Riportiamo la traduzione del documento stilato da EDRi il 9 febbraio
I principi di EDRi per derogare alla Direttiva ePrivacy allo scopo di rilevare materiale pedopornografico online (CSAM)
9 febbraio 2022
Con molti ringraziamenti ai membri della rete EDRi per il loro lavoro su questo documento, in particolare Bits of Freedom, Dataskydd.net, Digitalcourage, Digitale Gesellschaft, Foundation for Information Policy Research, IT-Political Association of Denmark e Privacy International
Sintesi
La scansione automatizzata delle comunicazioni private di tutti, in ogni momento, costituisce un’interferenza sproporzionata con l’essenza stessa del diritto fondamentale alla privacy. Può costituire una forma di sorveglianza di massa non democratica e può avere ripercussioni gravi e ingiustificate anche su molti altri diritti e libertà fondamentali.
L’obiettivo di EDRi è garantire che qualsiasi proposta dell’UE per rilevare materiale pedopornografico online (CSAM) sia in linea con gli obblighi dell’UE in materia di diritti fondamentali, in particolare che le misure siano legittime e oggettivamente necessarie e proporzionate all’obiettivo dichiarato. La sorveglianza o l’intercettazione di comunicazioni private o dei loro metadati per l’individuazione, l’indagine o il perseguimento di CSAM online deve pertanto essere limitata ai soli sospetti autentici nei confronti dei quali vi sia un ragionevole sospetto, deve essere debitamente giustificata e specificatamente giustificata e deve seguire le norme nazionali e dell’UE in materia di polizia , giusto processo, buona amministrazione e tutela dei diritti fondamentali.
Proponiamo 10 principi irrinunciabili per garantire che gli sforzi vitali per indagare e perseguire coloro che diffondono CSAM possano essere intrapresi in un modo che sia democratico, compatibile con i valori europei e quindi il più probabile per ottenere giustizia per le vittime. Ciò include gli Stati membri che prendono provvedimenti sulle numerose raccomandazioni esistenti per affrontare la CSAM.
Contesto politico
Nel luglio 2021, il Consiglio dell’Unione Europea ha raggiunto un accordo con il Parlamento Europeo per approvare una nuova legge, creando un’eccezione temporanea (deroga) da alcune parti della Direttiva ePrivacy del 2002.
La Direttiva ePrivacy (2002) è l’unico strumento dell’UE che contiene tutele specifiche per il diritto di tutti alla vita privata e alla riservatezza delle comunicazioni, come sancito dall’articolo 7 della Carta dei diritti fondamentali dell’UE (CFREU). Nel 2018, la rifusione del Codice europeo delle comunicazioni elettroniche (EECC) ha ampliato la definizione di “servizio di comunicazioni elettroniche”. Questa espansione ha fatto sì che da dicembre 2020 alcune regole della direttiva e-privacy si applichino ora a una gamma più ampia di servizi online.
Questo è stato il catalizzatore che ha spinto la Commissione Europea a proporre la deroga temporanea alla Direttiva ePrivacy, al fine di legalizzare la scansione volontaria in corso delle comunicazioni private da parte dei fornitori di servizi. La deroga scadrà ad agosto 2024 e la Commissione Europea intende sostituirla con una legge a lungo termine (prevista per marzo 2022).
Discussione del diritto UE e internazionale pertinente
Il diritto alla riservatezza delle comunicazioni (articolo 7, CFRUE) garantisce che tutti possano cercare assistenza sanitaria e legale, confidarsi con amici e familiari e costruire reti di supporto online senza indebite interferenze. Protegge i messaggi dei giornalisti e dei difensori dei diritti umani, salvaguardando le fonti su cui fanno affidamento per denunciare la corruzione e organizzarsi per il cambiamento sociale. In questo e altro modo, la privacy è una base per godere di quasi tutti gli altri diritti fondamentali. Come affermato dall’Alto Commissario delle Nazioni Unite (ONU) per i diritti umani, Michelle Bachelet:(1)
“il diritto alla privacy gioca un ruolo fondamentale nell’equilibrio di potere tra lo Stato e l’individuo ed è un diritto fondamentale per una società democratica”.
Ecco perché qualsiasi limitazione al diritto alla privacy deve essere basata sulla legge, servire uno scopo legittimo in una società democratica ed essere necessaria e proporzionata a tale scopo.
Privacy dei bambini:
Il diritto alla privacy è forse ancora più importante per i giovani, visto il profondo impatto che le violazioni possono avere sul loro sviluppo personale. Come l’ONU riconosce nel suo “Commento generale n. 25 sui diritti dei bambini in relazione all’ambiente digitale” del 2021, sviluppato in consultazione con 709 giovani, “[p]rivacy è vitale per il libero arbitrio, la dignità e la sicurezza dei bambini e per l’esercizio dei loro diritti” (¶67).(2) Il toolkit dell’UNICEF 2018 sulla privacy online dei bambini aggiunge:(3)
“La privacy delle comunicazioni dei bambini è minacciata quando i loro post, chat, messaggi o chiamate vengono intercettati da governi o altri attori”.
Il Commento Generale delle Nazioni Unite n. 25 fornisce anche diverse raccomandazioni sulla privacy dei bambini che sono molto rilevanti per la scansione delle comunicazioni private online:
- “Qualsiasi sorveglianza digitale dei minori, insieme a qualsiasi trattamento automatizzato associato dei dati personali, dovrebbe rispettare il diritto del minore alla privacy e non dovrebbe essere condotta di routine, indiscriminatamente o all’insaputa del minore […]; né dovrebbe aver luogo senza il diritto di opporsi a tale sorveglianza, in contesti commerciali e strutture educative e assistenziali, e si dovrebbe sempre prendere in considerazione i mezzi meno intrusivi disponibili per la privacy per raggiungere lo scopo desiderato. (¶75);
- “Le tecnologie che monitorano le attività online a fini di sicurezza, come dispositivi e servizi di localizzazione, se non implementate con attenzione, possono impedire a un bambino di accedere a una linea di assistenza o di cercare informazioni sensibili”. (¶76);
- “La protezione della privacy di un bambino nell’ambiente digitale può essere fondamentale in circostanze in cui i genitori o gli stessi tutori rappresentano una minaccia per la sicurezza del bambino o quando sono in conflitto sulla cura del bambino”. (¶77).
Corte di giustizia dell’Unione europea (CGUE):
Diversi casi alla CGUE hanno confermato che l’accesso generalizzato al contenuto delle comunicazioni elettroniche da parte delle autorità pubbliche viola l’essenza del diritto alla privacy. Si vedano, ad esempio, le sentenze di Digital Rights Ireland Ltd (C-293/12) (2014) e Maximilian Schrems (C-362/1) (2015). Questo sarà esplorato più in dettaglio nel nostro prossimo documento sulla proposta di deroga a lungo termine.
Il Regolamento Generale sulla Protezione dei Dati (GDPR):
Privacy by design e default significa che tutti dovremmo essere in grado di godere pienamente del nostro diritto alla privacy, fino al punto in cui esiste un motivo legittimo per limitare questo diritto. Tuttavia, la scansione automatizzata delle comunicazioni private di tutti capovolge questo principio. Tratta ognuno di noi come se fossimo sospettati di guardare o diffondere CSAM online e su questa base ci spia.
È anche importante notare che la deroga temporanea ePrivacy (2021) non fornisce una base giuridica, nemmeno per la scansione volontaria delle comunicazioni private. Ciò significa che, mentre la deroga esenta queste pratiche di scansione dalle norme della direttiva e-privacy, il regolamento generale sulla protezione dei dati (GDPR) si applica comunque. Il Parlamento europeo ha notato che tali pratiche di scansione potrebbero essere illegali ai sensi del GDPR.(4)
I 10 principi
Le misure per rilevare, indagare o perseguire la CSAM online devono sempre essere conformi agli obblighi nazionali e dell’UE in materia di diritti fondamentali. Come minimo, riteniamo che tutti e 10 i seguenti principi debbano essere rispettati cumulativamente, al fine di garantire che i principi di necessità e proporzionalità siano obiettivamente rispettati nella prossima legislazione CSAM:
- Nessuna sorveglianza di massa: la scansione generalizzata e automatizzata delle comunicazioni private di tutti, in ogni momento, è un’ingerenza fondamentalmente sproporzionata con il diritto alla privacy. Sia per rilevare CSAM che per altri scopi, tali pratiche non sono mai giustificabili in una società democratica. Di conseguenza, i fornitori di servizi non devono essere obbligati a condurre la scansione automatizzata generalizzata delle comunicazioni private;
- Gli interventi devono essere mirati sulla base del sospetto di livello individuale: qualsiasi intercettazione di comunicazioni private deve prendere di mira solo la persona o le persone indagate (non altri utenti del servizio), sulla base di un sospetto specifico, ragionevole, di livello individuale (es. di tutti gli utenti di un determinato servizio non possono essere considerati presi di mira). L’individuazione di un sospetto è ciò che giustifica la loro sorveglianza; individuarli non può essere un prodotto di una sorveglianza generalizzata;
- Gli interventi devono essere leciti: qualsiasi indagine sulle comunicazioni private deve avere una specifica base giuridica, che deve essere pubblicamente accessibile, chiara, precisa, esauriente e non arbitraria. Deve inoltre rispettare le norme nazionali e dell’UE in materia di giusto processo, buona amministrazione, polizia, responsabilità, trasparenza, non discriminazione e così via;
- Gli interventi devono essere specificatamente garantiti: ogni indagine sulle comunicazioni private deve essere specificamente ed individualmente giustificata da un giudice. Le forze di polizia non possono entrare nell’abitazione di un sospetto o intercettare le telefonate senza un mandato; gli stessi principi si applicano agli spazi privati online. I warrant devono essere ottenuti prima che le comunicazioni di una persona siano intercettate, e non retroattivamente;
- Le misure devono essere le meno invasive per la privacy e limitarsi al solo rilevamento di CSAM: qualsiasi indagine sulle comunicazioni private per il rilevamento di CSAM deve garantire che qualsiasi interferenza con il diritto alla privacy sia il più minima possibile; limitato al solo rilevamento di CSAM; e che il pregiudizio e l’accuratezza siano indirizzati per prevenire la discriminazione e ridurre al minimo il rischio di falsi positivi. Al fine di garantire ciò, le autorità nazionali per la protezione dei dati e il Comitato europeo per la protezione dei dati dovrebbero fornire orientamenti obbligatori sull’ammissibilità di tecnologie specifiche che sono e saranno utilizzate per rilevare la CSAM;
- Supervisione e controllo indipendenti: ci deve essere un controllo rigoroso delle tecnologie esistenti e future utilizzate per l’individuazione di CSAM online da parte delle autorità nazionali di protezione dei dati, tra cui: audit indipendenti; far rispettare gli obblighi di segnalazione alle forze dell’ordine al fine di dimostrare l’efficacia delle misure e consentire il controllo (ad esempio su condanne, falsi positivi, rapporti assoluti o ripetuti e servizi su cui vengono rilevati CSAM); la corretta esecuzione delle valutazioni d’impatto sulla protezione dei dati (DPIA) per tutte le tecnologie/metodi utilizzati; e trasparenza;
- Sicurezza: gli esperti di sicurezza indipendenti e la società civile devono avere accesso ai dettagli tecnici di qualsiasi strumento o tecnologia proposta al fine di valutare i rischi previsti o non previsti. Non dovrebbero essere consentite misure che rendono i dispositivi insicuri e vulnerabili ad attori malintenzionati, come Client Side Scanning (CSS);
- Le misure devono proteggere la crittografia: la disponibilità e l’uso della crittografia è essenziale per la protezione della nostra infrastruttura digitale e delle nostre comunicazioni. Qualsiasi misura per affrontare CSAM deve, quindi, rispettare la crittografia come misura di sicurezza vitale e astenersi dal minarne lo sviluppo, la disponibilità o l’utilizzo in modi che influiscano collateralmente su tutti gli utenti del servizio di comunicazione. Metodi come il Client Side Scanning (CSS) minano la crittografia end-to-end (E2E) introducendo mezzi per aggirare i sistemi crittografici, che saranno inevitabilmente utilizzati da attori contraddittori;
- Investire nell’affrontare complesse questioni sociali nel contesto: la grave questione degli abusi sessuali sui minori non è solo una questione di diffusione online. Le risposte dell’UE e degli Stati membri a questo grave problema devono dare priorità e investire nella prevenzione, nell’istruzione, nel sostegno alle vittime, nei servizi sociali, nel benessere e in altri metodi per affrontare le cause profonde dei problemi. Le soluzioni tecnologiche non sono una panacea per problemi sociali complessi. Inoltre, la relazione 2017 del Parlamento europeo sull’attuazione da parte degli Stati membri della direttiva sulla lotta all’abuso e allo sfruttamento sessuale dei minori, e la comunicazione 2020 della Commissione europea per una lotta più efficace contro gli abusi sui minori, delineano entrambe una serie di importanti iniziative che gli Stati membri stanno ancora da attuare ea cui si dovrebbe rimediare prima di suggerire nuove soluzioni tecniche o normative.(5 qui e qui)
- Dialogo tra i soggetti interessati: è fondamentale che gli stakeholder giusti siano riuniti per impegnarsi in discussioni produttive sull’affrontare la CSAM online. Quando si tratta di rischi per la privacy e la protezione dei dati, i gruppi per i diritti digitali, compresi quelli che rappresentano in modo specifico i diritti digitali dei giovani, devono avere il dovuto peso.
Fondamentalmente, il processo attraverso il quale questi principi vengono tradotti in legge deve soddisfare i più alti livelli di rispetto per il processo democratico. A differenza di quanto accaduto durante i negoziati sulla deroga temporanea, i membri del Parlamento europeo (deputati europei) devono ricevere tempo e sostegno sufficienti per svolgere il loro ruolo fondamentale di scrutinio delle proposte legislative e responsabilità del braccio esecutivo dell’UE.
I suddetti principi supporteranno una valutazione della necessità e della proporzionalità di qualsiasi misura proposta per affrontare la CSAM online che, date le vaste implicazioni sul diritto alla privacy e alla riservatezza delle comunicazioni, deve essere dimostrata dalla Commissione per garantire la liceità e l’ammissibilità di qualsiasi deroga alla direttiva e-privacy.
Per ulteriori informazioni, contattare Ella Jakubowska, Policy Advisor, EDRi
[email protected] | +32 474 05 77 44
Note:
- https://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=27469&LangID=E
- https://sites.unicef.org/csr/files/UNICEF_Childrens_Online_Privacy_and_Freedom_of_Expression(1).pdf
- https://www.europarl.europa.eu/legislative-train/theme-promoting-our-european-way-of-life/file-temporary-derogation-from-the-e-privacy-directive-for-ott-services
- https://www.europarl.europa.eu/legislative-train/theme-promoting-our-european-way-of-life/file-temporary-derogation-from-the-e-privacy-directive-for-ott-services
- https://www.europarl.europa.eu/doceo/document/A-8-2017-0368_EN.pdf
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020DC0607&qid=1634899236324
Pingback: I 10 principi per difendere i bambini nell’era digitale (ed evitare l’orwelliana #chatcontrol) - Informa Pirata