Sicurezza e Giustizia

UK: APPROVATO L’INVESTIGATORY POWERS ACT

Facebooktwittergoogle_plusredditpinterestlinkedinmail

di Elena Bassoli


Investigatory Powers Act 2016
È entrato in vigore il 30 dicembre 2016, avente l’obiettivo di ampliare i poteri della British Intelligence Community a discapito della tutela dei dati personali dei cittadini. Nuovi poteri particolarmente invasivi simili ad un controllo di massa, in aperto contrasto con il nuovo Regolamento privacy europeo n. 679/2016.

pdf-icon

 1.    L’iter normativo

Nel silenzio della stampa italiana è passata il 29 novembre 2016 in UK la legge sui poteri investigativi del Regno Unito del 2016, l’Investigatory Powers Act, detta anche Carta di Snooper.
Si tratta di una legge approvata da entrambe le Camere del Parlamento e a cui la Regina ha concesso il suo assenso reale, entrata in vigore il 30 dicembre 2016, avente l’obiettivo di ampliare i poteri della British Intelligence Community.
Per vero tale atto ha subito una gestazione di due anni, giacché fin dal 2014 se ne era cominciato a discutere. Già allora il Governo britannico aveva chiesto al revisore indipendente della legislazione sul terrorismo di verificare la regolamentazione dei poteri investigativi utilizzabili dalle forze dell’ordine e dalle agenzie di intelligence, in particolare per quanto riguardava l’intercettazione dei dati di comunicazione.

Tale iter ha condotto all’elaborazione di una relazione, pubblicata nel giugno 201,5 ove si è evidenziata l’esigenza di una nuova legge con la finalità di chiarire questi poteri. Il progetto di legge sui poteri investigativi è stato pubblicato nel novembre del 2015 ed è stato oggetto di analisi da parte di un comitato congiunto della Camera dei Comuni e della Camera dei Lord, costituito ad hoc. Alcune parti del disegno di legge che si riferiscono al trattamento di dati personali di massa sono entrati in vigore già nel novembre del 2015, prima dell’inizio della vigilanza parlamentare dell’intero atto, e prima della Brexit.

Il Comitato misto ha pubblicato la sua relazione di controllo pre-legislativa nel marzo 2016.
Il governo ha accettato alcune raccomandazioni ed il disegno di legge rivisto è stato introdotto nella Camera dei Comuni, dove è stato oggetto di discussione da parte dei membri di Parlamento. Nel marzo del 2016, la Camera dei Comuni ha approvato il suo progetto di legge sui poteri investigativi per la seconda lettura con 281 voti a favore e 15 contrari, spostando il disegno di legge alla commissione. Il partito laburista e il partito nazionale scozzese si sono astenuti dal voto, mentre i democratici liberali hanno votato contro di esso.

Nella fase dell’iter presso il comitato sono stati esaminati i temi costituzionali sottostanti e le questioni relative ai diritti umani. La presidente della commissione mista per i diritti dell’uomo, Harriet Harman, ha dichiarato in tale occasione che il disegno di legge fornisce una base chiara e trasparente per i poteri già attribuiti ai servizi di sicurezza e di intelligence, ma che occorrono altresì ulteriori garanzie. In particolare le preoccupazioni sono state rivolte alla protezione delle comunicazioni da ingiustificate interferenze, aspetto che risulta fondamentale ad esempio nelle comunicazioni riservate tra avvocati e clienti e nelle fonti dei giornalisti; in tal senso il disegno di legge avrebbe dovuto fornire garanzie più severe per garantire che il governo non possa abusare dei propri poteri.
Il 16 novembre 2016 la Camera dei Lord ha approvato la versione definitiva del disegno di legge sui poteri investigativi, lasciando solo la formalità del Royal Assent per essere completata prima che il disegno di legge diventasse legge.
I progetti di codici di prassi del disegno di legge proposti dall’Ufficio domiciliare nel febbraio 2017 non hanno fornito informazioni sui codici di pratica del Governo per i dati relativi alle comunicazioni.

È stato poi segnalato alla fine di febbraio 2017 che gli articoli della legge che avrebbero obbligato gli Internet Service Provider alla ritenzione dei dati per 12 mesi erano stati “accantonati” a causa della sentenza della Corte di giustizia che aveva ritenuto illegale la ritenzione dei dati “generale e indiscriminata”.

 

2.     Disposizioni della legge
L’Investigatory Powers Act del 2016 ha quindi introdotto nuovi poteri e riaffermato quelli esistenti, a favore delle agenzie di intelligence e delle forze dell’ordine britanniche che risultano così legittimate ad effettuare intercettazioni mirate delle comunicazioni, compresa la raccolta di massa di dati di comunicazione e l’intercettazione di massa delle comunicazioni.
Ha creato una Commissione per i poteri investigativi (IPC) con la funzione di vigilare sull’utilizzo di tutti i poteri investigativi, che si va ad aggiungere al controllo effettuato dal Comitato di intelligence e sicurezza del Parlamento e dal Tribunale sui poteri investigativi. L’IPC è costituito da un numero di giudici senior o di ex giudici. Alla IPC sono state quindi attribuite in via accentrata le funzioni già esistenti in capo al Commissario delle comunicazioni, al Commissario per i servizi segreti e al Commissario responsabile della sorveglianza.
La legge ha stabilito l’obbligo per un giudice al servizio dell’IPC di esaminare i mandati per l’accesso al contenuto delle comunicazioni e delle intercettazioni di apparecchiature autorizzate da un segretario di Stato prima della loro efficacia.

Ai fornitori di servizi di comunicazione è imposto l’obbligo di mantenere per un anno i “communications data” degli utenti del Regno Unito, comprendendo in particolare i record di connessione a Internet, vale a dire:

(a) the sender or recipient of a communication,
(b) the time or duration of a communication,
(c) the type, method or pattern, or fact, of communication,
(d) the telecommunication system (or any part of it) from, to or through which, or by means of which, a communication is or may be transmitted, (e) the location of any such system.

Ma l’aspetto che più suscita preoccupazione all’interno della nuova legge, è la previsione in base alla quale, in spregio alla disciplina europea sul trattamento dei dati personali, un folto numero di soggetti pubblici abbia il permesso di vedere i record relativi alle comunicazioni degli utenti, nell’ambito di un’indagine mirata e filtrata, senza un mandato (v. tabella delle autorità locali autorizzate a trattare i record di connessione dei cittadini senza mandato).

L’Act ha permesso alle forze di polizia e alle agenzie di segnalazione, inoltre, di effettuare intercettazioni mirate di apparecchiature, di “hackerare” computer e dispositivi e di effettuare intercettazioni di massa per questioni di sicurezza nazionale relative alle indagini straniere:
ha imposto un obbligo giuridico ai gestori di telecomunicazioni di assistenza nelle intercettazioni mirate dei dati quando vi sia un’inchiesta; in tale contesto ha però fatto salve da tale obbligo le imprese straniere esonerandole dall’impegnarsi attivamente nella raccolta di dati o comunicazioni di massa.
ha obbligato i commercial service provider a rimuovere la crittografia dai propri siti, esonerando le imprese straniere.
ha previsto garanzie per alcune professioni delicate come i giornalisti, gli avvocati e i medici.
ha creato un nuovo reato per l’accesso illegale ai dati di Internet, come pure il nuovo reato proprio dei commerce service provider consistente nella rivelazione di dati altrui.

 

3.     La querelle sulla tutela dei dati personali
Il progetto di legge ha generato un notevole dibattito pubblico sul bilanciamento tra i poteri invasivi e la sorveglianza di massa necessari alle forze di polizia e alle agenzie di intelligence al fine di ottenere un accesso mirato alle informazioni indispensabili alle loro indagini e la tutela dei dati personali dei cittadini.
Anche se il Ministero dell’Interno ha assicurato che l’Investigatory Powers Act del 2016 sarà compatibile con la Convenzione europea sui diritti dell’uomo, il contenuto della legge ha suscitato preoccupazioni circa l’impatto sulla vita privata dei cittadini.
I sostenitori della privacy affermano che la legge definisce chiaramente il potere di sorveglianza di massa a disposizione dei servizi di sicurezza e delle forze di polizia e auspica modifiche in modo che la sorveglianza sia mirata e basata sul sospetto fondato.
La questione è che le previsioni normative introdotte da questa legge sono di portata così generale, che non solo i servizi di sicurezza, ma anche gli enti governativi saranno in grado di analizzare i record di milioni di persone anche se non sono sospettati di aver commesso alcun illecito.

Nel gennaio 2016 una relazione pubblicata dal Comitato per la Sicurezza del Parlamento ha raccomandato di concentrarsi sul diritto alla privacy e il presidente del comitato, il conservatore MP Dominic Grieve, ha dichiarato: “Abbiamo pertanto raccomandato che la nuova legislazione contenga una parte completamente nuova dedicata a una tutela della privacy, che dovrebbe costituire la spina dorsale del progetto di legislazione intorno alla quale vengono costruiti poteri eccezionali in modo da garantire che la riservatezza sia parte integrante della normativa anziché un add-on”. Egli ha inoltre aggiunto che “il principio del diritto alla privacy nei confronti dello Stato deve essere mantenuto finché non sussista una buona ragione per cui ciò non debba accadere”.
L’Europa non può che essere d’accordo con lui soprattutto a seguito del nuovo GDPR che entrerà in vigore il 25 maggio 2018 e che rafforza la tutela della protezione dei dati personali tanto da indurre anche le major statunitensi ad adeguarsi agli elevati standard imposti dalla nuova regolamentazione pur di non perdere un’importante fetta di mercato. Nei rapporti tra Europa e Regno Unito si prospettano scenari interessanti. ©

 


Altri articoli di Elena Bassoli

L’ACCESSO ABUSIVO A SISTEMA INFORMATICO E LA VIOLAZIONE DI DOMICILIO DIGITALE -
di Elena Bassoli (N. I_MMXIX)
Corte di Cassazione, Sezione V Penale, sentenza n.2905 del 2 ottobre 2018 e depositata il 22 gennaio 2019. Corte di Cassazione, Sezione V Penale, sentenza n.2942 dell'8 novembre 2018 e depositata il 22 gennaio 2019. Le due sentenze nn. 2905 e 2942 del gennaio 2019 della Suprema Corte di Cassazione ribadiscono che il reato di accesso abusivo a sistema informatico o telematico di cui all’art. 615-ter del codice penale si configura non solo quando il colpevole violi le misure di sicurezza poste a presidio del sistema informatico o telematico altrui, ma anche quando, pur inizialmente legittimato all’accesso da colui che aveva il diritto di ammetterlo o escluderlo, vi si mantenga per finalità differenti da quelle per le quali era stato inizialmente facoltizzato all’accesso.
LA TUTELA DELLA PRIVACY NON PUO’ ESCLUDERE L’ACCERTAMENTO SINTETICO PER LA DETERMINAZIONE DEL REDDITO DEL CONTRIBUENTE -
di Elena Bassoli (N. IV_MMXVIII)
Corte di Cassazione, Sezione I Civile, sentenza n. 17485 del 21 marzo 2018 e depositata il 4 luglio 2018. La tutela della privacy non può escludere l’applicazione del metodo dell’«accertamento sintetico», ovvero la determinazione del reddito del contribuente sulla base delle spese sostenute nell’anno fiscale, che trova il suo fondamento nell’art. 38, commi 4 e 5, del d.P.R. n. 600/1973, nel contesto della potestà impositiva dell’Amministrazione che si fonda sull’art. 53 Cost. e nell’attività di accertamento e di raccolta di dati attuata presso l’Anagrafe tributaria.
FRANCIA: WHATSAPP A RISCHIO MULTA PER LA CESSIONE DEI DATI A FACEBOOK -
di Elena Bassoli (N. I_MMXVIII)
Commission Nationale de l’Informatique et des Libertés (CNIL) - Decisione n. MED-2017-075 del 27.11.2017. Con la decisione n. MED-2017-075 del 27 novembre 2017, la Cnil, l’equivalente francese del nostro Garante della privacy, ha emanato un preavviso di sanzione amministrativa a Facebook per il servizio di messaggistica Whatsapp, dalla stessa gestito. Whatsapp è presente sul mercato della messaggistica mondiale dal 2009, e nel 2014 è stata acquistata da Facebook. Di tale accordo Whatsapp ha reso noti i contenuti all’utenza, aggiornando le condizioni d’uso e la privacy policy, solo nell’agosto del 2016. In applicazione della decisione n. 2016-295 C del 14 ottobre 2016 del Presidente della Commission Nationale de l’Informatique et des Libertés (CNIL), una sua delegazione ha effettuato tre controlli online, rispettivamente il 4 e il 9 novembre 2016 ed il 23 ottobre 2017 al fine di verificare l’osservanza della legge del 6 gennaio 1978 modificata relativa a dati, file e libertà. Un’udienza di WhatsApp si è svolta nei locali della CNIL il 14 giugno 2017.
IL BADGE DEVE ESSERE UTILIZZATO DAL DATORE DI LAVORO PER VERIFICARE LE PRESENZE E NON PER CONTROLLARE IL DIPENDENTE -
di Elena Bassoli (N. IV_MMXVII)
Corte di Cassazione, Sezione Lavoro, Sentenza n. 17531 del 22 marzo 2017 e depositata il 14 luglio 2017. La Corte ha rigettato il ricorso della Società che denunciava la violazione o la falsa applicazione dell’art. 4 L. n. 300/1970, lamentando che la sentenza impugnata ha ritenuto che il meccanismo del badge (a radio frequenza), che si limita a leggere le informazioni contenute nella tessera dei dipendenti, costituisse un illegittimo strumento di controllo a distanza dell’attività dei lavoratori.
NUOVE DISPOSIZIONI A TUTELA DEI MINORI PER LA PREVENZIONE ED IL CONTRASTO AL CYBERBULLISMO -
di Elena Bassoli (N. III_MMXVII)
Legge 29 maggio 2017, n. 71. Pubblicato in GU Serie Generale n.127 del 03-06-2017 la Legge 29 maggio 2017 n. 71 recante “Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo” in vigore dal 18 giugno 2017. Il provvedimento intende contrastare il fenomeno in tutte le sue manifestazioni, con azioni a carattere preventivo e con una strategia di attenzione, tutela ed educazione nei confronti dei minori coinvolti, sia nella posizione di vittime sia in quella di responsabili di illeciti.
AGENZIA DELLE ENTRATE: AL BITCOIN NON SI APPLICA L’IVA MA PRODUCE TASSAZIONE DIRETTA -
di Elena Bassoli (N. I_MMXVII)
Decreto Legislativo del 25 maggio 2016, n. 97 (GU Serie Generale n.132 del 8-6-2016). Il 23 giugno 2016 è entrato in vigore il Freedom Of Information Act che rende libero e gratuito l’accesso all’informazione pubblica e agli atti della P.A. Tutti i cittadini avranno la possibilità di richiedere documenti e atti della Pubblicazione Amministrazione. Fanno eccezione le documentazioni considerate sensibili, secondo uno specifico iter per il quale verrà comunque data risposta ai cittadini che ne faranno richiesta.
IL FREEDOM OF INFORMATION ACT (FOIA) -
di Elena Bassoli (N. IV_MMXVI)
Decreto Legislativo del 25 maggio 2016, n. 97 (GU Serie Generale n.132 del 8-6-2016) Il 23 giugno 2016 è entrato in vigore il Freedom Of Information Act che rende libero e gratuito l’accesso all’informazione pubblica e agli atti della P.A. Tutti i cittadini avranno la possibilità di richiedere documenti e atti della Pubblicazione Amministrazione. Fanno eccezione le documentazioni considerate sensibili, secondo uno specifico iter per il quale verrà comunque data risposta ai cittadini che ne faranno richiesta.
FACEBOOK DEVE BLOCCARE I PROFILI FAKE PER L’EVENTUALE INTERVENTO DELLA MAGISTRATURA -
di Elena Bassoli (N. III_MMXVI)
Garante della Privacy - Provvedimento dell’11 febbraio 2016. Facebook dovrà comunicare ad un proprio utente tutti i dati che lo riguardano anche quelli inseriti e condivisi da un falso account, il cosiddetto fake, e dovrà bloccare il fake ai fini di un’eventuale intervento da parte della magistratura. Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all’Autorità dopo aver interpellato il social network ed aver ricevuto una risposta ritenuta insoddisfacente.
IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI -
di Elena Bassoli (N. II_MMXVI)
Regolamento 2016/679 e Direttiva 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016. Dopo un iter durato quattro anni il 4 maggio 2016 sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del cd. “Pacchetto protezione dati”, vale a dire il Regolamento europeo in materia di protezione dei dati personali e la Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini, che costituiscono il corpus normativo che definisce il quadro comune europeo in materia di tutela dei dati personali per tutti gli Stati membri dell’UE.
PER UNA TEORIA DELLA RESPONSABILITÀ ALGORITMICA GLOBALE -
di Elena Bassoli (N. IV_MMXV)
Il mondo è pieno di decisioni algoritmicamente guidate. Un’informazione errata o discriminatoria può rovinare irrimediabilmente le prospettive di lavoro o di credito di qualcuno. Gli algoritmi rimangono impenetrabili agli osservatori esterni perché protetti dal segreto industriale. Risulta quindi fondamentale che i cittadini possano conoscere e contribuire alla regolamentazione della pratiche commerciali dei giganti dell’informazione.
ACCESSO ABUSIVO A SISTEMA INFORMATICO: IL LOCUS COMMISSI DELICTI COINCIDE CON QUELLO DEL SOGGETTO CHE ACCEDE -
di Elena Bassoli (N. III_MMXV)
Corte di Cassazione, Sezioni Unite Penali, sentenza n. 17325 del 26 marzo 2015 e depositata il 24 aprile 2015. Con sentenza depositata il 24 aprile 2015, le Sezioni Unite Penali della Corte di Cassazione, risolvendo un conflitto di competenza, hanno affermato che “il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico di cui all’art. 615-ter cod. pen. coincide con quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente”.
VALENZA GIURIDICA DEL TWEET DI UN MINISTRO -
di Elena Bassoli (n.II_MMXV)
Il Consiglio di Stato, con la sentenza n. 769/2015, si è pronunciato sulla natura dell’atto amministrativo emesso verso l’esterno nel caso in cui si utilizzi il servizio di Twitter, osservando che “gli atti dell’autorità politica debbono pur sempre concretarsi nella dovuta forma tipica dell’attività della pubblica amministrazione... “.
LE BEST PRACTICES SULL’ATTENDIBILITÀ DELLA PROVA DIGITALE ENTRANO ANCHE NEL GIUDIZIO CIVILE -
di Elena Bassoli (n.I_MMXV)
Tribunale Napoli, Ordinanza 29/04/2014. L’ordinanza analizza il valore probatorio dei file di log, con le relative operazioni di conservazione ed estrazione, sancendo, anche per il diritto civile e non solo per quello penale, il principio dell’inattendibilità probatoria delle semplici copie di prove digitali.
GLI STATI MEMBRI NON POSSONO OBBLIGARE LE SOCIETÀ STABILITE IN UN ALTRO STATO A CREARE SUL LORO TERRITORIO SUCCURSALI O FILIALI -
di Elena Bassoli (N.III_MMXIV)
Corte di giustizia dell’Unione europea, sentenza nella causa C-475/12 del 30 aprile 2014: gli Stati membri non possono imporre a tali fornitori la creazione di una succursale o di una filiale sul loro territorio, in quanto un siffatto obbligo sarebbe contrario alla libera prestazione dei servizi.
GOOGLE VIDEO NON HA L’OBBLIGO DI SORVEGLIANZA DEI DATI IMMESSI DA TERZI -
di Elena Bassoli (N. I_MMXIV)
Corte di Cassazione, Sezione III Penale, sentenza n. 5107 del 17 dicembre 2013 e depositata il 3 febbraio 2014. La Suprema Corte ha affermato che l’Internet Hosting Provider, per la mancanza di un obbligo generale di sorveglianza, non è responsabile della liceità del trattamento dei dati personali memorizzati a richiesta degli utenti su una piattaforma video accessibile sulla rete Internet.
GOOGLE HA UN RUOLO DI MERO INTERMEDIARIO NELLA PUBBLICAZIONE DI CONTENUTI RITENUTI DIFFAMATORI -
di Elena Bassoli ( n.IV_MMXIII )
Opinione of Advocate General- Case C 131/12 - Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD). Il 25 giugno 2013 l’avvocato generale della Corte di Giustizia dell’Unione Europea ha riconosciuto a Google un ruolo di semplice intermediario rispetto ai contenuti ritenuti diffamatori immessi da terzi.
PROPOSTA DI LEGGE DI RATIFICA ED ESECUZIONE DEL TRATTATO DI NEW YORK SUL COMMERCIO DELLE ARMI -
di Elena Bassoli ( n.III_MMXIII )
Camera dei Deputati, proposta di legge n. 1239 del 12 luglio 2013. Il 12 luglio 2013 il Consiglio dei Ministri ha approvato il disegno di legge di ratifica ed esecuzione del Trattato sul commercio delle armi “Arms Trade Treaty” (ATT), adottato nel marzo 2013 dall’Assemblea Generale delle Nazioni unite e firmato a New York il 2 aprile 2013. L’ATT risponde alla urgente necessità di colmare le lacune del commercio non regolamentato di armi convenzionali e di intensificare gli sforzi volti al consolidamento della pace e dell’assistenza umanitaria, perseguendo l’obiettivo di rendere il commercio, l’esportazione e il trasferimento delle predette armi più responsabili e trasparenti. L’Italia, pur disponendo in materia di una delle normative più avanzate a livello mondiale, ha svolto un ruolo importante in ogni fase del negoziato per raggiungere, sul piano legislativo, il migliore risultato possibile. Con riferimento alla compatibilità del Trattato con la normativa europea, l’Italia, come gli altri Paesi membri, ha firmato l’ATT previa autorizzazione del Consiglio europeo, il quale sta ora procedendo all’elaborazione della decisione che autorizzerà gli Stati al deposito dello strumento di ratifica presso il Segretariato generale delle Nazioni unite.
RIORDINO DELLA DISCIPLINA CIRCA GLI OBBLIGHI DI PUBBLICITÀ, TRASPARENZA E DIFFUSIONE DA PARTE DELLE PUBBLICHE AMMINISTRAZIONI -
di Elena Bassoli ( n.II_MMXIII )
Decreto legislativo 14 marzo 2013, n. 33. Con il decreto legislativo 14 marzo 2013, n. 33, entrato in vigore il 20 aprile 2013, in attuazione della delega conferita al Governo dall’art.1, comma 35, Legge 190/2012, il legislatore ha provveduto al riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni.
RAPPORTO SULLA TRASPARENZA DI GOOGLE: STATISTICHE DELLE RICHIESTE DI RIMOZIONE URL PER VIOLAZIONE DI COPYRIGHT NEL II SEMESTRE 2012 -
di Elena Bassoli (N. I_MMXIII)
Google riceve da titolari del copyright e organizzazioni di reporting che li rappresentano richieste di rimozione di risultati di ricerca che rimandano a materiali in presunta violazione dei copyright. In ogni richiesta sono riportati gli URL specifici da rimuovere.