g-docweb-display Portlet

Problematiche connesse alla protezione dei dati personali rispetto al fenomeno dell’immigrazione - Audizione del Pres. Antonello Soro, 3 marzo 2015

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Problematiche connesse alla protezione dei dati personali rispetto al fenomeno dell´immigrazione

Audizione del Presidente Antonello Soro presso il Comitato parlamentare di controllo sull´attuazione dell´accordo di Schengen, di vigilanza sull´attività di Europol, di controllo dell´accordo di Schengen e vigilanza in materia di immigrazione
3 marzo 2015

(testo dell´intervento)

 

1. Privacy e sicurezza: sinergia, non antitesi

Desidero anzitutto ringraziarvi per l´occasione offertami, di fornire al Comitato un punto di vista forse diverso rispetto a quello degli altri auditi.
Se non altro perché, diversamente da loro, il fine della nostra azione è la tutela di un interesse eminentemente individuale: il diritto fondamentale di ciascuno alla protezione dei propri dati personali.

Diritto che, come avrò modo di spiegare, è solo apparentemente in antitesi con interessi collettivi quali la sicurezza pubblica, l´accertamento e la prevenzione dei reati; essendo invece legato ad essi da una sinergia assai più profonda.
Cercherò di rispondere alla sollecitazione della Presidente partendo da una considerazione generale.

La protezione dei dati personali è essa stessa essenziale presupposto non solo della cyber security ma, più in generale della sicurezza pubblica nell´epoca dell´internet di ogni cosa.

Se, infatti, le banche dati strategiche su cui si fonda l´intero sistema della sicurezza pubblica e della prevenzione non sono adeguatamente protette, sono le nostre democrazie (e non soltanto i "pezzi di vita" racchiusi in quegli archivi), a divenire vulnerabili.

Nelle carenze delle misure di protezione dei dati e dei sistemi (pubblici e privati) si insinua, infatti, l´azione del crimine organizzato e del terrorismo, che sempre più si avvalgono del patrimonio informativo di cui dispongono (soprattutto) le amministrazioni, ormai assurte, secondo gli analisti, a obiettivi preferenziali di attacchi cibernetici dimostrativi quando non addirittura terroristici

E questo, soprattutto in ragione dell´asimmetria tra accrescimento del potere informativo delle pp.aa. e strategie di sicurezza che ha caratterizzato il processo d´informatizzazione, in particolare, nel nostro Paese.

Per questo, proteggere i dati personali (e i relativi archivi) da un 11 settembre digitale è il primo presupposto per la sicurezza individuale e collettiva, che necessita dunque non solo di accorgimenti adeguati ma anche di una complessiva razionalizzazione del nostro sistema informativo.

Ridurre "la superficie d´attacco", evitando raccolte massive di dati che finiscono poi con l´essere inutili perché ingestibili è, in questo senso, una condizione indispensabile per la sicurezza pubblica, che va garantita con il ricorso a strumenti investigativi capaci di selezionare adeguatamente gli obiettivi sensibili e non certo con la pesca a strascico nelle vite degli altri :come ha ribadito la Corte di giustizia nella sentenza sulla data retention.

Il valore aggiunto che la protezione dati può dare all´azione antiterrorismo consiste dunque  nella valorizzazione della natura mirata e selettiva delle indagini e nell´esigenza di accrescere la capacità difensiva dei nostri sistemi informativi, rappresentandone un vero e proprio fattore abilitante.

Questa è la "cifra" che caratterizza l´azione del Garante nell´attività di complessiva "messa in sicurezza" dei centri, privati e pubblici, di raccolta dei dati personali e delle stesse infrastrutture di rete su cui viaggiano i flussi informativi tra amministrazioni.

Mi riferisco, ad esempio, all´attività svolta rispetto a banche dati strategiche per la sicurezza pubblica quali, appunto, quelle incardinate presso il Dipartimento di p.s. del Ministero dell´interno: dalla costituenda Banca dati nazionale del d.n.a. al Ced interforze.

E sotto questo profilo rilevantissimi sono i sistemi informativi funzionali agli adempimenti previsti dall´accordo di Schengen e dalla Convenzione di Dublino, quali la banca dati nazionale dei permessi di soggiorno comprensiva dei dati di tutti i migranti presenti sul territorio e che si affianca al flusso informativo diretto ad Eurodac, relativo ai dati (anche biometrici) di richiedenti asilo e stranieri fermati alla frontiera o irregolari.

Particolarmente importante è, poi, la sezione nazionale del sistema informativo Schengen(N-S.i.s ) , rispetto alla quale il Garante è designato Autorità di controllo incaricata di verificare la correttezza del trattamento effettuato; attività che ha portato a una serie di provvedimenti prescrittivi volti a rafforzare il livello di sicurezza dei sistemi.

Allo stesso modo, devono essere considerati non come scomodi adempimenti ma, invece, quali contributi al miglioramento della sicurezza complessiva dei sistemi (e, quindi, della sicurezza pubblica) i controlli sul rispetto della disciplina privacy da parte di agenzie come Europol.

Attraverso l´innalzamento del livello di protezione dei dati e dei sistemi di cui Europol si avvale, infatti, si realizza un complessivo miglioramento della capacità difensiva della Ue, rispetto al rischio di attacchi terroristici o comunque dell´azione del crimine organizzato.

Il vice Direttore Orlandi, in questa sede, avrebbe osservato che "il sistema Schengen è solo a livello basic e quindi potrebbe essere facilmente intercettato. Se pensate che gli avversari potenziali di questi sistemi sono Paesi e organizzazioni che possono anche avere a libro paga matematici russi, esperti di crittografia, vi rendete conto come avere una rete a livello confidential sia senz´altro un asset interessante".

Del resto, il data breach verificatosi nel 2013 al SIRENE danese dimostra come questi sistemi siano vulnerabili.

Resta comunque il rischio generale di ogni sistema informatico anche se a livello europeo c´è oggi una nuova attenzione ed è stata creata una agenzia EU Lisa proprio per la sicurezza dei sistemi informatici SIS, VIS, Eurodac.

E questo aspetto dovrà essere tenuto ancor più in considerazione con il nuovo regolamento su Europol, che configura tale ente come piattaforma d´interscambio di informazioni essenziali per la cooperazione di polizia (e giudiziaria mediante il collegamento a Eurojust) tra gli Stati membri, con un accrescimento del potere informativo che dev´essere accompagnato da adeguate garanzie.

Del resto, in un contesto in cui già oggi, nel SIS vi sono più di 880.000 nominativi di persone (della maggior parte delle quali si vieta l´ingresso nella Ue), è evidente come il problema non sia tanto l´ostacolo all´acquisizione dei dati quanto la loro efficace analisi e gestione: il fattore umano, appunto.

2. Privacy, intelligence e "fattore umano"

Nella stessa logica di contribuire a elevare i livelli di sicurezza dei sistemi e, con essi, dei dati ivi contenuti, il Garante ha siglato con il Dis un protocollo d´intenti (cui accennava il sottosegretario Minniti) per disciplinare alcune procedure informative specifiche e innovative- perché di carattere sistematico- relative alle garanzie osservate dai Servizi nei trattamenti di dati personali da loro svolti, soprattutto a seguito dell´attribuzione alle Agenzie della specifica competenza sulla cybersecurity.

Tale forma di esercizio dei poteri dell´Autorità è maggiormente corrispondente alle peculiarità che caratterizzano oggi le attività delle Agenzie e i loro poteri di "accesso sistematico", che se non adeguatamente esercitati (con l´indispensabile "fattore umano") possono davvero degenerare in una forma di sorveglianza totale, dannosa per i cittadini e non utile alla sicurezza pubblica (lo ha ben sottolineato la sent. 31/2013 della Corte tedesca).

Si tratta del primo caso, in Europa, di disciplina di procedure informative a carattere strutturato tra Autorità di protezione dati (tipicamente estranee al circuito del rapporto fiduciario) e organi – quali quelli d´intelligence – tradizionalmente sottratti a controlli esterni.

In questa direzione dovrebbe condurre il passaggio sull´esigenza di un pieno controllo "giudiziario e democratico delle politiche antiterrorismo e dell´attività di intelligence", contenuto nella risoluzione del Parlamento europeo dell´11 febbraio scorso.

3. La direttiva PNR, tra terrorismo e spazio di libertà, sicurezza e giustizia

Un equo bilanciamento tra privacy e sicurezza può, del resto, stabilirsi anche rispetto alla disciplina del PNR, ovvero della cessione, da parte delle compagnie aeree alle autorità inquirenti, delle informazioni riguardanti i passeggeri e le relative prenotazioni (c.d. PNR).

Il testo originario della direttiva non aveva trovato, nel 2011, condivisione nel Parlamento europeo e nel Wp art. 29 (organo di raccordo delle Autorità di protezione dati dei vari Stati membri), i quali avevano invitato la Commissione a valutare alternative meno invasive.

Pertanto - e soprattutto dopo il test di proporzionalità imposto anche agli strumenti investigativi dopo la sentenza Digital Rights- va oggi attentamente valutata la possibilità di ricorrere a mezzi alternativi altrettanto efficaci; aspetto sul quale tuttavia si registrano posizioni diverse.

A fronte di chi avanza dubbi sulla reale utilità investigativa di questi dati, altri invece sottolineano come soltanto il PNR coniugherebbe funzione reattiva (per l´accertamento di un reato commesso) a funzione proattiva e preventiva, tale cioè da impedire delitti futuri.

Solo i dati PNR potrebbero, infatti individuare soggetti non noti da sottoporre ad ulteriore verifica, a differenza dei dati AP o raccolti mediante i sistemi SIS (sistema informativo Schengen) e VIS (sistema informazione visti), che riguardano persone attinte già da precedente segnalazione o comunque informazioni utili alla gestione delle frontiere.

In ogni caso, anche qualora il test di residualità venisse superato, la direttiva PNR dovrebbe assicurare  alcune modifiche essenziali rispetto al testo originario del 2011, in particolare:

- restringendo il novero dei procedimenti nell´ambito dei quali acquisire tali dati a quelli per terrorismo e criminalità organizzata transnazionale (superando dunque le più ampie categorie dei serious crimes e dei delitti per i quali è ammesso il mandato d´arresto europeo;

-riducendo il termine di conservazione dei dati;

Secondo il relatore ll termine di conservazione sarebbe di 30 giorni in chiaro + 5 anni per terrorismo  e 4 per alcuni gravi reati con dati "mascherati"

-subordinando il trasferimento dei dati a Paesi terzi all´autorizzazione dell´a.g. o dell´Autorità di protezione dati.; -

-limitando le informazioni ai soli voli extra-Ue.

-ricorso esclusivo al metodo push e non pull, impedendo cioè agli Stati l´accesso diretto ai database delle compagnie

E questo, ferme restando le previsioni già oggi contenute nel testo, sui diritti dell´interessato e il divieto di profilazione sulla base di dati sensibili

In favore della direttiva deporrebbe l´esigenza di armonizzare le varie normative nel frattempo introdotte autonomamente dai vari Stati membri, superandone le difformità che non solo ostacolano la cooperazione di polizia e giudiziaria in questa materia, ma rischiano oltretutto di determinare disparità di trattamento nell´esercizio di un diritto fondamentale, quale quello alla protezione dei dati personali, che con il nuovo quadro giuridico europeo attualmente in discussione riceverà ulteriori garanzie.

Di fronte a quest´ipotesi e a quella, ancora più anacronistica, della chiusura dello spazio Schengen, dovremmo ricordare che un´adeguata legislazione sulla protezione dati è stata sempre la condizione posta ai vari Governi (il nostro per primo) per farvi parte.

A dimostrazione, dunque, della sinergia (tutt´altro che antagonismo!) tra protezione dati e sicurezza, tanto più in un mondo che, per fortuna, ha visto cadere ormai ogni frontiera.

Scheda

Doc-Web
3766836
Data
03/03/15

Tipologie

Audizioni e memorie