Gli Stati membri della Ue si stanno muovendo per estendere i tempi di retention dei dati dei cittadini sospetti di crimini, terrorismo e cybercrime, aggirando così i limiti fissati dalla Corte di Giustizia, in difesa dei diritti fondamentali e le leggi europee su privacy e Data protection.
Il piano generale dei ministeri europei si basa su un nuovo concetto di “restricted data retention”, da applicare appunto per la lotta al terrorismo, a crimini seri e rischio di cyberattacchi. La nuova normativa, che concederebbe a Governi e Polizia mano libera all’acceso dei dati dei cittadini, potrebbe essere introdotta a livello europeo fra gli emendamenti della nuova bozza di regolazione ePrivacy, in discussione a Bruxelles, oppure direttamente con interventi legislativi a livello nazionale.
I ministri europei hanno pubblicato il loro piano, che tra le altre cose prevede di abbassare da tre anni a sei mesi il limite dei “crimini seri” che vietano alla polizia di sorvegliare e raccogliere dati di sospetti criminali.
Ciò significa di fatto che la polizia, se il piano passerà, potrà continuare ad ottenere tabulati telefonici, email e messaggi privati in nome della lotta al crimine.
In questa partita, ancora tutta da giocare, purtroppo il rischio è che l’Italia, dove la data retention dei tabulati telefonici è stata recentemente allungata a sei anni in Parlamento (contro il volere del Garante Privacy), diventi in qualche modo la testa d’ariete, una sorta di modello “in negativo” per gli altri stati membri.
Un pessimo segnale per il diritto alla privacy e la data protection dei cittadini europei, anche se per il momento si tratta soltanto di un progetto che dovrà eventualmente passare al vaglio del Parlamento prima di diventare esecutivo. Progetto che, però, sta rapidamente prendendo forma.
Lo scorso 15 settembre il centro di coordinamento europeo antiterrorismo (Eu CTC) ha sottoposto agli stati membri la nuova proposta sulla data retention, per rivedere i regimi nazionali che si muovono in ordine sparso dopo l’annullamento della Direttiva sulla Data Retention nel 2014.
La proposta prevede un nuovo concetto di “restricted data retention”, che andrebbe applicato soltanto se necessario, in casi di terrorismo, crimini seri e cyberattacchi, e previa presenza di prove oggettive. Ma di fatto l’applicazione può estendersi a tutti i cittadini.
La proposta del centro di coordinamento europeo antiterrorismo (Eu CTC) non chiarisce però quali siano esattamente i casi “strettamente necessari” in cui si può intervenire, lasciando di fatto mano libera ad una possibile data retention indifferenziata. La direttiva sulla Data retention annullata nel 2014 fissava dei limiti chiari legati a necessità investigative di attività criminali serie.
La Corte di Giustizia Europea ha sentenziato due volte che misure di data retention che valgono per tutti gli utenti eccedono i limiti e il concetto di stringente necessità.
La proposta dell’Eu CTC contiene alcuni riferimenti generali alle categorie di dati da conservare (servizi di comunicazione).
L’attenzione crescente nei confronti dei cyberattacchi, contro i quali si sostiene che la data retention sia fondamentale per la fase investigativa, potrebbe tranquillamente scaturire in tempi più lunghi e spettro più ampio di conservazione del traffico Internet, e forse anche delle connessioni online, come già avviene nel Regno Unito in seguito all’Investigatory Powers Act (informazioni su ogni singolo pacchetto e indirizzo Ip di destinazione).
L’Europol ha recentemente lamentato l’impossibilità di accedere a determinati tipi di traffico.
La nuova proposta sulla data retention riguarderebbe anche il traffico OTT, sottoponendo anche player come Facebook e Google al nuovo regime restrittivo, ignorando o non comprendendo che la bozza di regolazione ePrivacy ha lo scopo di creare un “level playing field” comune con regole comuni per la privacy per tutti i fornitori di servizi elettronici di comunicazione, siano essi OTT o telecom.