Princìpi internazionali in materia di applicazione dei diritti umani alla sorveglianza delle comunicazioni

Versione finale 10 luglio 2013

Con il progredire delle tecnologie che agevolano la sorveglianza delle comunicazioni da parte dello Stato, gli Stati non riescono a garantire che leggi e regolamenti in materia di sorveglianza delle comunicazioni rispettino i diritti umani internazionali e tutelino adeguatamente il diritto alla privacy e alla libertà di espressione. In questo documento si tenta di spiegare l’applicazione delle leggi internazionali sui diritti umani all’ambiente digitale attuale, soprattutto alla luce dell’aumento e dei cambiamenti delle tecnologie e delle tecniche di sorveglianza delle comunicazioni. Questi princìpi possono fornire a gruppi della società civile, industria, Stati e altri soggetti un quadro di riferimento per valutare se le leggi e le prassi di sorveglianza attuali o proposte sono compatibili con i diritti umani.

Questi princìpi sono il risultato di una consultazione globale con gruppi della società civile, industria ed esperti internazionali nel campo delle leggi, norme e tecnologie di sorveglianza delle comunicazioni.

Preambolo

La privacy è un diritto umano fondamentale ed è indispensabile per il mantenimento di società democratiche. È essenziale per la dignità umana e rafforza altri diritti, come la libertà di espressione e di informazione e la libertà di associazione. Inoltre è riconosciuta dalle leggi internazionali sui diritti umani.1 Le attività che limitano il diritto alla privacy, inclusa la sorveglianza delle comunicazioni, possono essere giustificate solo qualora siano previste dalla legge, necessarie per raggiungere un obiettivo legittimo e proporzionate allo scopo perseguito.2

Prima dell’adozione pubblica di Internet, princìpi giuridici consolidati e ostacoli logistici insiti nel monitoraggio delle comunicazioni hanno stabilito dei limiti alla sorveglianza delle comunicazioni da parte dello Stato. Negli ultimi decenni, tali ostacoli logistici alla sorveglianza sono diminuiti e l’applicazione dei princìpi giuridici in nuovi contesti tecnologici si è fatta poco chiara. Il boom dei contenuti delle comunicazioni digitali e delle informazioni sulle comunicazioni, o “metadati delle comunicazioni” (informazioni sulle comunicazioni di un privato o sul suo utilizzo di dispositivi elettronici), il costo in calo dell’archiviazione e dell’estrazione di grandi insiemi di dati e la disponibilità di contenuti personali attraverso fornitori di servizi di terze parti rendono possibile la sorveglianza dello Stato a un livello senza precedenti3 Nel frattempo, le concettualizzazioni delle leggi esistenti sui diritti umani non hanno tenuto il passo con le possibilità di sorveglianza moderne e in evoluzione delle comunicazioni da parte dello Stato, la capacità dello Stato di combinare e organizzare le informazioni acquisite con diverse tecniche di sorveglianza o la maggiore riservatezza delle informazioni accessibili.

La frequenza con cui gli Stati tentano di accedere ai contenuti e ai metadati delle comunicazioni sta aumentando drasticamente, senza un adeguato controllo.4 Quando sono accessibili e vengono analizzati, i metadati delle comunicazioni possono dar modo di creare un profilo della vita di un privato che include condizioni mediche, punti di vista politici e religiosi, associazioni, interazioni e interessi, divulgando una quantità di dati pari o persino superiore a quelli che sarebbero osservabili con un’analisi dei contenuti delle comunicazioni.5 Nonostante l’ampia possibilità di intromissione nella vita di un privato e l’effetto dannoso sulle associazioni politiche e di altro tipo, gli strumenti legislativi e politici spesso offrono ai metadati delle comunicazioni un livello di protezione inferiore e non mettono in atto limitazioni sufficienti sui possibili utilizzi successivi da parte delle agenzie, incluse le modalità di estrazione, condivisione e archiviazione.

Per adempiere effettivamente ai loro obblighi sui diritti umani internazionali in materia di sorveglianza delle comunicazioni, gli Stati devono rispettare i princìpi enunciati qui di seguito. Questi princìpi si applicano alla sorveglianza da parte di uno Stato dei propri cittadini, condotta nel relativo territorio, nonché alla sorveglianza extraterritoriale di altri soggetti. I princìpi inoltre si applicano a prescindere dal fatto che la sorveglianza riguardi scopi di applicazione della legge, di sicurezza nazionale o qualsiasi altro scopo normativo. Si applicano inoltre sia all’obbligo dello Stato di rispettare e soddisfare i diritti dei privati sia all’obbligo di tutelare i diritti dei privati da abusi attuati da soggetti non statali, incluse le imprese.6 Il settore privato ha pari responsabilità per quanto riguarda il rispetto dei diritti umani, soprattutto se si considera il ruolo fondamentale che svolge nella progettazione, nello sviluppo e nella diffusione delle tecnologie, nell’attuazione e nell’implementazione delle comunicazioni e, ove richiesto, nella cooperazione con le attività di sorveglianza dello Stato. A ogni modo, il campo di applicazione dei presenti Princìpi si limita agli obblighidello Stato.

Tecnologie in evoluzione e definizioni

La “sorveglianza delle comunicazioni” nell’ambiente moderno include il monitoraggio, l’intercettazione, la raccolta, l’analisi, l’utilizzo, la conservazione, l’archiviazione di, l’interferenza con o l’accesso a informazioni che includono, rispecchiano, derivano da o riguardano le comunicazioni passate, presenti o future di una persona. Le “comunicazioni” includono attività, interazioni e transazioni trasmesse attraverso mezzi elettronici, come i contenuti delle comunicazioni, l’identità delle parti in comunicazione, informazioni di monitoraggio della posizione fra cui indirizzi IP, ora e durata delle comunicazioni e identificativi delle apparecchiature di comunicazione utilizzate nelle comunicazioni stesse.

Tradizionalmente, l’invasività della sorveglianza delle comunicazioni è stata valutata in base a categorie artificiali e tradizionalistiche. I quadri giuridici esistenti fanno distinzione tra “contenuti” o “non-contenuti”, “informazioni degli iscritti” o “metadati”, dati memorizzati o dati in transito, dati conservati in casa o in possesso di un fornitore di servizi di terze parti.7 Tuttavia, queste distinzioni non sono più appropriate per misurare il grado di intromissione attuato dalla sorveglianza delle comunicazioni nelle vite private e nelle associazioni degli individui. Mentre è stato da tempo concordato che i contenuti delle comunicazioni richiedono una tutela legislativa significativa data la possibilità che rivelino informazioni riservate, è ormai chiaro che altre informazioni derivanti dalle comunicazioni (metadati e altre forme di dati non contenutistici) potrebbero rivelare ancora di più su un privato rispetto ai contenuti stessi e quindi richiedono una tutela equivalente. Oggi, questi tipi di informazioni potrebbero, presi singolarmente o analizzati collettivamente, rivelare l’identità di una persona, il suo comportamento, associazioni, condizioni fisiche o mediche, razza, colore, orientamento sessuale, nazionalità o punti di vista, oppure consentire la mappatura della posizione, dei movimenti o delle interazioni nel tempo della persona8 o di tutte le persone in un determinato luogo, anche a una manifestazione pubblica o altro evento politico. Di conseguenza, tutte le informazioni che includono, rispecchiano, derivano da o riguardano le comunicazioni di una persona e che non sono prontamente disponibili e facilmente accessibili al pubblico generico dovrebbero essere considerate “informazioni protette” e dovrebbero quindi ricevere la massima protezione giuridica.

Nel valutare l’invasività della sorveglianza delle comunicazioni da parte dello Stato, è necessario prendere in considerazione sia il rischio della sorveglianza di rivelare informazioni protette sia lo scopo per cui lo Stato richiede tali informazioni. Una sorveglianza delle comunicazioni che porterà probabilmente alla divulgazione di informazioni protette con il rischio che una persona venga sottoposta a indagini, discriminazioni o violazioni dei diritti umani costituirà una grave violazione del diritto di un privato alla privacy e comprometterà inoltre il godimento di altri diritti fondamentali, incluso il diritto alla libera espressione, associazione e partecipazione politica. Ciò accade perché questi diritti richiedono che le persone siano in grado di comunicare liberamente, senza l’effetto dannoso della sorveglianza del governo. Sarà quindi necessario determinare il carattere e i possibili utilizzi delle informazioni ricercate in ciascun caso specifico.

Quando adotta una nuova tecnica di sorveglianza delle comunicazioni o amplia il raggio di azione di una tecnica già esistente, prima di cercare le informazioni lo Stato deve verificare se quelle che potrebbe ottenere rientrano nell’ambito delle “informazioni protette” e deve sottoporsi al vaglio di un meccanismo giuridico o di controllo democratico di altro tipo. Nel considerare se le informazioni ottenute attraverso la sorveglianza delle comunicazioni raggiungono il livello di “informazioni protette”, la forma, il raggio di azione e la durata della sorveglianza sono fattori importanti. Dato che un monitoraggio pervasivo e sistematico può rivelare informazioni private che vanno ben oltre i singoli dati, la sorveglianza delle informazioni non protette può arrivare a un livello di invasività tale da richiedere la massima protezione.9

La valutazione della possibilità dello Stato di condurre una sorveglianza delle comunicazioni che interferisca con le informazioni protette deve essere coerente con i seguenti princìpi.

I Princìpi

Legalità

Qualsiasi limitazione del diritto alla privacy deve essere prevista dalla legge. Lo Stato non può adottare o implementare una misura che interferisca con il diritto alla privacy in assenza di un atto legislativo esistente e pubblicamente disponibile, il che soddisfa uno standard di chiarezza e precisione sufficiente a garantire che i privati siano informati preventivamente della sua applicazione e possano prevederla. Data la rapidità dei cambiamenti tecnologici, le leggi che limitano il diritto alla privacy dovrebbero essere soggette a una rettifica periodica per mezzo di un processo legislativo o di regolamentazione partecipativo.

Scopo legittimo

Le leggi dovrebbero permettere la sorveglianza delle comunicazioni da parte delle autorità statali specificate esclusivamente per il conseguimento di un obiettivo legittimo che corrisponda a un interesse legale predominante necessario in una società democratica. Nessuna misura può essere applicata in modo tale da consentire discriminazioni in base a razza, colore, sesso, lingua, religione, opinione politica o di altro genere, origine nazionale o sociale, ricchezza, nascita o altro stato.

Necessità

Le leggi che permettono la sorveglianza delle comunicazioni da parte dello Stato devono limitare la sorveglianza a ciò che è strettamente e dimostrabilmente necessario per il conseguimento di uno scopo legittimo. La sorveglianza delle comunicazioni deve essere condotta solo quando è l’unico mezzo per conseguire uno scopo legittimo o, qualora vi siano più mezzi, quando è il mezzo con meno probabilità di violare i diritti umani. L’onere di stabilire questa motivazione, nei processi giudiziari nonché legislativi, spetta allo Stato.

Adeguatezza

Qualsiasi caso di sorveglianza delle comunicazioni autorizzato dalla legge deve essere adeguato al conseguimento dello specifico scopo legittimo identificato.

Proporzionalità

La sorveglianza delle comunicazioni deve essere considerata un atto altamente intrusivo che interferisce con i diritti alla privacy e alla libertà di opinione e di espressione, minacciando le basi di una società democratica. Le decisioni in merito alla sorveglianza delle comunicazioni devono essere prese soppesando i vantaggi previsti e i danni che si potrebbero arrecare ai diritti e ad altri interessi concorrenti della persona e dovrebbero prendere in considerazione la riservatezza delle informazioni e la gravità della violazione del diritto alla privacy.

In particolare, ciò richiede che, se uno Stato volesse utilizzare o accedere a informazioni protette ottenute attraverso la sorveglianza delle comunicazioni nel contesto di un’indagine penale, dovrà garantire all’autorità giudiziaria competente, indipendente e imparziale che:

1. c’è un alto livello di probabilità che è stato o sarà commesso un reato grave;
2. sarebbe possibile ottenere le prove di tale reato accedendo alle informazioni protette richieste;
3. sono già state tentate altre tecniche di indagine meno invasive a disposizione;
4. le informazioni ottenute si limiteranno a quelle ragionevolmente pertinenti al presunto reato e le eventuali informazioni in eccesso raccolte verranno prontamente distrutte o restituite e
5. le informazioni saranno accessibili solo da parte dell’autorità specificata e utilizzate per lo scopo per cui è stata concessa l’autorizzazione.

Se lo Stato tenta di accedere a informazioni protette attraverso la sorveglianza delle comunicazioni per uno scopo che non pone una persona a rischio di essere sottoposta a procedimenti penali, indagini, discriminazioni o violazioni dei diritti umani, lo Stato deve garantire a un’autorità indipendente, imparziale e competente che:

1. sono state considerate altre tecniche di indagine meno invasive a disposizione;
2. le informazioni ottenute si limiteranno a quelle ragionevolmente pertinenti e le eventuali informazioni in eccesso raccolte verranno prontamente distrutte o restituite al soggetto in questione e
3. le informazioni saranno accessibili solo da parte dell’autorità specificata e utilizzate per lo scopo per cui è stata concessa l’autorizzazione.

Autorità giudiziaria competente

Le determinazioni in materia di sorveglianza delle comunicazioni devono essere effettuate da un’autorità giudiziaria competente che sia imparziale e indipendente. L’autorità deve:

1. essere separata dalle autorità incaricate di effettuare la sorveglianza delle comunicazioni;
2. avere dimestichezza in questioni riguardanti la legalità della sorveglianza delle comunicazioni, le tecnologie utilizzate e i diritti umani e avere la competenza di prendere decisioni legali in merito e
3. disporre di risorse adeguate per l’esercizio delle funzioni assegnatele.

Certezza del diritto

La certezza del diritto richiede che gli Stati rispettino e garantiscano i diritti umani dei privati assicurando che i procedimenti legali che regolano qualsiasi interferenza con i diritti umani siano elencati correttamente nelle leggi, attuati coerentemente e disponibili al pubblico. In particolare, nella determinazione dei propri diritti umani, ogni persona ha diritto a un’udienza pubblica ed equa entro un termine ragionevole da parte di un tribunale indipendente, competente e imparziale istituito dalla legge,¹ salvo in casi di emergenza, qualora vi sia un rischio imminente di pericolo per la vita umana. In tali casi, deve essere richiesta un’autorizzazione retroattiva entro un periodo di tempo ragionevolmente possibile. Il mero rischio di sottrazione o distruzione delle prove non può mai essere considerato sufficiente a giustificare l’autorizzazione retroattiva.

Notifica all’utente

I soggetti dovrebbero essere informati della decisione che autorizza la sorveglianza delle comunicazioni con un preavviso e informazioni sufficienti a consentire loro di impugnare la decisione e dovrebbero avere accesso ai materiali presentati a sostegno della richiesta di autorizzazione. Il ritardo della notifica è giustificato solo nelle seguenti circostanze:

1. La notifica comprometterebbe gravemente la finalità per cui la sorveglianza è autorizzata o vi è un rischio imminente di pericolo per la vita umana oppure
2. L’autorizzazione alla notifica ritardata è concessa dall’autorità giudiziaria competente al momento della concessione dell’autorizzazione di sorveglianza e
3. Il privato in questione viene avvisato non appena cessa il rischio o entro un periodo di tempo ragionevolmente possibile, a seconda di quale sia l’evento anteriore, e comunque prima che la sorveglianza delle comunicazioni sia completata. L’obbligo di informare il soggetto spetta allo Stato, ma in caso di inadempimento dello Stato, i fornitori di servizi di comunicazione sono liberi di informare i privati in merito alla sorveglianza delle comunicazioni, volontariamente o su richiesta.

Trasparenza

Gli Stati dovrebbero essere trasparenti circa l’uso e il raggio di azione delle tecniche e delle facoltà di sorveglianza delle comunicazioni. Dovrebbero pubblicare, come minimo, informazioni aggregate sul numero di richieste approvate e respinte, nonché un’analisi non aggregata delle richieste suddivise per fornitore di servizi e per tipo e scopo dell’indagine. Gli Stati dovrebbero fornire ai privati informazioni sufficienti a consentire loro di comprendere appieno il raggio di azione, la natura e l’applicazione delle leggi che consentono la sorveglianza delle comunicazioni. Gli Stati dovrebbero rendere possibile ai fornitori di servizi la pubblicazione delle procedure da essi applicate in materia di sorveglianza statale delle comunicazioni, rispettare tali procedure e pubblicare la documentazione riguardante la sorveglianza statale delle comunicazioni.

Controllo pubblico

Gli Stati dovrebbero istituire meccanismi di controllo indipendenti per garantire la trasparenza e la responsabilità della sorveglianza delle comunicazioni.² I meccanismi di controllo dovrebbero avere l’autorità per: accedere a tutte le informazioni potenzialmente pertinenti sulle azioni dello Stato, incluso, ove opportuno, l’accesso a informazioni segrete o riservate; valutare se lo Stato stia facendo un uso legittimo delle sue facoltà legali; valutare se lo Stato stia pubblicando con trasparenza e precisione le informazioni sull’utilizzo e sul raggio di azione delle tecniche e delle facoltà di sorveglianza delle comunicazioni; pubblicare rapporti periodici e altre informazioni pertinenti per la sorveglianza delle comunicazioni. Dovrebbero essere stabiliti meccanismi di controllo indipendenti in aggiunta a qualsiasi controllo già fornitotramite un altro organo di governo.

Integrità delle comunicazioni e dei sistemi

Al fine di garantire l’integrità, la sicurezza e la riservatezza dei sistemi di comunicazione, e in considerazione del fatto che compromettere la sicurezza per scopi statali compromette quasi sempre la sicurezza in generale, gli Stati non dovrebbero obbligare i fornitori di servizi, di hardware o di software a integrare nei propri sistemi funzionalità di sorveglianza o di monitoraggio oppure a raccogliere o conservare informazioni specifiche per meri scopi di sorveglianza da parte dello Stato. La raccolta o la conservazione di dati a priori non devono mai essere richieste ai fornitori di servizi. I privati hanno il diritto di esprimersi in forma anonima; gli Stati dovrebbero pertanto astenersi dall’indicare l’identificazione degli utenti come condizione per la prestazione dei servizi.³

Tutele per la cooperazione internazionale

In risposta alle variazioni nei flussi di informazioni, nelle tecnologie e nei servizi di comunicazione, gli Stati potrebbero avere bisogno di richiedere l’assistenza di un fornitore di servizi straniero. Di conseguenza, i trattati di mutua assistenza giudiziaria (MLAT, Mutual Legal Assistance Treaty) e altri accordi stipulati tra gli Stati dovrebbero garantire che, ove le leggi di più di uno Stato possano applicarsi alla sorveglianza delle comunicazioni, venga applicato lo standard disponibile con il livello più alto di tutela delle persone. Qualora gli Stati richiedano l’assistenza per fini di applicazione della legge, deve essere applicato il principio della doppia incriminazione. Gli Stati non possono utilizzare procedure di mutua assistenza giudiziaria e richieste straniere di informazioni protette per aggirare le restrizioni giuridiche nazionali in materia di sorveglianza delle comunicazioni. Le procedure di mutua assistenza giudiziaria e gli altri accordi devono essere chiaramente documentati, pubblicamente disponibili e soggetti a garanzie di correttezza procedurale.

Tutele contro l’accesso illegittimo

Gli Stati dovrebbero adottare una legislazione che punisca la sorveglianza illegale delle comunicazioni da parte di soggetti pubblici e privati. La legge dovrebbe prevedere sanzioni civili e penali adeguate e significative, protezione per gli informatori e canali per risarcire le persone colpite. Le leggi dovrebbero stabilire che eventuali informazioni ottenute in contrasto con questi princìpi non sono ammesse come prove in qualsiasi procedimento, così come qualsiasi prova derivata da tali informazioni. Gli Stati dovrebbero inoltre istituire leggi che prevedano che, una volta che il materiale ottenuto attraverso la sorveglianza delle comunicazioni è stato utilizzato per lo scopo per cui sono state concesse le informazioni, tale materiale dovrà essere distrutto o restituito al privato.

---

1. Il termine “certezza del diritto” può essere utilizzato in modo intercambiabile con “equità procedurale” e “giustizia naturale” ed è ben articolato all’Articolo 6(1) della Convenzione europea dei diritti dell’uomo e all’Articolo 8 della Convenzione americana dei diritti umani. ↩︎

2. L’Interception of Communications Commissioner nel Regno Unito è un esempio di meccanismo di controllo indipendente di questo tipo. L’ICO pubblica un rapporto che include alcuni dati aggregati, ma non fornisce dati sufficienti per analizzare i tipi di richieste, la portata di ciascuna richiesta di accesso, lo scopo delle richieste e il controllo applicato loro. Vedere http://www.iocco-uk.info/sections.asp?sectionID=2&type=top. ↩︎

3. Rapporto del relatore speciale sulla promozione e tutela del diritto alla libera opinione ed espressione, Frank La Rue, 16 maggio 2011, A/HRC/17/27, parag. 84. ↩︎