loaderloading...
Dati sensibili

Il punto della situazione


Come - ma forse addirittura più di - ogni altro diritto (soprattutto “di libertà”), la privacy è stata fortemente condizionata dalla pandemia e dalle misure emergenziali adottate per contrastarne la diffusione. La natura trasversale, a pressoché ogni ambito della vita, di questo diritto ne ha infatti determinato la limitazione o, comunque, il coinvolgimento da parte di quasi tutte le disposizioni volte a favorire lo svolgimento on line di ogni tipo di attività, per contenere i contagi: dallo smart working alla didattica a distanza, dalla dematerializzazione delle ricette mediche ai processi da remoto.

Nella misura in cui l’esistenza di ciascuno, nei suoi aspetti più privati (salute e cura, ad esempio) e in quelli lato sensu pubblici e relazionali (scuola, tutela giurisdizionale dei diritti, lavoro) ha subito una improvvisa traslazione nella dimensione virtuale, la privacy ha rappresentato il primo diritto a essere intaccato e condizionato in misura profonda da questa nuova modalità di gestione della vita.

Se dell’incidenza sulla privacy della virtualizzazione della vita non sembra vi sia stata una consapevolezza sufficiente, almeno a livello politico, diversi sono stati la riflessione e il dibattito pubblico sul contact tracing digitale e sulle sue implicazioni circa la libertà individuale. Come si dirà meglio nel prosieguo rispetto a questa misura, il bilanciamento realizzato - già a livello normativo - tra privacy ed esigenze di sanità pubblica, risulta sicuramente soddisfacente e, anzi, semmai persino più incline verso la prima rispetto alle scelte compiute da altri Paesi.

Resta, invece, l’esigenza di una più compiuta riflessione sull’impatto che la virtualizzazione della vita, resasi necessaria in tempi così brevi appunto per esigenze di contenimento dei contagi, ha avuto ed ha sulla riservatezza e la privacy individuale. Si tratta non tanto e non solo dell’invasività che l’occhio elettronico della webcam ha nella nostra vita (e persino nella nostra casa), estendendosi a dismisura le occasioni di video-connessioni per ragioni didattiche, lavorative e persino, appunto, processuali. Ci riferiamo, invece, a più sottili e forse anche poco percepite limitazioni della nostra libertà dovute al diverso atteggiarsi delle relazioni virtuali rispetto a quelle reali, che rende insufficiente la mera estensione alle prime della regolazione propria delle seconde. Si pensi soltanto al diritto alla disconnessione, il cui riconoscimento – in una forma più puntuale di quanto già sancito nel nostro ordinamento – è necessario per impedire quella “time porosity”, quello sconfinamento, altrimenti continuo, tra tempo di lavoro e tempo di vita, che rischia di essere la regola dello smart working, annullando così alcune delle conquiste fondative del diritto del lavoro, ritenute ormai talmente consolidate e inviolabili da apparire quasi scontate.

E se quest’anno è stato talmente dominato dalla pandemia da rendere le misure emergenziali protagoniste assolute di ogni riflessione sui diritti (e, appunto, sulla privacy in particolare), non vanno però trascurate altre disposizioni che hanno, comunque e in varia misura inciso sul diritto alla privacy. In questo contributo accenneremo, pur senza pretesa di esaustività, alla riforma Bonafede sulle intercettazioni e alla giurisprudenza della Corte di giustizia sui rapporti tra Europa e Stati Uniti nella tutela della privacy, nonché, infine, sul rapporto tra libertà e sicurezza.


Sanità pubblica e riservatezza individuale 


La pandemia ha rappresentato uno “stress test” importante per lo Stato di diritto, il momento elettivo per quelle tragic choices (tra diritti, tra principi, tra obiettivi) dalla cui definizione si riconosce la democrazia, che lotta sempre – scrisse Ahron Barak(1) – con una mano dietro la schiena. Per il nostro ordinamento – che rifiuta l’idea secondo cui necessitas non habet, sed ipsa sibi facit legem - la prova è stata difficile forse quanto quella dell’eversione interna. Nonostante il carattere sanitario dell’emergenza (a fronte di quello politico e di ordine pubblico degli anni di piombo, più strettamente connesso a profili ordinamentali) le sue implicazioni di ordine costituzionale e, in senso lato, giuridico e politico sono sin da subito apparse rilevantissime.

Sono riemerse, quasi carsicamente ma con accenti nuovi, le vecchie tensioni tra i vari livelli di governo (e, di riflesso, all’interno del sistema delle fonti), tra centro e territorio. Si è posto con urgenza il tema del contributo della scienza alla decisione pubblica e, quindi, dell’autonomia della politica, si è declinato in forme nuove il rapporto tra regola ed eccezione, tra libertà e limite, tra personalismo e istanze solidaristiche.

La drammaticità del contesto ha imposto soluzioni a volte disorganiche, contingenti, avulse da una strategia unitaria, almeno in prima istanza. Avvertitasi l’esigenza di un maggiore coordinamento, il raccordo normativo tra le varie misure adottate è stato affidato alla sinergia tra decretazione d’urgenza e poteri di ordinanza (di protezione civile e non). In questo schema (già ricorrente negli ultimi anni, in contesti analoghi) il decreto-legge ha, generalmente, confermato (elevandone la fonte) le misure previste con ordinanza. Benché dotata di ampi poteri derogatori, infatti, anche l’ordinanza di protezione civile non può, come noto, normare materie coperte da riserva di legge assoluta e, per quelle a riserva relativa, non può contrastare con la disciplina di settore (oltre che con i principi generali dell’ordinamento interno e unionale).

L’imposizione di significative limitazioni ad alcuni diritti fondamentali (libertà di circolazione, religiosa, di iniziativa economica, diritto allo studio, al lavoro e per certi versi persino libertà personale) con mere ordinanze hanno così visto confermata la loro efficacia attraverso lo strumento elettivo assegnato in Costituzione all’esecutivo, per il governo dell’emergenza: il decreto-legge. Sarebbe stato certamente più opportuno ricorrere sin da subito, almeno, alla decretazione d’urgenza per l’introduzione di misure così fortemente limitative di diritti fondamentali (non solo di libertà), ma nel merito le misure adottate sono apparse per lo più coerenti con l’esigenza di contenimento del contagio.

L’intensità stessa delle limitazioni assunte sembra, nel complesso, aver ragionevolmente modulato la garanzia dei diritti individuali incisi e la componente solidaristica del diritto alla salute, quale interesse generale da tutelare in termini di sanità pubblica. Queste misure imposte a tutela soprattutto delle fasce più vulnerabili della popolazione - maggiormente esposte al rischio di una malattia dal decorso infausto - possono, insomma, ritenersi il prezzo da pagare per consentire ad Enea di portare sulle sue spalle Anchise, come ci ha ricordato Laura Marchetti sulle pagine del Manifesto(2).

Le stesse norme speciali in materia di protezione dati(3) si sono dapprima limitate all’ambito di comunicazione (certamente ampio) dei dati sanitari, per ovvie esigenze di contenimento epidemiologico, e all’informativa semplificata, senza tuttavia legittimare raccolte di dati particolarmente “innovative”.

La legittimità di tali deroghe si è fondata essenzialmente - come si evince anche dal richiamo contenuto nelle stesse norme - sulle limitazioni dei diritti degli interessati rese possibili dall’art. 23 Gdpr, per esigenze, tra l’altro, di sanità pubblica. Esigenze che, (al pari del “soccorso di necessità” ) rappresentano peraltro autonomi presupposti di liceità del trattamento di dati, tanto comuni quanto particolari.

Ben diverso impatto ha avuto la previsione del contact tracing (art. 6 d.l. 28/20), preceduta e seguita da un dibattito – non solo politico – di ampiezza pari forse soltanto a quello che ha riguardato il processo (in particolare penale) da remoto.

In un contesto di generale marginalizzazione delle Camere (coinvolte prevalentemente in sede di conversione o d’indirizzo e controllo) e della stessa normazione primaria in favore di fonti più duttili anche sotto il profilo procedimentale, sul terreno del contact tracing è stata pressoché unanime – come ha osservato il Garante per la protezione dei dati personali Antonello Soro - la rivendicazione del vaglio parlamentare (almeno, appunto, in sede di conversione) e della necessaria previsione legislativa. L’invocazione, da più parti e da forze politiche di orientamento diverso, di una definizione normativa che circoscriva le possibilità di limitazione della privacy individuale nella misura strettamente indispensabile al contenimento del contagio, selezionando le soluzioni tecnologiche meno invasive, rappresenta indubbiamente un dato importante. Esprime una presa di coscienza profonda delle implicazioni che, sulla tenuta della democrazia, hanno le misure incidenti sulla protezione dati, toccando un nervo scoperto del rapporto tra libertà e solidarietà, diritto e tecnica, garanzie e potere.


Il contact tracing digitale


Il dibattito italiano sul contact tracing si è potuto avvalere di alcune indicazioni importanti rese sul punto sia in ambito interno che sovranazionale(4). Sotto il primo profilo, infatti, il Presidente del Garante, sin dall’inizio del mese di marzo, ha chiarito come le limitazioni del diritto alla protezione dati, benché preordinate a esigenze di sanità pubblica, possano ammettersi solo in quanto conformi ai principi di necessità e proporzionalità, con carattere di temporaneità commisurata al protrarsi dell’emergenza, nel rispetto del contenuto essenziale del diritto che, secondo l’art. 52 della Carta di Nizza, deve restare intangibile. In ordine allo specifico profilo del contact tracing, poi, in sede di audizione dinanzi alla IX Commissione della Camera egli ha fornito alcune indicazioni essenziali che sono risultate poi determinanti per la relativa disciplina proposta dal Governo.

In audizione si è infatti sottolineato come il fine sotteso alle limitazioni della privacy incida in misura rilevante sul complessivo bilanciamento tra gli interessi in gioco, orientando diversamente il “pendolo” del giudizio di proporzionalità. Si è rilevato, in questo senso, come l’utilizzo dei dati dei soggetti contagiati per ricostruire la catena epidemiologica abbia una rilevanza assai diversa da quella propria dell’utilizzo degli stessi dati a scopi di controllo dell’osservanza degli obblighi di permanenza domiciliare. Il fine non già repressivo ma solidaristico, individuabile cioè nell’esigenza di sottoporre ad accertamenti quanti siano entrati potenzialmente in contatto con l’interessato o comunque di adottare le misure utili a prevenire il contagio, appare infatti non solo maggiormente apprezzabile in termini di utilità sociale ma, soprattutto, difficilmente perseguibile altrimenti. Analogo giudizio di indispensabilità e non sostituibilità non potrebbe, invece, estendersi all’utilizzo dei dati di (prossimità o) mobilità a fini repressivi, dovendo ritenersi a tal fine sufficiente la sanzione (nei casi più gravi anche penali) prevista in caso di violazione degli obblighi di distanziamento sociale. L’utilizzo del telefono come fosse una sorta di braccialetto elettronico atipico da cui trarre indici della condotta individuale presuppone infatti – ha sottolineato il Presidente - la sostituzione dei controlli “umani” con l’occhio elettronico, ritenendoli per ciò solo inefficaci e dando per acquisito che chi decida di violare gli obblighi di permanenza domiciliare porti con sé il telefono, il che è evidentemente contro-intuitivo.

Si è sottolineata poi l’esigenza, una volta delineato il fine, di selezionare tipologie di dati e modalità di trattamento effettivamente proporzionali, idonee a minimizzarne l’incidenza sui singoli, preferendo appunto ai dati di geolocalizzazione i dati di prossimità dei dispositivi, più selettivi e come tali maggiormente idonei a ricostruire la catena dei contatti, sebbene con un’ingerenza minore nella privacy individuale. Si è chiarito, insomma, come debbano potersi davvero tracciare solo i contatti, non le persone.

Importante anche il rilievo inerente la necessaria complementarietà del contact tracing rispetto ad altre strategie di prevenzione epidemiologica (in particolare, gli accertamenti sanitari) senza le quali l’individuazione della catena dei contatti non avrebbe reale utilità, superando i limiti del mero soluzionismo (e riduzionismo) tecnologico.

Si è, infine, indicato nella volontaria adesione al sistema di contact tracing (insuscettibile di condizionamento neppure indiretto) il presupposto (conforme al principio di sussidiarietà orizzontale) di un trattamento fondato, però, in base a una previsione normativa adeguata, sul perseguimento di un fine di interesse pubblico, secondo quell’idea di libertà solidale che sarebbe stata poi auspicata dal Comitato Europeo per la protezione dei dati (Edpb)(5). Le garanzie di protezione dati assumerebbero, in tal senso, un ineludibile presupposto di fiducia in un sistema fondato sulla volontà individuale, ma per la cui efficacia è necessaria un’ampia adesione, scoprendo come quella rappresentazione, in termini conflittuali, di salute pubblica e privacy, celi invece più profonde sinergie.


C16. Grafico 1 • App europee di allerta e tracciamento dei contatti per il monitoraggio e la prevenzione del COVID-19


Questo schema sarebbe, del resto, l’unico a poter tenere conto da un lato della valenza intrinsecamente pubblicistica del trattamento(6) e, dall’altro, della difficile coercibilità di un obbligo – ove tale venisse configurato – di tracciamento fondato necessariamente sulla cooperazione del soggetto, che dovrebbe appunto spostarsi, pena sanzione, sempre portando con sé un telefono di ultima generazione e sufficientemente carico.

E al di là di questo estremo, resta comunque significativo, se non altro sotto il profilo antropologico, che i contatti tra persone (e, quindi, i potenziali contagi) siano desunti dalla prossimità dei telefoni, quasi fossero una protesi del corpo. Sovviene, in proposito, un passaggio della Sentenza della Corte Suprema americana, Riley vs California, del 2014: “I moderni cellulari sono oggi così presenti e pervasivi nella vita quotidiana che il proverbiale visitatore da Marte potrebbe ritenerli una fondamentale caratteristica dell’anatomia umana”.

Alle indicazioni fornite dal Garante sembra conformarsi la previsione dell’art. 6 d.l. 28/20, che nell’istituire una piattaforma unica nazionale presso il Ministero della salute per la gestione del sistema di allerta da potenziale contagio, delinea un trattamento segmentato per fasi e strutture, valorizzando: il carattere volontario dell’adesione al sistema di tracciamento (escludendo ogni tipo di pregiudizio in caso contrario); la minimizzazione dell’impatto del trattamento in ragione della tipologia di dati raccolti (dati di prossimità dei dispositivi e non di geolocalizzazione) e conservati per il tempo strettamente necessario, in forma pseudonima (con misure per evitare il rischio di reidentificazione) quando non addirittura anonima; l’esclusiva finalizzazione del sistema alla ricostruzione della catena epidemiologica (con possibilità di trattamento per fini diversi quali in particolare la ricerca scientifica, solo in forma aggregata o comunque anonima, nei termini previsti dal Regolamento); l’agevolazione dell’esercizio dei diritti degli interessati anche mediante modalità semplificate; la trasparenza del trattamento sia verso gli aderenti al sistema, sia verso la collettività tutta (prevedendo in particolare programma a titolarità pubblica e licenza aperta); la reciprocità di anonimato tra gli utenti; la temporaneità del sistema, attivo esclusivamente in costanza dell’emergenza, con cancellazione o anonimizzazione dei dati entro il 31 dicembre prossimo; l’interlocuzione con il Garante non solo in sede di consultazione preventiva ma anche di adozione di provvedimenti ex art. 2-quinquiesdecies d.lgs. 196/2003.

La valutazione d’impatto (che peraltro l’Edpb aveva suggerito di rendere pubblica e che dovrà essere costantemente aggiornata) rappresenterà, certamente, un importante momento di verifica della conformità del sistema nel suo concreto sviluppo ai criteri prima indicati.

Resta, però, la rilevanza di un percorso normativo che - all’esito di un proficuo dialogo tra Governo, Camere e Garante e tenendo conto delle indicazioni europee - ha contribuito almeno sin qui a definire(7), al punto forse più alto, un equilibrio democraticamente sostenibile tra salute (nella sua duplice componente di diritto fondamentale e interesse collettivo), tecnica e protezione dati.



La vita on line: dad, smart working, processo da remoto


Se il contact tracing digitale è stato oggetto come abbiamo visto di un dibattito politico e, più in generale, pubblico e istituzionale sufficientemente ampio, assai meno approfondite sono state le implicazioni sulla libertà individuale delle misure che, per comprensibili esigenze di contenimento dei contagi, hanno determinato la sostituzione di molte delle tradizionali attività “in presenza” con le corrispondenti telematiche. Questa virtualizzazione di relazioni, attività, procedimenti, ha tuttavia dimostrato di non essere neutra e, dunque, non integralmente affidabile alla mera estensione delle forme di regolazione proprie delle corrispondenti tradizionali.

Così, rispetto alla didattica a distanza(8), non può non considerarsi l’impatto che la presenza nelle case e nella vita privata dei singoli e delle famiglie hanno avuto ore e ore di connessione video tra docenti e classi intere di studenti di tutte le età, coinvolgendo spesso, involontariamente o meno, i familiari che capitassero nel raggio dell’occhio elettronico. Quello che è sempre stato un rapporto esclusivo tra docenti e studenti, è divenuto immediatamente e improvvisamente trasparente e soggetto al sindacato dei genitori o dei terzi. Se questo non è di per sé necessariamente un male, tuttavia è innegabile come comporti un mutamento importante nel modo stesso di apprendere e di insegnare.

L’errore compiuto dallo studente o dallo stesso docente, persino le intemperanze più o meno fisiologiche in contesti scolastici, sono divenuti in tal modo oggetto della valutazione, della critica, del giudizio di chiunque capiti nel raggio della webcam.

Lo smart working(9) ha messo in evidenza ulteriori criticità, delle quali analizziamo le due principali. In primo luogo, la telematizzazione delle attività e degli stessi rapporti lavorativi ha evidenziato il concreto rischio di un’indebita estensione delle forme di controllo sull’attività dei dipendenti, anche oltre quei limiti posti dallo Statuto dei lavoratori a tutela della riservatezza dei prestatori di lavoro.

Nella sua versione riformata dal Jobs Act, infatti, sono considerate forme di controllo ex se legittime (e, dunque, sottratte alla concertazione sindacale o all’autorizzazione amministrativa) le forme di controllo svolte su dispositivi utilizzati per lo svolgimento dell’attività lavorativa. In un contesto di virtualizzazione del lavoro, questa previsione rischia di legittimare forme di controllo invasive a meno di rendere della norma un’interpretazione rigorosa, tale da escludere l’ammissibilità di tali forme di controllo mediante strumenti o software aggiunti alle normali funzionalità dei dispositivi utilizzati nel contesto lavorativo.

In secondo luogo, la virtualizzazione di spazi, tempi, relazioni costitutivi del contesto lavorativo rischia di determinare la porosità del confine - in genere netto, per le attività svolte “in presenza” - tra tempo di lavoro e tempo di vita. Quel diritto al riposo – e, quindi, alla coltivazione di un proprio spazio esclusivo di vita privata – che ha sempre rappresentato il limite invalicabile delle pretese datoriali rischia, nel contesto del lavoro da remoto, di essere eroso dalle modalità (fin troppo) agili di prestazione del lavoro “smart”. Ecco, quindi, che appare sempre più urgente l’introduzione, con una disciplina più puntuale di quella già vigente, del diritto alla disconnessione, a salvaguardia di un tempo di vita che rischia di scomparire sotto il peso di uno smisurato e tirannico tempo di lavoro.

La remotizzazione dei procedimenti giurisdizionali (in primo luogo, ma non solo) penali ha, per altro verso, suscitato nuovi interrogativi circa il rapporto tra diritto di difesa e presenza fisica.

In linea generale, va infatti chiarito che il processo virtuale ha consentito di superare - almeno nella fase più difficile della pandemia, quando si è imposta la sospensione di ogni attività - l’alternativa tra il mero rinvio delle udienze (con un’indefinita frustrazione delle aspettative di tutela) e un contraddittorio meramente cartolare (possibile nel penale a condizioni molto limitate, più nel civile e nell’amministrativo, ove pure il Consiglio di Stato ne ha escluso l’ammissibilità se di fatto imposto senza reali alternative).

Ma questa virtualizzazione della juris dictio ha comportato, anche, l’affidamento a piattaforme private (spesso soggette a ordinamenti, quale quello americano, che attribuiscono alle autorità di contrasto ampi poteri acquisitivi: si pensi al Cloud Act) di una quantità rilevantissima di dati personali tra i più “sensibili”, come quelli desumibili da procedimenti in materia di famiglia, di status, inerenti i minori e, appunto, in materia penale. Alla ricorrente obiezione secondo cui la pubblicità del processo escluderebbe, di per sé, ogni possibile criticità del processo da remoto rispetto alla privacy individuale, va però opposto non soltanto che non tutte le attività remotizzate corrispondono a quelle pubbliche nella realtà (alcune fasi giurisdizionali delle indagini per il penale e, in generale, le camere di consiglio) ma che, soprattutto, qui in gioco non è tanto e non è solo la pubblicità come trasparenza, quanto piuttosto la “dispersione” dei dati personali con il loro affidamento a piattaforme private.

Tuttavia in un processo quale quello penale, ancorato ai principi della concentrazione e dell’oralità, la traslazione delle attività (peraltro non solo dibattimentali) in un’aula virtuale comporta criticità ulteriori, dovute alle specifiche caratteristiche della giustizia penale. Da un lato, come hanno chiarito la Corte di Strasburgo e la Corte costituzionale a proposito della disciplina del 1995, del dibattimento a distanza e della partecipazione da remoto dell’imputato, presenza fisica e diritto di difesa non rappresentano un binomio inscindibile, purché il soggetto abbia la reale possibilità di far valere i propri diritti. Dall’altro lato, però, l’estensione davvero rilevante (soprattutto nella prima fase dell’emergenza) delle attività procedimentali (non solo dibattimentali) soggette a remotizzazione ha rappresentato una, forse non troppo meditata, innovazione che avrebbe meritato una maggiore e più cauta riflessione, che infatti ha indotto il legislatore, con gli interventi successivi, a un ridimensionamento più ragionevole delle ipotesi di remotizzazione. Appariva, infatti, oggettivamente problematica la previsione della partecipazione da remoto (alla presenza della sola polizia giudiziaria) dell’arrestato o del fermato all’udienza per la convalida di queste misure precautelari, che impone invece la presenza del soggetto sottoposto alla misura “davanti al suo giudice”, anche per garantirgli quelle condizioni di sicurezza e autodeterminazione necessarie alla piena esplicazione del diritto di difesa.

L’Europa, l’America e la sovranità digitale 


Con un’altra sentenza storica sul caso Schrems, la Corte di giustizia dell’Unione europea, il 16 luglio 2020, ha tracciato una nuova direzione nei rapporti tra Europa e Stati Uniti, a partire dalle garanzie accordate oltreoceano ai dati personali trasferiti dall’Europa, nell’ambito di relazioni commerciali. Si tratta in un certo senso della seconda tappa del percorso iniziato nel 2015, con l’invalidazione da parte della Corte di giustizia della decisione della Commissione fondata sull’accordo “Safe Harbor”, che sanciva le garanzie da accordare ai dati trasferiti negli Usa dall’Europa. Tale accordo era stato infatti ritenuto inidoneo ad assicurare una tutela sufficiente ai dati personali ricevuti dall’Europa. La ritenuta inadeguatezza si fondava essenzialmente sui pervasivi poteri di accesso ai dati attribuiti alle autorità statunitensi, soprattutto per fini di sicurezza.

La pronuncia di invalidità ha generato non poche tensioni nei rapporti tra Europa e Stati Uniti, che hanno indotto la Commissione europea a negoziare con gli Usa un nuovo accordo (Privacy Shield), che rafforza(va), sia pur in parte, le garanzie da accordare ai dati trasferiti anche attraverso ricorso paragiurisdizionali attivabili, dinanzi all’Ombudsperson, in caso di violazione.

Eppure, con la decisione Schrems II di luglio, anche questo nuovo accordo è stato ritenuto inadeguato a garantire la protezione, “sostanzialmente equivalente” a quella europea, da accordare in caso di trasferimento. La Corte ha infatti ritenuto che le limitazioni della privacy, ammesse nell’ordinamento statunitense per consentire ampi e pervasivi controlli a fini di sicurezza nazionale, non possano ritenersi proporzionali e, dunque, accettabili. 

Né, del resto, l’ordinamento statunitense accorda una tutela giurisdizionale effettiva in caso di violazione della privacy, non potendo ritenersi a tal fine sufficiente il ricorso paragiurisdizionale all’Ombudsperson, carente di requisiti di indipendenza effettiva dall’esecutivo e di poteri decisori vincolanti nei confronti degli organi di intelligence statunitensi.

Ma oltre a questa rivendicazione, quasi identitaria, del dovere per chiunque e ovunque tratti i dati degli europei di accordare loro tutele equivalenti a quelle del Vecchio continente, la sentenze offre un altro spunto interessante.

Nel confermare la validità, almeno in astratto, dello strumento valido per il trasferimento dei dati all’estero delle clausole contrattuali standard modellate sul tipo redatto dalla Commissione europea, la Corte rimarca come persino questi dispositivi negoziali esigano un’integrazione con tutele pubblicistiche, garanzie effettive che non si risolvono nelle scelte convenzionali inter partes ma esigono un’investitura nell’ordinamento tutto.

La privacy, dunque – sembra suggerire la Corte - necessita di una tutela “oggettiva”, che non si esaurisce nella fase negoziale, ma necessita di tutele pubblicistiche effettive. Essa appare, insomma, una questione sempre meno “privata” e sempre più “politica”.


Privacy e sicurezza: le nuove prospettive della Corte di giustizia e le tendenze nazionali 


Se la sentenza Schrems II ha riscritto i rapporti tra Europa e Usa, contribuendo a delineare con ulteriore nettezza il profilo identitario dell’Europa come “comunità di diritto”, tre mesi dopo una sentenza della stessa Corte, meno nota ma per certi versi persino più importante, ha introdotto un principio rilevantissimo sul terreno del rapporto tra libertà e sicurezza.

Sviluppando un assunto già sotteso alla sentenza Schrems II, la Corte estende espressamente l’applicazione della disciplina privacy alla conservazione dei dati di traffico da parte dei gestori telefonici e di reti telematiche, ancorché essa sia finalizzata a esigenze di sicurezza nazionale, che come noto esulano dalla sfera delle attribuzioni dell’UE. Si tratta di un’affermazione importante: attrarre nell’alveo del diritto europeo e quindi della disciplina privacy una fattispecie – quale quella della conservazione dei dati per successivi utilizzi da parte dell’intelligence – che, almeno nella sua destinazione finalistica (sicurezza nazionale) le è sottratta, comporta una rilevante estensione dell’ambito di applicazione della regolazione europea, a fini evidentemente garantisti.

Le sentenze Schrems (I e II) e Privacy International (quella, appunto, in esame), determinano, con singolare convergenza, una parallela estensione (rispettivamente, sul piano spaziale e su quello oggettivo) dell’ambito di applicazione del diritto europeo della privacy. Le prime, infatti, estendono ai trattamenti di dati personali svolti al di fuori del territorio europeo criteri valutativi delle garanzie e, quindi, gli standard di tutela propri della legislazione unionale, così conferendole un’efficacia quasi extraterritoriale. La seconda, estende l’applicabilità del diritto europeo della privacy anche a fattispecie riconducibili agli ambiti ancora oggetto del monopolio legislativo statale.

Si delinea, dunque, una particolare accezione di sovranità digitale europea come affermazione, il più possibile estesa (sia sotto il profilo spaziale sia sotto quello materiale/oggettivo) della disciplina europea quale modello, a vocazione universalista, del rapporto tra libertà, tecnica, sicurezza.

Al di queste tre pronunce vi è sempre, infatti, un’esigenza di riequilibrio nel rapporto tra libertà e sicurezza, che tenga conto dell’incidenza della tecnica sugli equilibri complessivi e le dinamiche di potere.

Su questo versante, meno consapevole sembra la prospettiva del legislatore italiano, che sul tema - non identico ma affine – del rapporto tra privacy, esigenze di giustizia e diritto di difesa, ha mostrato minore determinazione. Basti considerare la profonda riscrittura della riforma Orlando della disciplina delle intercettazioni, da parte del d.l. 161 del 2019, con cui le più importanti innovazioni della legge del 2017 sono state sensibilmente depotenziate.

I profili di maggiore rilievo(10), a questi fini, sono i seguenti.

Anzitutto, la derubricazione del divieto di trascrizione dei dati irrilevanti a fini investigativi, contenuti nelle conversazioni intercettate, a mero onere di “sobrietà” contenutistica che spetta al Pubblico ministero far rispettare, in sede di redazione dei brogliacci. Tale modifica rischia – se intesa come mera indicazione di cui il p.m. possa tenere conto con piena discrezionalità - di vanificare le importanti innovazioni rese dalla riforma Orlando. Le primissime indicazioni che possono trarsi dalla fin troppo recente applicazione giudiziale di tali norme, depongono tuttavia in senso positivo. La direttiva emanata dal Procuratore della Repubblica presso il Tribunale di Milano, Francesco Greco, pochissimo tempo dopo l’entrata in vigore, adotta infatti un’interpretazione rigorosa della novella, che non rischia di affievolirne le garanzie in misura così netta rispetto al recente passato. In secondo luogo, l’estensione delle possibilità di utilizzo dei trojan a fini intercettativi, unitamente alle ampie possibilità di circolazione obliqua (in procedimenti connessi) dei risultati delle intercettazioni, come previsti dalla legge Bonafede, rischiano di rendere quest’ultima una legge regressiva, sul piano delle garanzie della privacy in ambito processuale.

A fronte delle rilevanti aperture della Corte di giustizia sul terreno del rapporto tra privacy e sicurezza, il legislatore interno sembra, dunque, muoversi in controtendenza (come del resto dimostra la persistenza della norma sulla conservazione fino a sei anni, per esigenze di giustizia, dei dati di traffico telefonico e telematico), secondo un percorso che, come sottolineato più volte dal Garante per la privacy, meriterebbe di essere quantomeno ripensato.


Il caso


A settembre 2020 notizie di stampa hanno riferito della sepoltura, nel comune di Roma, di molti feti con l’indicazione, sull’epigrafe della tomba, del nome delle rispettive madri.

Il Garante ha aperto un’istruttoria per accertare se vi siano state violazioni della disciplina vigente, che non prevede l’automatica attribuzione al feto del nome della madre.

Laddove, infatti, questa procedura fosse automatica e prescindesse dunque dal consenso della donna, verrebbe indebitamente reso noto, a una molteplicità indistinta di persone, la scelta abortiva della donna, che è invece come noto soggetta a un comprensibile e doveroso regime di riservatezza, a tutela della libera e autonoma determinazione della donna in ordine alla prosecuzione o meno della gravidanza.

L’istruttoria del Garante è, al momento in cui si scrive, in corso.


Note

(1) - H.C. 5100/94, Pub. Comm. Against Torture in Isr.v. Gov’t of Israel, 53(4) P.D. 817, 845 (v. anche A. BARAK, Foreword: A Judge on Judging - The Role of a Supreme Court in a Democracy, in Harv. L. Rev., 116, 2002, p. 148).

(2) - https://ilmanifesto.it/la-civilta-e-enea-che-porta-anchise-sulle-spalle/

(3) - Norme contenute nell’ordinanza di protezione civile del 3 febbraio e quindi nel d.l. 14/2020, rifluito poi nell’art. 17-bis d.l. 18/20, convertito con modificazioni dalla l. 27/2020.

(4) - Si pensi, in particolare, al “toolkit” del Consiglio d’Europa del 7 aprile “Respecting democracy, rule of law and human rights in the framework of the COVID-19 sanitary crisis “, alla Raccomandazione della Commissione europea dell’8 aprile, alla Risoluzione del Parlamento europeo del 15 aprile, alle Linee guida del 21 aprile dell’EDPB, .

(5) - G. PITRUZZELLA, O. POLLICINO, La via europea tra libertà e solidarietà, in Il Sole 24 ore, 28.4.20

(6) - Che rende se non altro inappropriato individuare il consenso quale presupposto di liceità, anche in ragione dei limiti che incontra in ambito pubblico sotto il profilo della libera autodeterminazione.

(7) - Al momento in cui si scrive la prima lettura parlamentare del disegno di legge di conversione del decreto-legge è agli inizi: il termine per la presentazione degli emendamenti in Commissione è stato fissato, infatti, al prossimo 27 maggio.

(8) - https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9300784

(9) - https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9341993

(10) - https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9260158

Chelsea Manning

Chelsea Manning

(Crescent (USA), 1987 - )
TORTURE E PRIGIONIA PER AVER VOLUTO DIRE LA VERITÀ SULLE STRAGI DI INNOCENTI IN IRAQ E AFGHANISTAN: LA STORIA DI CHELSEA MANNING

Quanto si paga la verità? Spesso molto, moltissimo, finanche troppo, in questo mondo. E vale a volte anche più della vita stessa. Quanto si è disposti a pagare per la verità come bene ultimo? Chelsea Manning era disposta a pagare tutto. Se tutto quello che subì fu troppo, sta a lei deciderlo. Nata nel 1987 a Crescent, cittadina dell’Oklahoma, trascorre la giovinezza tra gli USA e il Galles, paese di origine della madre. Si arruola nell’esercito USA ancora giovanissima e viene assegnata in Iraq con la funzione di ufficiale di intelligence. 

E se le prime linee mostrano senza filtri l’orrore della guerra, il sangue e il dolore, spesso una posizione come quella di Chelsea mostra invece un’immagine meno cruenta ma forse più crudele. Quella della politica al servizio del conflitto, quella dell’“interesse nazionale” che vale più della vita di una, dieci, cento o mille esseri umani. In questo caso si parla di persone morte - tra le 12 e le 18, di cui 2 giornalisti Reuters - in un attacco condotto da elicotteri AH-64 il 12 luglio del 2007 a Baghdad. Il Pentagono dirà che si è trattato di “un incidente, erano armati e avevano aperto il fuoco!”.

Un massacro immotivato, invece, diranno i video e i rapporti filtrati tramite il portale WikiLeaks, che mostrarono, appunto, un attacco indiscriminato contro civili disarmati, giornalisti, donne e bambini.  “Ahah, colpiti!”, dirà un soldato. “Guarda un po’ quegli st*onzi, morti ammazzati!”, gli risponderà un commilitone.

Questi documenti vennero inviati al portale proprio da Chelsea Manning, insieme a dozzine di altri rapporti compromettenti riguardanti l’esercito statunitense e le sue azioni in Iraq e Afghanistan.

La verità costa troppo. Chelsea lo scoprì sulla sua pelle. Lo scoprì quando venne rinchiusa, nel maggio del 2010, in una cella minuscola in Kuwait. Due metri e mezzo per due metri e mezzo. Poi in una prigione militare a Quantico, Virginia, dove subì privazione del sonno e torture fisiche e psicologiche. “Poteva vedere la luce del sole solo per 20 minuti al giorno”.

Fuori dalla sua cella la guerra continua. Non solo quella sul campo, ma anche quella ancora più violenta e devastante dell’amministrazione e del Pentagono contro coloro che provano a diffondere documenti riservati riguardo le guerre di inizio anni Duemila. WikiLeaks, reso ormai celebre dai documenti trasmessi da Chelsea, e il suo fondatore Julian Assange diventano i nemici pubblici numero uno.

Le condizioni di prigionia di Chelsea, nel frattempo, fanno scalpore, così come la sua condanna, nel 2013, a 35 anni di carcere. Verrà assolta solo dall’accusa di “connivenza col il nemico”, per la quale avrebbe potuto anche ricevere la pena capitale.

“Volevo solo che la gente vedesse ciò che avevo potuto vedere io, e far capire a tutti cosa furono quelle guerre”, dirà in seguito. Nel 2017 Barack Obama le concederà la grazia, ma verrà incarcerata nuovamente nel 2018 per essersi rifiutata di presentarsi di fronte al grand jury. Dopo un tentativo di suicidio in carcere, verrà rilasciata una decina di mesi dopo, il 10 marzo del 2020.