Perché lo scandalo americano Datagate ci riguarda da vicino #NSA
9 min letturaAggiornamento 14/06/2013 - 20:58
La notizia dell'esistenza di PRISM, il sistema di monitoraggio utilizzato dall'NSA americana per raccogliere dati e metadati dai sistemi di comunicazione elettronica, che sarebbe stato adoperato anche per raccogliere dati dei cittadini europei, ha creato forte allarme nei membri della Commissione europea. Il 10 giugno il Commissario alla Giustizia Viviane Reding ha inviato al procuratore generale americano Eric Holder una lettera molto critica chiedendo spiegazioni dettagliate: la raccolta riguarda anche cittadini europei? quale è il volume dei dati raccolti? la raccolta riguarda singoli cittadini oppure è una raccolta di massa? il programma opera sotto il controllo della magistratura? come sono tutelati i cittadini europei? e soprattutto gli europei hanno uguale tutela degli americani?
Queste le domande poste dalla Reding che ha precisato come in Europa anche in presenza di una questione di sicurezza nazionale non è ammissibile calpestare i diritti fondamentali dei cittadini. I diritti fondamentali non sono negoziabili!
A seguito della lettera, oggi, venerdì 14, si è avuto un incontro a Dublino tra membri della Commissione europea e il procuratore generale Holder. Quest'ultimo ha garantito che la raccolta riguarda i cittadini statunitensi, che si tratta di soggetti indagati per terrorismo e crimini informatici, che la raccolta riguarda solo i metadati e non il contenuto dei messaggi elettronici, ed infine il programma si basa su decisioni giudiziarie ed è sotto il controllo del Congresso americano.
Il Commissario Reding ha preso atto delle risposte del procuratore generale. Nel breve termine sarà comunque convocata una riunione di esperti Usa e dell'Unione europea al fine di chiarire tutti gli aspetti della vicenda.
Seguiranno successive valutazioni da parte della Commissione europea.
La situazione è particolarmente delicata, soprattutto in considerazione del fatto che sono in corso negoziati tra Usa ed Unione europea. Il rispetto dei diritti fondamentali dei cittadini europei, come puntualizzato nella lettera del Commissario Reding, diventa quindi fondamentale per mantenere la fiducia e una corretta cooperazione tra le parti.
Come la Commissione ha chiarito, tra Usa e UE esistono canali ufficiali di assistenza giudiziaria, per cui non sono ammissibili accessi diretti ai dati dei cittadini europei saltando la trafila legale. Tentativi di questo tipo potrebbero in teoria portare il Parlamento Europeo a sospendere gli accordi tra Usa e Ue per il trasferimento di dati tra i due continenti, con la possibile conseguenza -considerata la normativa PNR che consente lo screening dei passeggeri europei prima di entrare negli Usa e che si basa sulla condivisione dei dati tra i due continenti- di un blocco temporaneo dei voli verso gli Usa.
-----------------------
Datagate
Le novità che si susseguono incessantemente sul recente scandalo americano, cioè il monitoraggio a tappeto delle comunicazioni elettroniche, avranno sicuramente forti ripercussioni anche al di qua dell'Atlantico.
Vero è che la sorveglianza digitale dell'NSA avrebbe avuto ad oggetto i dati in transito verso gli Usa e dagli Usa, ma la quasi totalità dei dati dei cittadini europei è conservata, trattata, gestita e monetizzata da aziende americane con server posizionati negli Usa, per cui appare evidente che la gran parte dei dati di noi europei è comunque in transito sul suolo americano e quindi soggetta ad un possibile controllo da parte dell'intelligence Usa.
Con il pretesto della sicurezza, l'NSA può, quindi, avere accesso ai dati sensibili di istituzioni, banche, aziende e cittadini europei che usano servizi o cloud di un fornitore statunitense.
Le implicazioni potrebbero essere devastanti. Secondo la Commissione europea l'investimento nel settore tecnologico e principalmente del cloud computing potrebbe essere di circa 45 miliardi per il 2020, con un impatto sul PIL pari a 957 miliardi e 3,8 milioni di posti di lavoro. Quali aziende beneficiano dallo scandalo nel quale è rimasta implicata l'amministrazione americana? Nel momento in cui un'azienda europea dovrà scegliere un cloud, a quello di una azienda Usa, che non può garantire uno standard di sicurezza adeguato essendo soggetta alla raccolta indiscriminata dei dati da parte dell'NSA, preferirà quello di un'azienda europea che potrà, invece, garantire uno standard di sicurezza europeo.
Infatti, mentre negli Usa manca una legislazione sulla privacy federale, e vi sono varie leggi (FISA e Patriot Act) che permettono misure di spionaggio, in Europa la situazione è alquanto differente. L'Unione, infatti, ha già un quadro giuridico completo, anche se non recentissimo, e le misure di sorveglianza sono soggette a tutele costituzionali. La protezione dei cittadini è garantita nelle carte fondamentali dell'Unione, come la Convenzione europea sui diritti dell'Uomo, nonché le Costituzioni dei singoli Stati, carte che proteggono la persona in sé indipendentemente dalla sua cittadinanza. Di contro la Costituzione americana protegge solo i cittadini statunitensi, così consentendo alle aziende e istituzioni americane il saccheggio dei dati degli europei anche più degli stessi americani.
Riforma privacy europea
Il dibattito sulla necessità di adeguare le norme in materia di privacy, a causa dell'evoluzione tecnologica, è partito in Europa nel 2010, e nel dicembre 2011 la Commissione europea ha pubblicato la prima bozza del progetto di riforma, che dovrebbe prendere la forma di un Regolamento.
Da quel momento, purtroppo, tale proposta normativa ha subito da parte dell'industria della tecnologia, delle multinazionali del web, della stessa amministrazione Usa (ma anche di parte dalle industrie europee, ad esempio dall'EBF, l'European Banking Federation), pressioni lobbistiche senza precedenti, come testimoniato dal Commissario Reding, da superare ampiamente il lobbismo a supporto di ACTA.
L'intenzione, palese, è di indebolire il Regolamento e rendere più facile alle aziende americane la raccolta e l'utilizzo dei dati personali di 500 milioni di cittadini europei a fini di profitto.
Cosa prevede la riforma della normativa in materia di privacy? Garantire una maggior tutela dei dati personali dei cittadini europei, ridurre l'eccessiva burocratizzazione degli adempimenti a carico delle aziende e semplificare le norme. I cardini sono due: trasparenza e semplificazione.
La trasparenza riguarda gli utenti di internet. Da recenti sondaggi si è scoperto che il 70% dei cittadini europei sono piuttosto restii nell'usare i servizi online perché non hanno un'idea chiara di quali sono e che fine fanno i dati raccolti dalle aziende. Insomma, temono di perdere il controllo dei loro dati personali.
L'Unione europea intende, quindi, intervenire in modo da far riacquistare fiducia nei servizi online, presupposto indispensabile per la realizzazione del mercato digitale europeo, un mercato unico che sfrutti massicciamente la rete internet, consentendo un risparmio alle aziende e alle amministrazioni, e che rilanci finalmente l'economia europea da lungo fiaccata dalla crisi.
In tema di trasparenza, la direttiva del 1995 chiedeva solo un consenso non ambiguo, “inequivocabile”, laddove il termine era spesso frainteso o semplicemente ignorato. In tal modo le aziende del web si ritengono autorizzate a raccogliere i dati dei cittadini fino a che essi non esplicitano una volontà opposta. È ovvio che nella maggior parte dei casi i navigatori del web non sono a conoscenza del fatto che un sito sta raccogliendo i loro dati, complici anche le informative privacy redatte con termini generici e vaghi, e quindi non pongono in essere alcuna attività per farne cessare la raccolta.
La riforma europea impone, invece, un consenso preventivo, esplicito, specifico ed informato, vietando l'uso dei dati personali se non si è ottenuto prima il consenso dell'utente (privacy by default), consenso che deve essere preceduto dall'informazione corretta e completa di quali dati vengono raccolti e come verranno utilizzati.
Il “silenzio assenso” non è più ritenuto valido a fini di raccolta dei dati.
Dall'altro lato la riforma europea semplifica gli adempimenti burocratici delle aziende che operano in rete, riducendo gli oneri amministrativi, unificando le norme e le procedure, anche quelle per le contestazioni, con ciò garantendo alle multinazionali un risparmio valutato in circa 2 miliardi di euro.
Le norme, infine, dovranno essere anche flessibili, in quanto destinate ad essere applicate a tutte le aziende che trattano dati di cittadini europei, indipendentemente dalla loro sede. Ed è proprio questo principio a far scattare la reazione delle multinazionali Usa.
Un documento “anonimo”
Pochi giorni dopo la pubblicazione della prima bozza di Regolamento da parte della Commissione europea, inizia la campagna di pressioni lobbistiche verso i livelli più alti della Commissione. Il fulcro è un documento che, mischiando falsità evidenti a valutazioni del tutto strumentali, critica aspramente le nuove regole europee tacciandole di essere anacronistiche e contro l'innovazione in rete.
Quel documento, che stranamente non è su carta intestata e non contiene alcuna informazione su chi lo abbia scritto -evidentemente gli estensori tenevano particolarmente alla “loro” privacy- si rivela la summa della campagna contro il Regolamento europeo sulla privacy.
Le multinazionali del web, i cui profitti dipendono in larga misura dalla quantità di dati personali che riescono a raccogliere, si scagliano contro la riforma, cercando di delegittimarla in tutti i modi, con la “sponda” dell'amministrazione Usa.
“Interoperabilità dei quadri”
Il documento “anonimo” del Dipartimento del Commercio Usa dipinge la riforma UE come un qualcosa di reazionario che mira a stravolgere l'intera rete impedendone un corretto funzionamento. Secondo il documento la privacy non dovrebbe essere un esercizio di armonizzazione giuridica, quanto dovrebbe essere affrontata come “interoperabilità dei quadri”, come gli Usa hanno sempre fatto. Insomma: voi europei rischiate di fare un casino con internet che è un giocattolo costoso, fate come noi che l'abbiamo inventato!
Anche se il documento non chiarisce il contenuto di questa “interoperabilità”, risulta evidente il riferimento a soluzioni cooperative tra le parti in causa, più o meno come previsto nei vari trattati (ACTA, TPP, ecc...) che da qualche anno a questa parte gli Usa cercano di imporre al resto del mondo.
Quindi, non dovrebbero essere le autorità di polizia o gli specialisti a stabilire degli standard, delle regole comuni, quanto piuttosto si deve trattare di un'assunzione di responsabilità sull'uso dei dati delle parti in causa. Quali? Ma ovviamente le aziende, quelle stesse che più di una volta sono state pescate con le mani nel sacco a violare i diritti dei cittadini, salvo trincerarsi dietro improbabili bug del software di turno.
Evidentemente gli estensori del documento preferiscono il mosaico caotico di centinaia di accordi multilaterali tra le parti in causa, con evidenti ricadute sulla certezza delle norme (e quindi maggiori possibilità di invocare a propria discolpa tale incertezza in caso di violazione), piuttosto che un approccio unico, coerente e semplificato.
Guerra commerciale USA-UE
La conseguenza della proposta di riforma è una vera e propria guerra commerciale tra Usa e Ue , che ha coinvolto non solo le aziende Usa, ma anche l'amministrazione americana, notoriamente tendente a confondere la politica estera con i profitti delle aziende americane, ed anche molte aziende europee. L'avvocato Ustaran, capo dell'ufficio privacy della Field Fisher Waterhouse, ha addirittura paventato la possibile chiusura dei servizi online gratuiti, come Facebook, se dovesse passare questa riforma in Europa!
Anche in Europa le critiche vengono un po' da tutte le parti. L'ICO, cioè l'equivalente del Garante per la privacy nel Regno Unito ha pubblicato una lettera che mette in guardia dai rischi di accelerare troppo il processo di riforma: una eccessiva velocità comporterebbe danni alla crescita, all'occupazione e alla competitività della UE.
E stiamo parlando di un processo che ormai dura da oltre due anni e mezzo!
Tra le altre argomentazioni contro il Regolamento privacy europeo ritroviamo le medesime giustificazioni che ascoltiamo in questi giorni in merito alle scorribande dell'NSA: occorre una raccolta più ampia a fini di prevenzione e repressione del crimine e del terrorismo internazionale.
Insomma la nuova normativa europea, se approvata, secondo il documento del Dipartimento del Commercio Usa, porterebbe il caos in rete, alimentando il terrorismo internazionale, determinando un crollo finanziario e favorendo la pedopornografia!
In realtà gli accordi multilaterali non sono mai stati in grado di realizzare un quadro regolamentare chiaro ed efficiente, basti pensare a ciò che è accaduto al Do Not Track standard, che già di per sé è meno tutelante rispetto alle norme in discussione al Parlamento europeo, e che comunque non viene accettato dalle industrie americane, laddove la sola a prenderlo in considerazione sarebbe la Microsoft (l'azienda il cui business è maggiormente slegato dal riutilizzo dei dati personali e ha quindi interesse a danneggiare i concorrenti che sfruttano massicciamente tali dati).
Le situazioni autoregolanti hanno evidentemente fallito, e hanno determinato solo una serie di abusi sia da parte delle aziende del web che della stessa amministrazione Usa. Invece l'economia digitale ha bisogno di riacquistare la fiducia dei cittadini nei servizi online.
4000 emendamenti
Al momento la Commissione per la protezione dei consumatori (IMCO) e la Commissione per l'industria (ITRE) hanno già espresso i loro pareri sulla proposta di riforma. IMCO ha proposto di modificare la parte sul consenso prevedendolo come “dipendente dal contesto”, invece che “esplicito”, nozione vaga e pericolosa come la precedente. ITRE invece propone di mantenere la definizione della direttiva del 1995.
Il dibattito si è adesso spostato nella Commissione per le libertà civili (LIBE), che dovrà dare il giudizio finale. Entro l'estate si dovrebbe avere la votazione, anche se è stata più volte rimandata. Gli oltre 4000 emendamenti presentati sono la testimonianza di quanto faccia paura una riforma che semplifica e rende più chiare le norme, riduce la burocrazia, e soprattutto finalmente garantisce maggior tutela ai cittadini europei. E molti di questi emendamenti non sono altro che un “copia e incolla”, cioè la pedissequa riproposizione delle istanze lobbistiche americane.
Fino ad oggi le lobby americane sembravano aver ottenuto il loro obiettivo, con una riforma decisamente più annacquata al punto da potersi ritenere anche meno tutelante rispetto a quella del 1995. Lo scandalo americano, il Datagate, potrebbe però aver riaperto i giochi.