Frontiere e identità digitali: i dubbi sulla raccolta dei dati dei cittadini in nome della sicurezza
|
Nel 2011, la crescita del flusso di viaggiatori nell’area Schengen inizia a preoccupare la Commissione europea. Secondo una stima della Commissione il traffico di persone sarebbe potuto arrivare a 720 milioni entro il 2030. Per assicurare il controllo delle frontiere esterne e preservare la libera circolazione all'interno dell’area, con una comunicazione furono annunciate nuove misure.
Frontiere intelligenti
Il 28 febbraio del 2013 viene pubblicato lo Smart Borders Package (pacchetto frontiere intelligenti). Riguarda i soli cittadini di paesi terzi (non Ue) in viaggio nel territorio dell’Unione e si propone di automatizzare i controlli alle frontiere aeree, terrestri e marittime. La Commissione valutava un forte risparmio sia in termini economici che di risorse umane, nella gestione delle frontiere.
Il sistema di entrata/uscita (Entry/Exit System, EES) avrebbe rimpiazzato la procedura manuale di stampa dei visti con una scansione automatizzata dei dati (volto, impronte digitali), tramite postazioni (kiosk). Nel contempo si prevedevano delle procedure semplificate per i frequent travellers (Registered Traveller Programme, RTP), con possibilità di pre-screening. Il sistema avrebbe permesso la raccolta e conservazione di 36 categorie di dati, per un tempo massimo di 181 giorni.
La proposta, però, non ottiene il consenso del Parlamento e del Consiglio. Numerosi sono i dubbi in merito. Innanzitutto ci si interroga sul vantaggio ottenibile a fronte della non indifferente spesa (1300 milioni di euro) per l’introduzione della tecnologia al fine del monitoraggio dei cittadini di paesi non-Ue. Ma, soprattutto, i dubbi si accentrano sull’enorme quantità di dati personali e sensibili (i dati biometrici sono dati sensibili) raccolti e trattati. Un'iniziativa di questo tipo, infatti, necessita di una profonda analisi di impatto sulla privacy dei soggetti controllati, i quali non solo sono sottoposti alla verifica dei documenti di viaggio, ma anche alla scansione delle impronte digitali, con registrazione e schedatura a fini di verifiche successive.
Anche se inizialmente non è previsto l’accesso ai dati da parte delle agenzie di sicurezza europee (comunque il pacchetto prevede una revisione dopo 2 anni), i critici notano che l’incrocio dei dati con altri database (esempio, il sistema VIS) avrebbe portato a una violazione del principio di finalità, che regge il sistema di protezione dei dati personali europeo: i dati raccolti per una specifica finalità non possono essere utilizzati per scopi differenti da quello iniziale. Lo stesso Supervisore europeo in materia di Data Protection (EDPS), nel 2013, esprimeva preoccupazioni simili in un parere.
Agli inizi del 2014 interviene nel dibattito sulla retention dei dati la Corte di Giustizia europea, che invalida la direttiva Data Retention per violazione del principio di proporzionalità. La Corte europea fissa dei paletti ben definiti al trattamento dei dati dei cittadini, anche nel caso in cui siano utilizzati a fini di prevenzione e repressione dei reati gravi.
L’accordo sul pacchetto di norme proposte dalla Commissione europea non si raggiunge.
L'avvio del progetto pilota Smart Borders
Nel 2014 la Commissione europea avvia uno studio delle soluzioni più efficienti per la gestione delle frontiere. Nel 2015 i risultati dello studio vengono testati sul campo.
Il progetto pilota Smart Borders (con partecipazione volontaria dei viaggiatori) parte nell’aeroporto di Lisbona nel marzo del 2015, dove vengono installati i sistemi automatizzati di pre-screening (automated border control, ABC), e coinvolge 12 paesi.
Il progetto in realtà non testa i sistemi EES (sistema entrata/uscita) e RTP (procedure semplificate per i viaggiatori frequenti), quanto la fattibilità delle opzioni selezionate dalla Commissione. Viene affidato a euLISA, l’agenzia europea per la gestione su larga scala dei sistemi IT (European Agency for the Operational Management of large-scale IT Systems in the Area of Freedom, Security and Justice), fondata nel 2012.
I risultati, evidenziati nel rapporto di euLISA, appaiono positivi. Ad esempio, si rileva che il controllo delle impronte di sole 4 dita, piuttosto che 10, risulta molto più veloce ed è adatto allo scopo. Vengono testati anche il controllo facciale e la scansione dell’iride. La scansione del volto insieme a quella dell’iride risulta più accurata, ai fini del riconoscimento, rispetto alla combinazione della scansione dell’iride e delle impronte digitali. Il rapporto finale sostiene che il 60% di coloro che hanno risposto al sondaggio attuato nel corso del test non si sono sentiti violati nella loro dignità (70%) o lesi nel loro diritto alla privacy (47%).
Sulla base dei risultati ottenuti dal progetto pilota, nel 2016 la Commissione riformula l’intera proposta (costo: 480 milioni per 4 anni), che sarebbe stata applicata sempre ai cittadini non-UE, automatizzando gli ingressi e le uscite dall’area Schengen tramite l’utilizzo di sistemi di scansione biometrica (kiosk). I dati saranno conservati per 5 anni e il sistema si interfaccerà con il database VIS. Infine, le agenzie di sicurezza potranno accedere ai dati per l’identificazione di terroristi, criminali e sospetti di crimini gravi.
Le categorie di dati trattati sono 26 (invece delle 36 della proposta del 2013):
- Nome, cognome, soprannome, data di nascita, nazionalità, sesso.
- 4 impronte digitali e immagine del volto.
- Numero del documento di viaggio, tipo, codice paese e data di scadenza.
- Informazioni sul documento VISA.
- Data e orario di ingresso/uscita ai varchi.
- Informazioni su autorizzazioni.
La proposta legislativa
Gli attentati terroristici che sconvolgono l’Europa a partire dal 2015 pongono, però, la questione dei flussi dei viaggiatori sotto una differente prospettiva. Quello che preoccupa la Commissione è la sicurezza interna (vedi studio del Parlamento). La mobilità porta problemi, e criminali, e se si vuole mantenere la libertà di movimento nell'Unione occorre rinforzare i controlli. Le priorità adesso sono:
- La pressione crescente dei flussi migratori.
- Le minacce terroristiche.
I sistemi europei per il controllo delle frontiere sono 3: Schengen Information System (SIS), Visa Information System (VIS) ed Eurodac. Solo il SIS si occupa dei cittadini dell’Unione europea, ma il problema principale è che tali sistemi non dialogano tra loro e i dati vengono conservati solo per 90 o al massimo 180 giorni. Nasce l'idea di interfacciare questi sistemi con il nuovo sistema di entrata/uscita (EES).
Il Supervisore europeo (EDPS) pubblica un nuovo parere nel quale evidenzia le criticità della proposta riformulata, in particolare ricordando che la gestione delle frontiere e la prevenzione e repressione dei reati sono due attività separate che devono rimanere tali. Occorre, quindi, una chiara distinzione tra le categorie di persone che passano le frontiere: rifugiati, richiedenti asilo, migranti irregolari e ordinari viaggiatori, e ripensare alcuni aspetti della proposta, in particolare per quanto riguarda i periodi di conservazione dei dati, specialmente quelli biometrici (volti).
Con l’iniziativa “Smart Borders for all” la Francia suggerisce di ampliare l’ambito del pacchetto Smart Borders, includendo tra i soggetti controllati non solo i cittadini di paesi terzi, ma anche tutti i cittadini europei.
Il 6 aprile 2016 la Commissione presenta la proposta legislativa, sotto forma di due Regolamenti, attualmente ancora in discussione. Per il momento Smart Borders si occupa solo dei cittadini non UE.
Il 27 febbraio 2017 la Commissione libertà civili del Parlamento europeo approva il suo parere, raccomandando di assicurare il pieno rispetto dei diritti fondamentali dei cittadini e della loro dignità durante i controlli biometrici, e suggerendo di ridurre il termine temporale di conservazione dei dati da 5 a 2 anni. Nel marzo del 2017 iniziano i dialoghi con il Consiglio e la Commissione. I negoziati dovrebbero concludersi entro la fine dell’anno.
Il 26 luglio 2017 la Corte europea di Giustizia torna sulla Data Retention stabilendo che la condivisione dei dati tra UE e Canada non rispetta i criteri di “necessità e proporzionalità” essenziali per una restrizione del diritto fondamentale dei cittadini alla tutela dei dati personali.
Le criticità dello Smart Borders
Uno studio commissionato dal Parlamento europeo evidenzia le criticità del pacchetto Smart Borders, nonostante le modifiche apposte dalla Commissione al progetto del 2013. È sintomatico che il pacchetto nasca con riferimento alla mobilità dei viaggiatori e poi ritrovi nuova linfa con gli attentati del 2015 e l’aumentato flusso migratorio.
Dobbiamo, infatti, osservare, come ha rilevato il Supervisore Europeo, che una cosa è la gestione dei flussi dei viaggiatori, ben altra cosa è l’attività di prevenzione e repressione dei reati. Smart Borders nasce nell'ambito della prima attività, e questo è chiaramente evidenziato nella proposta e nella comunicazione del 2011, dove si discute ampiamente dei vantaggi economici (e di riduzione di personale umano) dell’uso delle nuove tecnologie. Ma la proposta del 2016 sembra essersi riciclata nella prospettiva della tutela della sicurezza dei cittadini a causa dei flussi migratori e del terrorismo internazionale, con una confusione di finalità che crea non poche perplessità. Insomma, Smart Borders è una soluzione in cerca di un problema.
La questione essenziale è il mutamento di finalità. La proposta del 2013 non prevedeva l’accesso ai dati delle agenzie di sicurezza, ma solo una revisione dopo 2 anni della normativa. Quella del 2016 prevede l’accesso per prevenzione e repressione di atti terroristici e gravi crimini, ma è legato a una finalità secondaria. Occorrerebbe valutare quanto sia compatibile con la finalità primaria. Se l’obiettivo di Smart Borders è semplificare il passaggio delle frontiere, non si comprende su quale base giuridica, poi, i dati raccolti potranno essere utilizzati per la prevenzione e repressione dei reati.
Altra questione importante nasce dal progetto pilota. Di fatto il test non fa altro che provare sul campo la soluzione preferita dalla Commissione che viene comparata con una soluzione “no smart borders”, senza alcun raffronto con soluzioni alternative. Quindi, appare solo un modo per supportare le idee preconfezionate della Commissione.
Lo studio commissionato dal Parlamento analizza anche i costi, notando che i 1300 milioni iniziali sono scesi a 480. Ma tale modifica dipende principalmente dal fatto che i tempi di attuazione sono stati ridotti, senza motivo apparente, di 2 anni.
Infine, evidenzia anche le problematiche inerenti i kiosk automatizzati piazzati ai varchi, strumento essenziale nei piani della Commissione, che nella fase di test avrebbero mostrato notevoli discrepanze nell'efficienza e nei risultati, in particolare tra varchi di terra e mare. Secondo il rapporto, più della metà di coloro che hanno risposto al sondaggio dopo il test pilota ritengono che non gli sarà possibile passare i varchi in caso di dati non corretti o mancato funzionamento delle apparecchiature di autenticazione, e si preoccupano delle difficoltà per correggere gli errori nei dati. Oltre i due terzi chiedono di escludere i bambini dalla scansione delle impronte.
Insomma, nonostante le note positive del rapporto finale, le risposte al sondaggio evidenziano numerosi dubbi da parte dei cittadini, per cui non sembra che essi (e in particolare asiatici e africani) siano poi così “comfortable” con questi varchi automatizzati.
A more granular reading of results for this question also shows that respondents from Asia and Africa are the most likely to consider any situation involving biometrics as humiliating, which could suggest that the degree of ‘comfort’ with biometrics and their impact on human dignity might also be tied to other and more widespread experiences of racial discrimination in the European context, which could be less the case for travellers from North America and Europe
(estratto dallo studio commissionato dal Parlamento europeo)
Ma, soprattutto, il fatto che una tecnologia sia comunemente accettata (e non pare sia così), non vuol dire che sia compatibile con la tutela dei diritti fondamentali dei cittadini. In tale prospettiva occorre analizzare la proporzionalità delle misure previste dal pacchetto Smart Borders con riferimento agli obiettivi perseguiti.
Le finalità sono:
1) Semplificare la gestione delle frontiere.
2) Introdurre un controllo dei migranti e irregolari.
3) Rafforzare la sicurezza interna.
Compatibilità con i diritti fondamentali
Come detto, il pacchetto Smart Borders nasce con l’intento di sostituire la registrazione manuale dei visti con un controllo automatizzato, che di fatto delega parte dei compiti della guardia di frontiera al viaggiatore. La proposta in sé tende ad auto-giustificare la propria esistenza, in quanto con l’abolizione dei visti sui passaporti le autorità consolari dovranno necessariamente accedere al sistema di Entrata/Uscita (EES) per verificare la “storia” dei viaggiatori. La moltiplicazione degli enti che potranno accedere al database aumenta i rischi di violazioni della privacy dei cittadini.
Per quanto riguarda il secondo obiettivo, mancano le prove che l’introduzione dell’EES comporterebbe una migliore gestione degli irregolari e comunque l'ipotetico aumento di quelli trovati porterebbe semmai ad un aumento dei costi di lavoro per i servizi di immigrazione e i tribunali, sconfessando quanto sostiene la Commissione in termini di risparmio economico. In ogni caso la raccolta e conservazione per 5 anni delle impronte digitali appare sproporzionata rispetto all'obiettivo.
Inoltre, l’EES tratta tutte le persone allo stesso modo, senza diversificare a seconda del rischio che diventino irregolari (cioè rimangano nel territorio dell’Unione oltre i termini dell’autorizzazione).
Con riferimento al terzo obiettivo, anche qui mancano dati a supporto del fatto che l’introduzione dell’EES aumenterebbe la sicurezza interna. È vero che al momento non tutti i soggetti che varcano i gate europei sono registrati nei database di informazione dell’Unione, ma se l’idea è di utilizzare l’EES per colmare le lacune di detti database occorre che il sistema sia compatibile con i diritti fondamentali dei cittadini.
A questo proposito è pacifico che un sistema che raccoglie una grande quantità di dati biometrici (cioè dati sensibili) ha un notevole impatto sulla privacy dei cittadini. Secondo la Corte europea dei diritti dell’uomo (caso S. and Marper v. UK), la gestione delle impronte digitali costituisce un rischio per la vita privata degli individui. Tali dati, infatti, non solo portano all'identificazione personale dell’individuo, ma anche (nel caso dell’EES) a conoscere le abitudini di viaggio con rischi di profilazione.
Sempre la CEDU ha sostenuto che una raccolta generalizzata, indiscriminata, di tali dati sensibili e il successivo utilizzo anche a fini di prevenzione e repressione dei reati, in assenza di informazioni agli interessati, porta i cittadini a ritenersi soggetti di una costante sorveglianza.
Altro punto è il consenso. Considerando che i cittadini non UE sarebbero impossibilitati a entrare nel territorio dell’Unione se non acconsentono al trattamento, il consenso non può considerarsi libero. In assenza di consenso occorre una base giuridica valida per la raccolta e il trattamento delle impronte digitali.
Secondo la giurisprudenza della Corte di Giustizia europea, perché una limitazione dei diritti sia proporzionata occorre anche un effettivo rimedio, inteso come possibilità di ricorso ad un giudice o ente amministrativo indipendente. Nel caso specifico vi è solo la possibilità di esercitare il diritto di accesso e correzione dei dati.
Infine, il periodo di conservazione dei dati, fissato a 5 anni (piuttosto che i 181 giorni della proposta del 2013) appare decisamente sproporzionato e non giustificato. La Commissione giustifica tale periodo con riferimento alla ricerca degli irregolari e al fatto che le autorità consolari dovranno accedere al database EES. In realtà l’accesso da parte delle autorità consolari è imposto proprio dal sistema di entrata/uscita (che abolirà i visti sui passaporti), per cui un più esteso periodo di conservazione dei dati è conseguenza proprio dell’introduzione del sistema EES, che così finisce per auto-giustificarsi.
Ulteriori critiche sono sollevabili con riferimento all’utilizzo dei dati da parte delle autorità investigative. L’uso dei dati a fini di prevenzione e repressione dei reati non appare giustificato in nessuna parte della proposta. I dati consentono solo di stabilire la presenza di persone all'interno del territorio Schengen, e niente di più, per cui non si spiega quale sia la loro utilità a fini investigativi. Il solo fatto che siano a disposizione non giustifica la loro utilizzabilità, altrimenti qualsiasi raccolta massiva di dati finirebbe per essere giustificata.
Infine, l’accesso ai dati da parte delle autorità investigative è ammesso “if necessary in a specific case”. L’accesso è autorizzato se esiste un ragionevole motivo che possa contribuire alla prevenzione o repressione di reati. Il ragionevole motivo consiste in un sostanziale sospetto che il presunto autore o la vittima di un atto terroristico o grave reato sia inserito nell’EES. Il tutto appare estremamente generico e ambiguo, consentendo l’accesso all’EES in maniera quasi indiscriminata. Invece, l’accesso dovrebbe essere mirato e relativo a specifiche persone sospettate di gravi crimini.
In breve, esistono numerosi elementi che evidenziano come la proposta legislativa della Commissione manchi dei requisiti richiesti dalla Corte di Giustizia nel momento di invalidare la Direttiva Data Retention, in merito alle limitazioni dei diritti dei cittadini. Se una base legale esiste, comunque la proposta appare sproporzionata in molti punti e non strettamente necessaria (quando si auto giustifica) con riferimento all’obiettivo della gestione semplificata delle frontiere e della prevenzione e repressione dei reati. Per questi ed altri motivi, lo studio del Parlamento conclude sostenendo che la proposta legislativa non può essere approvata.
Gli obiettivi previsti si possono raggiungere, secondo lo studio del Parlamento, utilizzando documenti elettronici con chip sui quali sono caricati i dati biometrici (solo il volto, per il principio di minimizzazione dei dati), oppure, in caso contrario, tramite controllo manuale delle guardie agli ingressi. La conservazione di tali dati per 181 giorni è più che sufficiente.
Identità digitali
Il punto fondamentale è che l’utilizzo di dati biometrici (volto) caricati (o stampati) sui passaporti appare proporzionato e necessario finché i dati rimangono nel passaporto, e non sono utilizzabili per altri scopi, ma la centralizzazione del database di dati biometrici e la sua interconnessione con altri database con possibilità di accesso ad essi, finisce per andare ben oltre, sconfinando nella violazione dei diritti fondamentali dei cittadini.
L’interconnessione con gli altri database del sistema europeo (SIS e VIS) comporta un aumento del rischio di violazione dei diritti dei cittadini, in particolare nel momento in cui i database nascono per scopi differenti, determinando tale interconnessione la possibilità di uso per scopi diversi da quelli previsti al momento della raccolta, con violazione del principio di finalità. Il tutto a fronte di un costo decisamente elevato.
Oggi ci troviamo in un momento storico particolare. L’indignazione verso la sorveglianza di massa dell’NSA è ormai quietata, e l’Europa ne approfitta, con alcuni Stati (in primis la Francia) che avviano progetti legislativi improntati all'espansione del monitoraggio dei cittadini. L’EES nasce per i cittadini non-UE, ma una volta avviato il progetto basterà ben poco per estenderlo (come da proposta francese) a tutti i cittadini europei. Ma non è solo questo.
Di recente la Commissione europea ha presentato le linee guida per facilitare l’impiego di identità digitali (eIDAS) fornite dai governi come chiave di accesso alle piattaforme online. Per capirci lo SPID (il sistema pubblico di identità digitale per l'accesso ai servizi online della pubblica amministrazione) è una identità eIDAS, ma siccome queste identità digitali non stanno decollando, la Commissione vuole ampliare la base di utilizzo riciclandole come sistema di accesso ai grandi gate di Internet (Facebook, Google, ecc.). In questo modo potrebbe esserci il rischio di un collegamento certo tra l’identità online e l’identità fisica.
Eventualmente approfondiremo le criticità dell’utilizzo delle identità eIDAS in altra occasione, qui basta far presente che esse potrebbero essere collegate all’adozione di strumenti preventivi di gestione dei contenuti (filtri) da parte delle piattaforme online, come previsto dalla Direttiva Copyright in discussione e da altre norme europee in relazione a diverse categorie di contenuti (es. fake news).
Inoltre, un Regolamento del 2015 sull'interoperabilità dei framework prevede un set di dati minimo, tra i quali gli identificatori univoci, cioè vuol dire che ai gate di ingresso dovrebbero essere fornite anche tali identità digitali.
Profilazione di massa
Il quadro di fondo appare sempre più nitido, la moltiplicazione dei database che raccolgono dati dei cittadini, interconnessi tra loro e collegati all’identità fisica dell’individuo.
Oggi la sorveglianza sta diventando sempre più un’estesa operazione di data mining, di estrazione dei dati a fini di profilazione dell’intera popolazione. Algoritmi valuteranno le attività abitudinarie degli individui in modo da estrapolare modelli significativi per l’individuazione preventiva in termini statistici di soggetti “predisposti” a delinquere.
Nella fantascienza si chiama “pre-crimine”, ma è una realtà già oggi. È la valutazione degli individui, sulla base di algoritmi (dei quali disconosciamo assolutamente i parametri di ingresso), che può generare gravi rischi di criminalizzazione dei comportamenti non comuni, antisociali e di mero dissenso.
Quale sarà il prossimo passo?
Il 3 ottobre 2017 il segretario di Stato britannico annuncia nuove sanzioni contro la radicalizzazione dei terroristi. Anche chi guarda (più di una volta) contenuti inneggianti al terrorismo rischierebbe 15 anni di carcere. La Germania ha approvato leggi che condannano la pubblicazione di “fake news” (ovviamente, quando si parla di fake news non sono mai comprese le notizie pubblicate da governi o agenzie governative).
Foto in anteprima via bigthink.com