Parere 04/2014 - WP 215

sulla sorveglianza delle comunicazioni elettroniche a fini diintelligence e sicurezza nazionale

adottato il 10 aprile 2014 ²

Sintesi

Dall'estatedel 2013 molti canali mediatici internazionali hanno dato ampio risalto alleattività di sorveglianza dei servizi d'intelligence, sia negli Stati Uniti chenell'Unione europea, sulla base di documenti forniti principalmente da EdwardSnowden. Le rivelazioni hanno innescato un dibattito internazionale sulleconseguenze che una sorveglianza di tali proporzioni ha per la vita privatadelle persone interessate. Il modo in cui i servizi d'intelligence usano i datirelativi alle comunicazioni quotidiane e il contenuto di tali comunicazionievidenzia l'esigenza di porre dei limiti alle proporzioni della sorveglianza.

Ildiritto al rispetto della vita privata e il diritto alla protezione dei dati dicarattere personale sono diritti fondamentali, sanciti dal Patto internazionalerelativo ai diritti civili e politici, dalla Convenzione europea dei dirittidell'uomo (in appresso, "CEDU") e dalla Carta dei diritti fondamentalidell'Unione europea (in appresso, "Carta"). Il rispetto dello Stato di dirittoimplica dunque necessariamente la massima tutela possibile di tali diritti.

Sullabase della propria analisi, il gruppo di lavoro articolo 29 (in appresso, "ilgruppo") è giunto alla conclusione che programmi di sorveglianza segreti,massicci e indiscriminati sono incompatibili con le nostre leggi fondamentali enon possono essere giustificati dalla lotta contro il terrorismo o altre graviminacce alla sicurezza nazionale. Restrizioni dei diritti fondamentali dellepersone potrebbero venire accettate soltanto se si tratta di misurestrettamente necessarie e proporzionate in una società democratica.

Perquesto motivo il gruppo raccomanda di adottare diverse misure al fine digarantire e far rispettare lo Stato di diritto.

Inprimo luogo, il gruppo invita a una maggiore trasparenza delle modalità difunzionamento dei programmi di sorveglianza. La trasparenza contribuisce adaccrescere e ristabilire la fiducia fra cittadini, governi ed entità private.Essa comprende la fornitura di informazioni migliori agli interessati qualora iservizi d'intelligence siano autorizzati ad accedere ai loro dati. Per informaremeglio le persone sulle possibili conseguenze dell'uso dei servizi dicomunicazione elettronica online e offline e sul modo migliore perproteggersene, il gruppo intende organizzare, nella seconda metà del 2014, unaconferenza sulla sorveglianza con tutte le parti interessate di rilievo.

Insecondo luogo, il gruppo raccomanda caldamente una vigilanza più rigorosa delleattività di sorveglianza. Un controllo efficace e indipendente dei servizid'intelligence, compreso il trattamento dei dati personali, è la chiave pergarantire che non si abusi dei programmi di sorveglianza. Il gruppo ritienedunque che un controllo efficace e indipendente dei servizi d'intelligencecomporti un genuino coinvolgimento delle autorità di protezione dei dati.

Ilgruppo raccomanda inoltre di imporre l'osservanza, da parte degli Stati membrie delle parti della CEDU, dell'obbligo di tutelare il diritto al rispetto dellavita privata e il diritto alla protezione dei dati personali. Fa poi presenteche i responsabili del trattamento soggetti alla giurisdizione dell'UE devonoconformarsi alla vigente legislazione unionale applicabile in materia diprotezione dei dati. Inoltre rammenta che le autorità di protezione dei datipossono sospendere i flussi di dati e decidere conformemente alle propriecompetenze nazionali se nella fattispecie debbano essere irrogate sanzioni. Néi principi di approdo sicuro, né le clausole contrattuali tipo, né le normevincolanti d'impresa possono fungere da fondamento giuridico per giustificareil trasferimento di dati personali all'autorità di un paese terzo ai fini diuna sorveglianza massiccia e indiscriminata. Di fatto, le deroghe previste daquesti strumenti hanno un campo d'applicazione limitato e vanno interpretaterestrittivamente. Non devono mai essere applicate a scapito del livello diprotezione garantito dalle norme e dagli strumenti dell'UE che governano itrasferimenti di dati.

Ilgruppo sollecita le istituzioni dell'UE a concludere i negoziati sul pacchettodi riforma della protezione dei dati. In particolare, il gruppo accogliefavorevolmente la proposta del Parlamento europeo di introdurre un nuovoarticolo 43 bis che preveda l'obbligo di informare gli interessati qualoranegli ultimi dodici mesi sia stata autorizzata un'autorità pubblica ad accedereai dati. La trasparenza in queste pratiche accresce notevolmente la fiducia.

Inoltre,il gruppo ritiene che si debba chiarire la portata delle deroghe motivate dallasicurezza nazionale, al fine di garantire la certezza del campo d'applicazionedel diritto dell'Unione. A tutt'oggi il legislatore europeo non ha ancoraadottato una definizione chiara della nozione di sicurezza nazionale, né puòessere considerata decisiva la giurisprudenza degli organi giurisdizionalieuropei in materia.

Infine,il gruppo raccomanda di avviare rapidamente i negoziati per un accordointernazionale volto a garantire agli interessati adeguate garanzie diprotezione dei dati in caso di attività d'intelligence. Inoltre è favorevoleallo sviluppo di uno strumento globale che stabilisca principi di alto livello,aventi forza esecutiva, di protezione della vita privata e dei dati.

IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDOAL TRATTAMENTO DEI DATI PERSONALI

istituitodalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre1995,

vistil'articolo 29, l'articolo 30, paragrafo 1, lettera c), e l'articolo 30,paragrafo 3, della suddetta direttiva,

vistoil proprio regolamento interno, in particolare gli articoli 12 e 14,

HAADOTTATO IL SEGUENTE PARERE:

1. Introduzione

Dall'estatedel 2013 molti canali mediatici internazionali hanno dato ampio risalto alleattività di sorveglianza elettronica dei servizi d'intelligence negli StatiUniti, nell'Unione europea e nel resto del mondo, rifacendosi a documentiforniti principalmente da Edward Snowden. Le rivelazioni hanno innescato undibattito internazionale sulle conseguenze che una sorveglianza elettronica ditali proporzioni ha per la vita privata delle persone interessate. Fino a chepunto sia opportuno permettere giuridicamente ai servizi d'intelligence diraccogliere e usare i dati relativi alla vita quotidiana è un interrogativo difondo sollevato nel corso del dibattito. Il presente parere contiene irisultati delle analisi giuridiche svolte dalle autorità di protezione dei datidell'UE riunite nel gruppo di lavoro articolo 29 (in appreso, "il gruppo") inmerito alle implicazioni dei programmi di sorveglianza elettronica per latutela dei diritti fondamentali alla protezione dei dati e al rispetto dellavita privata.

Ilcompito principale delle autorità di protezione dei dati consiste nel tutelareil diritto fondamentale alla protezione dei dati di tutte le persone e nelgarantire che i responsabili del trattamento rispettino le disposizionigiuridiche pertinenti. Tuttavia, per quanto concerne il controllo dei servizid'intelligence, molte autorità di protezione dei dati hanno poteri limitati oaddirittura inesistenti. Per controllare i servizi d'intelligence, compreso iltrattamento dei dati personali, gli Stati membri hanno adottato soluzionidifferenti. Il gruppo ha pertanto passato in rassegna – esponendo irisultati nel presente parere – le varie modalità di controllo deiservizi d'intelligence esistenti nell'UE.

Ilpresente parere non si occupa degli scenari connessi all'intercettazione didati personali trasmessi via cavo. In questa fase il gruppo non dispone diinformazioni sufficienti al riguardo per valutare, sia pure in via ipotetica,il regime giuridico applicabile.

2. Metadati

Pervalutare la portata di eventuali violazioni delle norme in materia diprotezione dei dati occorre innanzitutto chiarire di che cosa si tratta. I funzionarigovernativi parlano spesso di raccolta di metadati, dando ad intendere che siameno grave della raccolta di contenuti, il che non è vero. Sono metadati tuttii dati relativi a una comunicazione, tranne il suo contenuto (ad esempio, ilnumero telefonico o l'indirizzo IP di una persona che effettua una chiamatatelefonica o invia un'e-mail, informazioni su tempi e località, l'argomento, ildestinatario, ecc.). La loro analisi può rivelare dati sensibilidell'interessato, desumibili, ad esempio, dal mero fatto di telefonare adeterminati centri medici o religiosi. Nella causa Malone¹, la Corte europea deidiritti dell'uomo ha affermato che il trattamento di metadati, nellafattispecie la pratica del "metering" delle chiamate telefoniche, costituisceun elemento integrante della comunicazione telefonica e che, di conseguenza, latrasmissione di queste informazioni alla polizia, senza il consensodell'abbonato, costituisce un'ingerenza nel diritto garantito dall'articolo 8della CEDU. Da anni la Corte mantiene questa posizione.

»inoltre particolarmente importante osservare che spesso è più facile estrarreinformazioni dai metadati che dai contenuti effettivi delle comunicazioni2. Grazie alla loronatura strutturata, i metadati sono più facili da aggregare e analizzare.Sofisticati strumenti informatici consentono di analizzare grandi serie di datie individuarne schemi e relazioni sottostanti, compresi dati, abitudini ecomportamenti personali. Ciò non è possibile con le conversazioni, che possonosvolgersi in qualsiasi forma o linguaggio.

Aisensi dell'articolo 2, lettera a), della direttiva 95/46/CE, per dati personalisi intende "qualsiasi informazione concernente una persona fisica identificatao identificabile ("persona interessata"); si considera identificabile lapersona che può essere identificata, direttamente o indirettamente". Unadefinizione analoga è data dall'articolo 2, lettera a), della Convenzione 108del Consiglio d'Europa sulla protezione delle persone rispetto al trattamentoautomatizzato di dati a carattere personale. A differenza di altri paesi, inEuropa i metadati sono dunque dati personali e vanno protetti3.

Nellarecente sentenza sulla conservazione dei dati la Corte di giustizia dell'Unioneeuropea ha confermato che i "dati [delle telecomunicazioni], presi nel lorocomplesso, possono permettere di trarre conclusioni molto precise riguardo allavita privata delle persone i cui dati sono stati conservati"4. Nella stessasentenza la Corte ha infine stabilito che "l'obbligo [ä] di conservare per uncerto periodo dati relativi alla vita privata di una persona e alle suecomunicazioni [ä] costituisce di per sé un'ingerenza nei diritti garantitidall'articolo 7 della Carta. Inoltre, l'accesso delle autorità nazionalicompetenti ai dati costituisce un'ingerenza supplementare in tale dirittofondamentale. [ä] Il fatto che la conservazione dei dati e l'utilizzo ulterioredegli stessi siano effettuati senza che l'abbonato o l'utente registrato nesiano informati può ingenerare nelle persone interessate [ä] la sensazione chela loro vita privata sia oggetto di costante sorveglianza"5.

3. Punti fondamentali

Lerivelazioni di Snowden hanno segnato un brusco risveglio per molti. Mai inpassato era stata resa nota l'esistenza di tanti programmi di sorveglianzadifferenti, gestiti da servizi d'intelligence e atti a raccogliere datipraticamente su chiunque. In passato erano emersi alcuni casi, ma ora per laprima volta il dibattito si è arricchito di ampie prove della loro pervasività.Il modo in cui i servizi d'intelligence usano i dati relativi allecomunicazioni quotidiane e il contenuto di tali comunicazioni evidenzial'esigenza di porre dei limiti alle attività di sorveglianza.

Algiorno d'oggi non è sufficiente prendere precauzioni nel servirsi di strumentionline per proteggersi dai programmi di sorveglianza di massa. Per giunta, datele tante sfide giuridiche, tecniche e pratiche, neppure le autorità diprotezione dei dati di tutto il mondo sono in grado di fornire una protezionesoddisfacente. » dunque necessario cambiare le cose.

Diseguito il gruppo analizza la raccolta di dati di massa da parte dei servizid'intelligence nel contesto dei programmi di sorveglianza. Dal punto di vistagiuridico, occorre distinguere i programmi di sorveglianza dei servizid'intelligence degli Stati membri da quelli dei servizi d'intelligence di paesiterzi che utilizzano dati di cittadini dell'Unione.

Ingenere, i programmi di sorveglianza gestiti dagli Stati membri non sonosoggetti al diritto dell'Unione, in forza di deroghe giustificate dallasicurezza nazionale previste dai trattati europei, nonché – a seguito diuna decisione assunta in questo senso dagli Stati membri contraenti – dadiversi regolamenti e direttive unionali, compresa la direttiva 95/46/CE sullaprotezione dei dati. Ciò non significa però che tali programmi siano soggettisoltanto al diritto nazionale. L'analisi svolta dal gruppo dimostra che, ancheladdove non si applichino il diritto unionale in generale e la direttiva sullaprotezione dei dati in particolare, i servizi d'intelligence, per agirelegalmente, devono non di meno rispettare la maggior parte dei principi diprotezione dei dati6 sanciti dalla CEDU e dalla Convenzione 108 del Consigliod'Europa sulla protezione dei dati personali. Questi principi sono spessoinclusi anche nelle costituzioni nazionali degli Stati membri. I programmi disorveglianza basati su un'indiscriminata raccolta a tappeto di dati personalinon potranno in alcun caso soddisfare i requisiti di necessità eproporzionalità previsti da detti principi sulla protezione dei dati. Lelimitazioni ai diritti fondamentali devono essere interpretaterestrittivamente, conformemente alla giurisprudenza della Corte europea deidiritti dell'uomo7 e della Corte di giustizia dell'Unione europea8. Ciò implica chetutte le ingerenze devono essere necessarie e proporzionate alla finalitàperseguita. Si deve inoltre tenere presente che non esiste una presunzioneautomatica dell'effettiva esistenza e validità delle giustificazioni disicurezza nazionale avanzate da un'autorità nazionale: devono esseredimostrate.

Ilgruppo sottolinea che i governi degli Stati membri sono tenuti a rispettaretutti i loro obblighi nazionali e internazionali, compresi quelli derivanti dalPatto internazionale relativo ai diritti civili e politici. La loro inosservanzanon soltanto viola i diritti fondamentali dei cittadini, ma pregiudica lafiducia della società nello Stato di diritto.

Nelcaso di programmi di sorveglianza di paesi terzi, la situazione è piùcomplessa. Quando sono raccolti dati – direttamente da una fonte internaall'UE o previo trasferimento al paese terzo interessato (o a un altro paeseterzo) – il diritto dell'Unione può essere comunque applicabile alladivulgazione dei dati compiuta nel quadro dei programmi di sorveglianza. Ineffetti la deroga per motivi di sicurezza nazionale citata sopra vale soltantoper la sicurezza nazionale di uno Stato membro dell'UE e non per quella di unpaese terzo. Possono, naturalmente, verificarsi situazioni in cui l'interessedi un paese terzo alla sicurezza nazionale coincida con quello di uno Stato membroe in cui siano giustificate operazioni di sorveglianza congiunte. Anche inquesto caso le autorità pubbliche coinvolte nelle attività di sorveglianza sonotenute a dimostrare perché e come gli interessi alla sicurezza nazionalecoincidano e, di conseguenza, escludano l'applicazione della normativa dell'UE.

Sidevono rispettare tutte le condizioni per i trasferimenti internazionali didati personali di cui alla direttiva 95/46/CE; ciò significa, soprattutto, cheil destinatario deve garantire un livello adeguato di protezione e che itrasferimenti devono essere conformi allo scopo iniziale per cui i dati sonostati raccolti. I trasferimenti devono inoltre essere effettuati secondo unabase giuridica adeguata che garantisca il trattamento leale e legittimo deidati.

Nessunodegli strumenti disponibili come base giuridica alternativa per iltrasferimento dei dati personali a paesi il cui livello di protezione non èstato ritenuto adeguato (principi di approdo sicuro, clausole contrattualitipo, norme vincolanti d'impresa) autorizza le autorità pubbliche di un paeseterzo ad accedere, ai fini di una sorveglianza indiscriminata e massiccia, aidati personali trasferiti sulla base di tali strumenti. Infatti le deroghepreviste da questi strumenti hanno portata limitata e vanno interpretaterestrittivamente (possono cioè essere utilizzate solo in casi specifici e perindagini specifiche). Poiché gli strumenti che mirano a garantire un livello diprotezione adeguato sono intesi soprattutto a proteggere i dati personalioriginari dell'UE, non devono mai essere applicati a scapito del livello diprotezione garantito dalle norme e dagli strumenti dell'UE che governano itrasferimenti. Il gruppo sottolinea inoltre che, ai sensi della direttiva sullaprotezione dei dati, l'attuale valutazione del livello di protezione dei datinei paesi terzi in generale non copre il trattamento dei dati a fini dicontrasto o di sorveglianza.

Anchele imprese devono essere consapevoli del fatto che possono violare il dirittoeuropeo se i servizi d'intelligence di paesi terzi accedono ai dati dicittadini europei conservati nei loro archivi, o se esse eseguonoun'ingiunzione di trasmettere dati personali su larga scala. In quest'ultimocaso, l'impresa che deve decidere se eseguire o meno l'ingiunzione può trovarsiin una posizione difficile: in entrambi i casi rischia di violare il dirittoeuropeo o quello di un paese terzo. Non sono da escludere azioni coercitivecontro tali imprese, segnatamente qualora i responsabili del trattamento abbianovolontariamente e consapevolmente cooperato con i servizi d'intelligence perdare loro accesso ai propri dati. Le imprese devono dare prova della massimatrasparenza possibile e garantire che gli interessati siano consapevoli delfatto che, quando i loro dati personali sono trasferiti – sulla basedegli appositi strumenti disponibili – a paesi terzi che non garantiscono un livello di protezione adeguato, leautorità pubbliche di tali paesi possono sottoporre gli interessati asorveglianza o accedere ai loro dati, nella misura in cui ciò sia ammesso daglistrumenti di trasferimento. La soluzione va però trovata a livello politico. Unaccordo internazionale che offra garanzie adeguate potrebbe garantire che iservizi d'intelligence rispettino i diritti fondamentali.

Pergarantire che i servizi d'intelligence rispettino effettivamente i limitiimposti ai programmi di sorveglianza, occorre che le legislazioni di tutti gliStati membri mettano in atto meccanismi di vigilanza rigorosi che prevedano,tra l'altro, controlli delle operazioni di trattamento dei dati ad opera di unorganismo pienamente indipendente e poteri di contrasto effettivi. Oltre a unefficace e serio controllo parlamentare, i controlli potrebbero essereeffettuati da un'autorità di protezione dei dati o altro organismo idoneoindipendente, a seconda delle modalità di vigilanza dello Stato membro inquestione. Qualora la vigilanza venga effettuata da un altro organismo, ilgruppo sostiene l'opportunità di contatti regolari fra questo organismo el'autorità nazionale di protezione dei dati, onde garantire un'applicazionecoerente e uniforme dei principi di protezione dei dati.

Vasottolineato che i meccanismi di vigilanza non devono esistere soltanto sullacarta, ma devono anche essere applicati sistematicamente. Le rivelazioni diSnowden hanno dimostrato che, nonostante i tanti controlli e contrappesiprevisti, compreso il controllo giudiziario dei regimi di raccolta dei dati,l'efficacia del modo in cui le garanzie sono state applicate rimane dubbia. Sele garanzie contro l'accesso ingiustificato ai dati non sono applicabili atutti i programmi di sorveglianza né a tutte le persone, non corrispondonoall'idea che il gruppo ha di vigilanza rigorosa.

4. Controllo dei servizi d'intelligence

Mentrenegli anni scorsi altre entità hanno realizzato studi di esperti sulle modalitàdi vigilanza dei servizi di sicurezza e d'intelligence di paesi terzi, nei variStati membri dell'UE le analisi di esperti sui rispettivi servizid'intelligence nazionali sono state meno numerose. Per tracciare un quadro piùchiaro delle varie modalità di controllo dei servizi d'intelligence nazionaliesistenti in Europa, il gruppo ha sottoposto un questionario a tutte leautorità di protezione dei dati (compresi due osservatori esterni all'UE), perottenere informazioni sulle pratiche nazionali in materia di controllo nelsettore in questione9.

Duepunti sono particolarmente meritevoli di analisi:

1. l'esistenza di unquadro normativo che prevede un'estesa vigilanza sui servizi di sicurezza ed'intelligence nazionali;

2. il ruolo (o l'assenzadi un ruolo) dell'autorità nazionale di controllo in quel quadro normativo.

Con questa iniziativa il gruppo risponde alle richieste dellavicepresidente della Commissione europea Viviane Reding di analizzare ilpotenziale ruolo delle autorità di protezione dei dati10.

4.1.Rassegna dei meccanismi di vigilanza nazionali applicabili

Leattività di sorveglianza oggetto del presente parere e del documento di lavoroallegato sono eseguite principalmente dai servizi d'intelligence nell'ambitodel loro compito di proteggere la sicurezza nazionale. Esistono molteplicimodelli di vigilanza, che riflettono le tradizioni e le strutture giuridichenazionali in materia di sicurezza nazionale. 26 dei 27 Stati membri che hannorisposto al questionario11 sono dotati di servizi d'intelligence che operano sulla basedi leggi che ne specificano le competenze, la struttura e le responsabilità.Uno Stato membro non ha servizi d'intelligence e la funzione di garantire lasicurezza dello Stato viene svolta dalle forze di polizia nazionali12.

Lamaggior parte dei rispondenti ha indicato da uno a tre autorità responsabilidella sicurezza e dell'intelligence a livello nazionale. In generale, i compitisono ripartiti a seconda che la minaccia alla sicurezza nazionale sia interna oesterna (estera), con responsabilità diverse: civile (ministero dell'Interno odella Giustizia) e militare (ministero della Difesa). In tre Stati ledifferenti strutture sono integrate in modo da formare un sistema di protezioneche risponde direttamente al capo di governo (ad esempio, primo ministro).

Iltrattamento dei dati personali si basa su una legge adottata a livellonazionale, mentre la supervisione sulla legge generale sulla protezione deidati oppure su una o più leggi speciali che regolano il trattamento dei datipersonali da parte di uno o più servizi d'intelligence.

4.2.Il ruolo dell'autorità nazionale di controllo

Dallavalutazione della legislazione nazionale pertinente emerge chiaramente che inmolti paesi la legge generale sulla protezione dei dati non si applica alleattività dei servizi d'intelligence e che l'autorità di protezione dei dati haun ruolo di controllo limitato o addirittura inesistente. La legge prevedespesso uno specifico regime di protezione dei dati, ma non stabiliscenecessariamente una specifica vigilanza ad opera dell'autorità di protezionedei dati.

Neglialtri due paesi terzi che hanno risposto al questionario13 il trattamento deidati personali da parte dei servizi d'intelligence è regolato dalla leggegenerale sulla protezione dei dati. I servizi sono soggetti alla vigilanzadell'autorità nazionale di protezione dei dati, secondo le disposizioni dellalegge generale sulla protezione dei dati.

Lalegge generale sulla protezione dei dati, ove applicabile, di norma prevede unaserie di eccezioni (deroghe a uno o più principi) per il trattamento dei datipersonali da parte dei servizi d'intelligence. Tali deroghe riguardanosolitamente gli obblighi fondamentali dei responsabili del trattamento e idiritti degli interessati14. Le limitazioni possono riguardare restrizioni ai dirittidegli interessati ad essere informati e ad accedere ai dati, diritti che ingenere sono esercitati per il tramite dell'autorità di protezione dei dati.

Perquanto concerne il controllo del trattamento dei dati, sembra che solo inquattro Stati membri la legge nazionale sulla protezione dei dati (ovvero lalegge che istituisce l'organismo di controllo generale della protezione deidati) preveda, in linea di principio, per i servizi d'intelligence gli stessipoteri di controllo validi per qualsiasi altro responsabile del trattamento15. In tredici Statimembri l'autorità di controllo è competente anche per la sicurezza nazionale ei servizi d'intelligence, ma in certi casi il controllo delle attività o deiservizi d'intelligence è soggetto a norme o procedure speciali, che prevedonoanche la possibilità di irrogare sanzioni16. In nove Stati membri l'autorità di protezione dei dati nonha alcun potere di controllo sui servizi d'intelligence che agiscono in quantoresponsabili del trattamento17.

Soltantoin Svezia e in Slovenia l'osservanza degli obblighi vigenti in materia diprotezione dei dati è soggetta alla supervisione completa dell'autorità diprotezione dei dati. Quando altre autorità nazionali di protezione dei datisono dotate di poteri sui servizi d'intelligence, controllano la conformitàalla legge generale sulla protezione dei dati applicabile e sono competenti peri reclami e l'esercizio del diritto di accesso da parte degli interessati. Essehanno altresì il potere di indagare su taluni casi, di propria iniziativa o sudomanda di un terzo, e di effettuare ispezioni in loco. Certi Stati membrihanno fissato limitazioni a tali poteri, ad esempio imponendo l'obbligo diosservare norme speciali di sicurezza nell'indagare su determinati casi, ondetenere conto delle esigenze connesse al segreto di Stato.

4.3.Ilruolo di altri meccanismi di vigilanza indipendenti

VentiStati membri hanno dichiarato che la loro legge prevede la vigilanza e/o ilcontrollo del Parlamento sulle attività dei servizi d'intelligence,parallelamente alle competenze dell'autorità di protezione dei dati in materiadi trattamento18, especifici sistemi interni di controllo19. Sembra però che gli Stati membri abbiano diverse concezionidel controllo parlamentare, poche delle quali presupporrebbero l'esistenza diun vero e proprio organismo responsabile della vigilanza della protezione deidati (compresa la valutazione dei diritti degli interessati e della conformitàalle disposizioni della legge generale sulla protezione dei dati e dellanormativa nazionale specifica)20.

Iregimi di vigilanza esistenti sono estremamente diversi, potendo assumere leseguenti forme:

Ä commissione parlamentare con il vasto compito di controllarei servizi d'intelligence e di sicurezza in generale, o un serviziod'intelligence particolare;

Ä vigilanza e/o controllo parlamentare in parallelo ai compitidi altri organismi di controllo indipendenti (diversi dall'autorità diprotezione dei dati). Le modalità del controllo parlamentare assumono la formadi ombudsman, deleghe o commissioni parlamentari;

Ä commissione parlamentare quale unica autorità di controllo aldi fuori della struttura del potere esecutivo. In questo caso i compiti delParlamento sono formulati in modo piuttosto generale oppure senza prevederel'accesso ai casi pendenti;

Ä vigilanza conferita esclusivamente a un'autorità speciale. Lacompetenza può tuttavia essere creata dalla legislazione sulla protezione deidati; si segnalano anche casi in cui tale autorità è stata fino a poco tempo faregolata da strumenti giuridici non vincolanti;

Ä controllo giudiziario specializzato in parallelo al controlloparlamentare generale;

Ä in parallelo all'autorità generale di protezione dei dati,sistema di controllo misto esercitato dai poteri esecutivo e legislativo;apposita commissione presieduta da un giudice e composta da parlamentari ed exparlamentari appartenenti a differenti partiti politici. Sono previsteprocedure di consultazione con l'autorità di protezione dei dati;

Ä qualche spunto per migliorare gli elementi della vigilanza sipuò anche trarre da quei sistemi in cui è stato istituito un organismo specialepreposto alla vigilanza dei servizi d'intelligence in materia di protezione deidati: la commissione di supervisione dei dati, composta da tre pubbliciministeri nominati dal procuratore generale, che controlla i servizid'intelligence parallelamente al consiglio di controllo parlamentare;

Ä l'autorità di protezione dei dati può essere investita delcompito di verificare se un dato caso abbia implicazioni per la sicurezzanazionale; se questa implicazione è accertata l'autorità di protezione dei datideve rinviare il caso a due commissari indipendenti incaricati del controllogiudiziario indipendente dei servizi d'intelligence nazionali e del ruolo disegretario di Stato nell'autorizzare operazioni di sorveglianza segrete. Questicommissari sono sostenuti da un tribunale speciale per i ricorsi presentatidagli interessati;

Ä un'apposita legge prevede la cooperazione fra l'organismospeciale di vigilanza e l'autorità generale di protezione dei dati: uncommissario indipendente per la protezione giuridica deve dare la propriaautorizzazione se i servizi d'intelligence desiderano svolgere certe operazioni(ad esempio, indagini coperte, videosorveglianza di determinate persone). Lacommissione per la protezione giuridica è inoltre tenuta a proporre ricorsopresso l'autorità di protezione dei dati se ritiene che siano stati violatidiritti di cui alla legge generale sulla protezione dei dati.

L'autoritàdi protezione ha, con qualche limitazione, il potere di controllare i servizid'intelligence, ma la responsabilità di controllare l'intercettazione dellecomunicazioni e di trattare i ricorsi spetta a uno speciale organismoparlamentare. I membri della rispettiva commissione sono nominati dallacommissione di controllo parlamentare. Il presidente deve avere la qualificanecessaria per coprire una carica giudiziaria.

5. Raccomandazioni

A.Più trasparenza

1. Più trasparenza sulle modalità di funzionamentodei programmi e sulle azioni e decisioni degli organismi di controllo

Ilgruppo ritiene importante che gli Stati membri diano prova della massimatrasparenza possibile circa la loro partecipazione a programmi di raccolta econdivisione dei dati, di preferenza in pubblico, ma, se necessario, quantomeno davanti ai rispettivi parlamenti nazionali e alle autorità di controllocompetenti. Si raccomanda alle autorità di protezione dei dati di condividerele proprie capacità a livello nazionale al fine di ristabilire l'equilibrio fral'interesse alla sicurezza nazionale e il diritto fondamentale al rispetto dellavita privata delle persone.

»opportuno che sia predisposta una qualche modalità di comunicazione generaledelle attività di sorveglianza, in conformità anche con l'obbligo ditrasparenza degli Stati membri derivante dalle decisioni della Corte europea deidiritti dell'uomo21. Ogni ingerenza nei diritti fondamentali deve essereprevedibile, e pertanto i programmi di sorveglianza devono basarsi su leggichiare, specifiche e accessibili. Le autorità nazionali di protezione dei datisono invitate a richiamare l'attenzione dei rispettivi governi su questo punto.

2. Più trasparenza da parte dei responsabili deltrattamento

Leimprese devono dare prova della massima trasparenza possibile e garantire chegli interessati siano consapevoli del fatto che, quando i loro dati personalisono trasferiti – sulla base degli appositi strumenti disponibili –a paesi terzi che non garantiscono un livello di protezione adeguato, leautorità pubbliche di tali paesi possono sottoporre gli interessati a sorveglianzao accedere ai loro dati, nella misura in cui ciò sia ammesso dagli strumenti ditrasferimento. Il gruppo sa che i responsabili del trattamento possono riceverel'ordine di non informare gli interessati dell'ingiunzione di trasmettere idati emessa da una pubblica autorità. Il gruppo accoglie favorevolmente irecenti sforzi per informare meglio e più esaustivamente gli interessati inmerito alle richieste che li riguardano ed esorta le imprese a continuare amigliorare le politiche d'informazione.

3. Massimizzare la consapevolezza del pubblico

Gliinteressati devono essere consapevoli delle possibili conseguenze dell'uso deiservizi di comunicazione elettronica online e offline, nonché del modo miglioreper proteggersene. Informare gli interessati al riguardo spetta tanto alleautorità di protezione dei dati e ad altre autorità pubbliche quanto alleimprese e alla società civile nel suo insieme. A tal fine, il gruppo intendeorganizzare una conferenza nella seconda metà del 2014 riunendo le partiinteressate per discutere un possibile approccio politico.

B.Una vigilanza più rigorosa

1. Mantenere un regime giuridico coerente per iservizi d'intelligence, comprese norme sulla protezione dei dati

Lerivelazioni di Snowden hanno chiaramente mostrato che i servizi d'intelligencedegli Stati membri dell'Unione europea trattano quotidianamente grandi quantitàdi dati personali. Questi dati sono inoltre condivisi con altri serviziall'interno e all'esterno dell'Unione. Il gruppo ritiene importante che gliStati membri dispongano di un regime giuridico coerente per i servizid'intelligence, comprese norme sul trattamento dei dati che siano conformi aiprincipi di protezione dei dati fissati dal diritto europeo e internazionale. Idiritti degli interessati devono essere garantiti il più possibile, preservandoal tempo stesso l'interesse pubblico in gioco.

Ilgruppo raccomanda inoltre che il quadro normativo nazionale contenga normechiare sulla cooperazione e sullo scambio di dati personali con le autorità dicontrasto al fine di prevenire, combattere e perseguire i reati, e sultrasferimento di tali dati alle autorità di altri Stati membri e paesi terzi.

2. Garantire una vigilanza efficace sui servizid'intelligence

Ilquadro normativo nazionale sui servizi d'intelligence dovrebbe prestareparticolare attenzione ai meccanismi di vigilanza esistenti. Una vigilanzaadeguata, indipendente ed efficace è della massima importanza in una societàdemocratica. Il gruppo ritiene pertanto che le seguenti buone pratiche desuntedai vari meccanismi di vigilanza esistenti negli Stati membri debbano fareparte dei meccanismi di vigilanza di tutti gli Stati membri. Esorta quindi leautorità nazionali di protezione dei dati a discutere tali pratiche neldibattito nazionale relativo alla vigilanza sui servizi d'intelligence:

- forti controlliinterni della conformità al quadro normativo nazionale al fine di garantireresponsabilità e trasparenza;

- controllo parlamentareefficace, conforme alle tradizioni parlamentari nazionali. Le autorità diprotezione dei dati dovrebbero incoraggiare i parlamenti che sono già dotati dipoteri di vigilanza sui servizi d'intelligence a esercitare attivamente talipoteri;

- vigilanza esterna efficace, seria e indipendente, esercitatada un organo ad hoc con la partecipazione delle autorità di protezione dei datioppure direttamente da queste ultime, che hanno il potere di accedere ai dati ead altri documenti pertinenti, su base periodica e di propria iniziativa (exofficio), nonché l'obbligo di esaminare i ricorsi che ne conseguono. I servizid'intelligence oggetto del controllo non devono dare la loro approvazionepreliminare.

C.Applicare efficacemente le leggi vigenti

1. Far rispettare gli obblighi che incombono agliStati membri dell'UE e alle parti contraenti della CEDU in materia di tuteladel diritto al rispetto della vita privata e del diritto alla protezione deidati

Tuttigli Stati membri sono parti della CEDU e devono dunque rispettare le condizionidalla stessa stabilite agli articoli 7 e 8 per quanto riguarda i loro programmidi sorveglianza. I loro obblighi non finiscono qui. A norma dell'articolo 1della CEDU, le parti della convenzione sono tenute a riconoscere a ogni personasottoposta alla loro giurisdizione i diritti e le libertà enunciati nella CEDU.In entrambi i casi gli Stati membri dell'UE, come ogni parte contraente dellaCEDU, possono essere deferiti alla Corte europea dei diritti dell'uomo perviolazione del diritto al rispetto della vita privata di cui gode ogni personaeuropea.

2. I responsabili del trattamento soggetti allagiurisdizione dell'UE devono ottemperare alla normativa dell'UE applicabile inmateria di protezione di dati

Iresponsabili del trattamento con sede nell'UE o che adoperano dispositivi inuno Stato membro devono rispettare gli obblighi previsti dal dirittodell'Unione, anche se il diritto di altri paesi in cui operano è in contrastocon quello dell'Unione. A questo proposito, le autorità di protezione dei datinon possono ignorare il fatto che i dati possono venire trasferiti anche inviolazione delle norme dell'UE. Il gruppo ricorda pertanto che le autorità diprotezione dei dati, in conformità con le condizioni stabilite dalledisposizioni dell'UE e nazionali sulla protezione dei dati, possono sospendereil trasferimento previsto di flussi di dati qualora sia fortemente probabileche i principi di protezione dei dati vengano violati e che il protrarsi deitrasferimenti crei un rischio imminente di gravi danni agli interessati. Leautorità nazionali di protezione dei dati dovrebbero decidere, secondo la lorocompetenza a nazionale, se in una data situazione sia appropriato irrogaresanzioni.

D.Migliorare la protezione a livello europeo

1. Adozione del pacchetto di riforma dellaprotezione dei dati

Alfine di offrire una forte protezione dei dati in Europa è della massimaimportanza concludere i negoziati sul pacchetto di riforma della protezione deidati. Il nuovo regolamento generale sulla protezione dei dati e la direttivasulla protezione dei dati in materia di polizia e giustizia penale mirano nonsolo a migliorare la protezione delle persone fisiche con riguardo altrattamento dei dati, ma anche a chiarire il loro campo di applicazione econferire alle autorità di protezione dei dati maggiori poteri di contrasto.Specialmente la possibilità di irrogare sanzioni (finanziarie) - in ultimaistanza - dovrebbe metterle in una posizione di forza nei confronti deiresponsabili del trattamento. Il gruppo accoglie con favore la proposta delParlamento europeo che prevede l'obbligo di informare gli interessati qualoranegli ultimi dodici mesi sia stato accordato l'accesso ai dati a un'autoritàpubblica. La trasparenza di tali pratiche accrescerà fortemente la fiducia. Ilgruppo esorta pertanto il Consiglio e il Parlamento europeo ad attenersi allatabella di marcia convenuta22 e a garantire che entrambi gli strumenti possano essereadottati nel corso del 2014.

2. Chiarire il campo d'applicazione della deroga permotivi di sicurezza nazionale

Attualmentenon esiste un'interpretazione comune della nozione di "sicurezza nazionale". Illegislatore europeo non ha adottato alcuna definizione chiara al riguardo, néappare decisiva la giurisprudenza degli organi giurisdizionali europei inmateria. Tuttavia, la deroga per motivi di sicurezza nazionale non deve essereestesa al trattamento dei dati per scopi che esulano dall'uso consentito dallalegge.

Unaltro aspetto che deve essere chiarito è fino a che punto, al giorno d'oggi,una deroga fondata sulla sicurezza nazionale rifletta davvero la realtà, dalmomento che il lavoro dei servizi d'intelligence sembra essere più che maiintrecciato a quello delle autorità di contrasto e perseguire svariatefinalità. I dati vengono condivisi di continuo e su scala mondiale,indipendentemente dallo Stato la cui sicurezza nazionale possa trarre beneficiodall'analisi dei dati. Il gruppo invita dunque il Consiglio, la Commissione eil Parlamento europeo a raggiungere un accordo sulla definizione del principiodella sicurezza nazionale e a stabilire chiaramente cosa rientri nel dominioesclusivo degli Stati membri. Nel definire il principio della sicurezzanazionale occorre tenere in debito conto le riflessioni del gruppo, compresequelle esposte nel presente parere. Anche le istituzioni dell'UE sono esortatea chiare, nel pacchetto di riforma della protezione dei dati, che la tuteladella sicurezza nazionale dei paesi terzi non può, da sola, portare a escluderel'applicabilità del diritto dell'Unione.

E.Protezione internazionale dei residenti dell'Unione

1. Insistere su garanzie adeguate per lacondivisione dei dati d'intelligence

Leautorità pubbliche dei paesi terzi in generale, e i servizi d'intelligence inparticolare, non devono avere accesso diretto ai dati del settore privatotrattati nell'UE. Se hanno necessità di accedere a tali dati in casi specifici,sulla base di ragionevoli sospetti, devono farne richiesta a norma degliaccordi internazionali applicabili, fornendo adeguate garanzie di protezionedei dati. Per quanto concerne la condivisione delle informazioni diintelligence, gli Stati membri devono garantire che le leggi nazionaliprevedano una base giuridica specifica per tali trasferimenti e adeguategaranzie di protezione dei dati personali. Secondo il gruppo, gli accordisegreti di cooperazione fra Stati membri e/o paesi terzi non soddisfano icriteri stabiliti dalla Corte europea dei diritti dell'uomo sulla chiarezza eaccessibilità della base giuridica.

2. Negoziare accordi internazionali per assicuraregaranzie adeguate di protezione dei dati

Inegoziati in corso fra USA e UE per definire il cosiddetto umbrellaagreement (accordo globale) sono un passo nella direzione giusta. Tuttaviatale accordo avrà verosimilmente due lacune: da un lato, escluderà dalla suaapplicazione i casi concernenti la sicurezza nazionale, quanto meno nellaprospettiva dell'UE giacché l'accordo è negoziato sulla base del solo diritto dell'Unione;dall'altro, la sua struttura induce a ritenere che si applicherà soltanto aidati trasferiti fra le autorità pubbliche degli USA e dell'UE, e non anche aidati raccolti da entità private. Ciò emerge chiaramente anche dalla relazionedel Gruppo di contatto ad alto livello UE-USA sulla condivisione delle informazionie sulla tutela della vita privata e la protezione dei dati di caratterepersonale (HLCG)23, su cui si sono basati i negoziati relativi all'accordoquadro. Il gruppo sottolinea che nel contesto dell'accordo globale la finalitàdel trattamento dei dati trasferiti deve essere la stessa sia per l'UE che pergli USA. Non sarebbe accettabile che i dati ottenuti dalle autorità dicontrasto dell'Unione possano essere successivamente utilizzati dai servizid'intelligence degli USA per fini di sicurezza nazionale, se questa possibilitànon esiste anche nell'UE.

Datoche l'accordo globale sarà lungi dall'offrire una protezione completa a tuttele persone, sarà necessario un accordo internazionale che fornisca unaprotezione adeguata contro le attività di sorveglianza indiscriminate. Anchel'attuale conflitto di giurisdizione che riguarda una parte delle attività disorveglianza divulgate potrebbe essere mitigato se un tale accordo imponessedei limiti chiari alle attività di sorveglianza. Tuttavia l'accordo sarebbecollegato direttamente alla deroga per motivi di sicurezza nazionale e quindiesulerebbe dal campo di applicazione del diritto dell'UE. Spetta dunque agliStati membri avviare negoziati in modo coordinato. Si deve tenere in debitoconto dell'esigenza di individuare chiaramente quali delle attività disorveglianza contemplate siano effettivamente legate alla sicurezza nazionale equali siano piuttosto connesse a finalità di contrasto e di politica estera,materie che rientrano nell'ambito di applicazione del diritto dell'Unione. Ciòoffrirebbe alle istituzioni dell'UE la possibilità di partecipare piùstrettamente ad eventuali misure in questa direzione.

Questonuovo accordo non deve essere segreto. Deve essere reso pubblico e indicarechiaramente gli obblighi gravanti sulle parti contraenti per quanto concerne lavigilanza necessaria sui programmi di sorveglianza, la trasparenza, la paritàdi trattamento - quanto meno dei cittadini di tutte le parti contraentidell'accordo – i meccanismi di ricorso e gli altri diritti connessi allaprotezione dei dati. Le parti contraenti dovrebbero inoltre essere incoraggiatea garantire che i rispettivi parlamenti siano regolarmente informati dell'uso edell'utilità dell'accordo concluso.

3. Sviluppare uno strumento globale che protegga lavita privata e i dati personali

Ilgruppo sostiene lo sviluppo di uno strumento globale che preveda principi dialto livello, aventi forza esecutiva, di protezione della vita privata e deidati, quali concordati dalla conferenza internazionale dei commissari inmateria di protezione dei dati e della vita privata e inseriti nelladichiarazione di Madrid24. A questo proposito si potrebbe prendere in considerazionel'aggiunta di un protocollo addizionale all'articolo 17 del Pattointernazionale delle Nazioni Unite sui diritti civili e politici.Nell'elaborazione di un tale strumento globale si deve garantire che legaranzie previste siano applicabili a tutte le persone interessate. » altresìnecessario pervenire a un'interpretazione comune del significato di'trattamento dei dati', poiché tale espressione è interpretata in modo assaidiverso nei vari paesi.

Ilgruppo sostiene l'iniziativa presa dal governo tedesco e l'appello dellaconferenza internazionale dei commissari in materia di protezione dei dati edella vita privata.25,26 Il gruppo continua altresì a sostenere l'adesione dei paesiterzi alla Convenzione 108 del Consiglio d'Europa.

NOTE                                               

1Corte europea dei diritti dell'uomo,causa Malone v. UK, 2 agosto 1984.

2ACLU v. Clapper, causa 13-3994 (WHP)– Dichiarazione scritta del professor Edward W. Felten dinanzi alla UnitedStates District Court for the Southern District of New York

3Si tratta di un'interpretazioneinveterata della legislazione sulla protezione dei dati. Nel parere 4/2007 sulconcetto di dati personali, il gruppo ha già affermato che anche "[n]ei casi incui, a prima vista, gli identificatori disponibili non

consentonodi identificare una persona particolare, si può ancora considerare quellapersona "identificabile" perché quelle informazioni combinate con altre (chesiano o meno conservate dal responsabile del trattamento) consentiranno didistinguerla dalle altre.".

4Cfr. sentenza dell'8 aprile 2014 nellecause riunite C-293/12 e C-594/12, punto 27.

5Cfr. sentenza dell'8 aprile 2014 nellecause riunite C-293/12 e C-594/12, punti 34, 35 e 37.

6I principi fondamentali della protezione dei dati sono: lealtà e legittimitàdel trattamento, limitazione delle finalità, necessità e proporzionalità,adeguatezza, trasparenza, rispetto dei diritti delle persone e livello adeguatodi sicurezza dei dati.

7Cfr. sentenze del 17 gennaio 1970 nella causa Delcourt e del 6 settembre 1978nella causa Klass.

8Cfr sentenza dell'8 aprile 2014 nellecause riunite C-293/12 e C-594/12, punti 57-65, in cui la Corte ha giudicatoche la conservazione di dati sul traffico "senza alcuna distinzione,limitazione o eccezione" costituisce "un'ingerenza nei suddetti dirittifondamentali di vasta portata e di particolare gravità nell'ordinamentogiuridico dell'Unione, senza che siffatta ingerenza sia regolamentata conprecisione da disposizioni che permettano di garantire che essa siaeffettivamente limitata a quanto strettamente necessario".

9 Hannorisposto al questionario 27 autorità di protezione dei dati dell'UE, l'autoritàdi protezione dei dati della Sassonia (Germania) e le autorità di protezionedei dati della Svizzera e della Serbia, Stati non-UE.

10Lettera della vicepresidente Reding alla presidenza del gruppo di lavoroarticolo 29 del 30 agosto 2013.

11Austria, Belgio, Bulgaria, Cipro, Repubblica ceca, Danimarca, Estonia,Finlandia, Francia, Germania, Grecia, Ungheria, Italia, Lettonia, Lituania,Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Romania, Slovacchia,Slovenia, Spagna, Svezia e Regno Unito.

12Irlanda.

13 Serbia (un servizio civile, due servizi militari),Svizzera (un servizio civile, un servizio militare)

14Ad esempio, Belgio, Bulgaria, Cipro, Germania, Ungheria e Grecia. Per taluniStati membri non si sono potute ricavare informazioni sulle deroghe.

15Bulgaria, Ungheria, Slovenia e Svezia.

16Austria, Belgio Cipro, Estonia, Finlandia, Francia, Germania, Irlanda, Italia,Lettonia, Lussemburgo, Polonia e Svezia.

17Repubblica ceca, Danimarca, Malta, Paesi Bassi, Portogallo, Romania,Slovacchia, Spagna e Regno Unito.

18Ad esempio, in Finlandia l'Ombudsmanparlamentare è responsabile insieme all'autorità di protezione dei dati;tuttavia le sue competenze sono basate sull'apposita legge in materia diservizi di sicurezza e d'intelligence.

19I venti Stati membri sono: Austria, Bulgaria, Cipro, Repubblica ceca, Estonia,Finlandia, Francia, Germania, Grecia, Ungheria, Italia, Lettonia, Lussemburgo,Polonia, Portogallo, Romania, Slovacchia, Slovenia, Spagna e Regno Unito.

20Nel parere non vengono analizzate le informazioni sul controllo politicomanageriale (ministeriale) e generale fornite da diversi Stati che hannorisposto al questionario.

21Cfr. anche la sentenza della Corteeuropea dei diritti dell'uomo del 25 giugno 2013 nella causa 48135/06 – YouthInitiative for Human Rights v Serbia , punto 6.

22http://euobserver.com/justice/122853

23Documento del Consiglio 15851/09 del 23 novembre 2009

24Norme internazionali sulla protezionedei dati personali e della vita privata, dichiarazione adottata dalla 31a conferenzainternazionale dei commissari in materia di protezione dei dati e della vitaprivata di Madrid.

25http://www.bundesregierung.de/Content/EN/Artikel/2013/07/2013-07-19-bkin-nsa-sommerpk.html.

26Risoluzione sull'ancoraggio dellaprotezione dei dati e della vita privata al diritto internazionale, adottatadurante la 35a conferenza internazionale dei commissari in materia diprotezione dei dati e della vita privata di Varsavia.