sorveglianza elettronica massiva, condotte mediante tecniche di upstream collection, ovverosia intercettazioni telefoniche e telematiche dei flussi di comunicazione effettuate direttamente sulle dorsali a fibra ottica, ovvero mediante acquisizione di dati dai principali ISP (solo PRISM).
Entrambe le agenzie hanno difeso la legittimità del loro comportamento, sostenendo di aver agito conformemente a quanto stabiliscono rispettivamente il FISA ((Foreign Intelligence Surveillance Act) per gli U.S.A. ed il RIPA 2000 (Regulation of Investigatory Powers Act) per quanto concerne il Regno Unito.
Ma cosa prevedono di preciso tali disposizioni di legge ed in che misura corrisponde al vero quanto affermato dai Governi americano ed inglese circa la correttezza del loro operato?
Il FISA, emanato (su iniziativa del senatore Ted Kennedy) nel 1978, a seguito dello scandalo Watergate, al fine di scongiurare per il futuro abusi dei servizi interni come quelli commessi dal Presidente Nixon, è stato emendato a seguito dei fatti dell’11 settembre 2001.
La nuova sezione 702 del FISA, che si inserisce, modificandolo, nell’U.S. Code, prevede due diversi tipi di sorveglianza elettronica: una, tipicamente spionistica, diretta nei confronti di un foreign power o di un foreign power agent (50 U.S.C. § 1802) ed un’altra, più generica, rivolta nei confronti di soggetti comuni (50 U.S.C. §1881), entrambe finalizzate ad acquisire foreign intelligence informations.
Il paragrafo 1801 include nella definizione di “foreign power” non solo i governi e le istituzioni di uno Stato straniero, ma anche organizzazioni politiche situate all’estero purché non composte da personale americano, mentre la locuzione “foreign intelligence information” comprende qualsiasi informazione di interesse per la sicurezza nazionale in relazione a potenziali attacchi da parte di Paesi stranieri, sabotaggi, terrorismo internazionale ed antispionaggio.
In entrambi i casi, la sorveglianza può essere attuata solo nei confronti di persone straniere (non cittadini, né residenti permanenti americani), situate all’estero (al di fuori del territorio statunitense) e sempre che non vi sia alcuna concreta probabilità che la sorveglianza possa portare ad acquisire comunicazioni di cui è parte un cittadino americano.
Da parte sua, il RIPA distingue tra internal ed external communication: nel primo caso, ovverosia quando si tratta di comunicazioni inviate e ricevute all’interno del territorio delle British Islands, la sezione 8 del RIPA prescrive che le intercettazioni debbano essere autorizzate con un warrant, il quale deve indicare la specifica persona da monitorare, gli specifici presupposti in relazione ai quali il warrant viene richiesto e deve contenere indirizzi, numeri, strumenti e ogni altro elemento utilizzato per identificare le comunicazioni che devono essere intercettate, mentre nel secondo caso il warrant è assolutamente generico (viene espressamente stabilito che non si applicano le disposizioni precedenti) e dunque non sarà necessario identificare una persona specifica, né indicare un particolare numero/indirizzo da monitorare.
Le due legislazioni, nella loro essenza, sono molto simili: quella americana tutela pienamente i cittadini americani e non gli stranieri mentre quella inglese, in modo del tutto analogo, offre più ampie e solide garanzie alle comunicazioni interne, a discapito di quelle esterne.
Si tratta, in tutta evidenza, di disposizioni legislative basate sul tradizionale principio di territorialità, principio cardine del diritto di matrice post-illuministica, che ruota attorno ai concetti di Stato, sovranità nazionale e supremazia del diritto interno.
Si tratta, a ben vedere, di disposizioni che tutelano un diritto fondamentale, quale la libertà di comunicazione, in modo altrettanto tradizionale mediante la prospettazione di una netta linea di demarcazione tra gli uomini a seconda della loro cittadinanza ed il preteso rispetto dei confini fisici di una nazione.
Dalle rivelazioni di Snowden è emerso come, verosimilmente, il GCHQ abbia avuto accesso ai dati raccolti dagli americani mediante l’operazione PRISM sin dal giugno 2010.
Attraverso la condivisione e lo scambio dei dati raccolti dall’NSA, il Governo di Sua Maestà ha quindi avuto potenzialmente accesso anche alle comunicazioni interne dei cittadini inglesi, in tal modo derogando ai divieti previsti dal RIPA.
Se, dunque, da un lato si può ragionevolmente concordare sul fatto che la raccolta diretta di dati da parte del GCHQ possa ritenersi legittima in quanto eseguita nel rispetto delle regole previste dal RIPA, cosa può dirsi, invece, dei dati di cui l’agenzia britannica è entrata in possesso a seguito dello scambio di informazioni effettuato con l’NSA?
Ma, soprattutto, quale tutela può vantare un cittadino inglese in un caso come questo?
L’associazione per i diritti civili Privacy International ha provato a dare una risposta a questa richiesta di tutela, citando il Governo inglese – nella fattispecie il Segretario di Stato per gli Esteri (responsabile del Secret Intelligence Service e del GCHQ) ed il Segretario di Stato dell’Interno (responsabile del Security Service, MI5) – avanti l’ Investigatory Powers Tribunal per violazione dell’art.8 della Convenzione Europea dei Diritti dell’Uomo (CEDU).
L’articolo 8, si rammenta, prevede il diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza e stabilisce che non possa esservi nessuna ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui.
Nel ricorso proposto lo scorso luglio, Privacy International, partendo dal principio espresso dalla Corte Europea per i Diritti dell’Uomo nella causa Weber v. Germany (2006), secondo cui non occorre, per sostenere la violazione dell’art.8 CEDU, la prova che comunicazioni o informazioni private siano state effettivamente monitorate, raccolte o trasmesse, essendo sufficiente che potenzialmente i dati possano essere stati oggetto di misure di sorveglianza, ha sostenuto che, nel caso PRISM, non vi è nessuna norma di diritto interno inglese che corrisponda al concetto di legge autorizzativa di cui all’art.8 CEDU, in quanto il RIPA è stato clamorosamente bypassato.
L’associazione sottolinea come la giurisprudenza della Corte EDU in materia di legittimità dell’ingerenza nella vita privata prevista dalla legge sia copiosa e costante nel ritenere che la legge nazionale di copertura non solo debba esistere ma debba anche rispondere ai requisiti di accessibilità e prevedibilità, laddove per legge accessibile si intende una legge che indichi con chiarezza il campo di applicazione e le modalità di esercizio del potere discrezionale attribuito alle pubbliche autorità, mentre per legge prevedibile si intende una legge sufficientemente chiara nell’indicare le circostanze e le condizioni in cui le autorità pubbliche hanno il potere di ingerirsi nella vita privata dei cittadini.
Con particolare riferimento alla sorveglianza segreta, nella già citata causa Weber v. Germany, la Corte ha stabilito che, per evitare abusi di potere da parte dei servizi nelle operazioni di intelligence, un ambito ove il controllo diretto dei cittadini è fortemente limitato, se non addirittura negato, in ragione della necessità di mantenere la segretezza della sorveglianza, la legge di copertura dovrebbe contenere: un elenco degli illeciti che possono giustificare le intercettazioni, un elenco dei soggetti intercettabili, un limite nella durata delle intercettazioni, le procedure per analizzare e conservare i dati ottenuti, le precauzioni da adottare nei confronti di soggetti terzi, le ipotesi di cancellazione e distruzione delle comunicazioni.
La Corte EDU si è già occupata, in passato, della compatibilità della legislazione inglese con l’art.8 CEDU, affermando, nella causa Liberty v. UK (2008), che l’Interception of Communications Act del 1985 (poi sostituito dal RIPA) non era conforme alla Covenzione, mentre nella causa Kennedy v. UK (2010) ha giudicato il RIPA, con specifico rifermento alle comunicazioni interne, conforme ai parametri di cui all’art.8.
Come sopra detto, nel caso di specie, Privacy International, in relazione all’operazione PRISM, lamenta la totale assenza di una legge autorizzativa ai sensi dell’art.8 CEDU atteso che i dati sono stati raccolti dall’NSA in base alla normativa americana (FISA) e sono stati successivamente condivisi con il GCHQ (quindi il RIPA non è stato applicato); in relazione all’operazione TEMPORA, invece, l’associazione ritiene che la sorveglianza non possa comunque considerarsi legittima, in quanto vi è un’ingiustificata (ed ingiustificabile) sproporzione tra i mezzi usati ed il fine perseguito, sproporzione che non consente di giustificare giuridicamente l’operazione sulla scorta del dettato della sezione 8 del RIPA (che prevede warrant generici per le intercettazioni di comunicazioni esterne).
Il ricorso proposto da Privacy International, sebbene meritorio, rappresenta l’unico, timido tentativo di ricondurre lo scandalo Datagate nell’alveo del diritto.
La soluzione individuata, ovverosia l’appello all’art.8 CEDU, tuttavia, evidenzia tutti i limiti del diritto vivente di fronte alle operazioni di sorveglianza di massa, denunciando l’impossibilità di intervenire in modo efficace, sotto il profilo giuridico, a tutela dei cittadini.
Ciò che manca, a modesto parere di chi scrive, a parte regole condivise di diritto sovranazionale, è il riconoscimento forte del diritto alla protezione dei dati personali, oggi unico diritto fondamentale in grado di veicolare le altre libertà e con esse lo Stato di diritto.
In tal senso, per quanto più politiche che giuridiche, sono assolutamente condivisibili le parole pronunciate dalla Presidente brasiliana, Dilma Rousseff, nel suo discorso di apertura all’Assemblea delle Nazioni Unite lo scorso settembre: “In the absence of the right to privacy, there can be no true freedom of expression and opinion, and therefore no effective democracy”.
