Gli Stati devono adottare misure migliori per proteggere le persone dalla sorveglianza digitale operata dai servizi di intelligence. In particolare quelli americani.
C’è questo concetto, sorprendente se lo si analizza vicino, dietro una dichiarazione istituzionale passata per gran parte inosservata: della Presidente del Comitato della “Convenzione 108” del Consiglio d’Europa sulla protezione dei dati, Alessandra Pierucci, e il Commissario per la protezione dei dati del Consiglio d’Europa, Jean-Philippe Walter.
“Hanno invitato gli Stati a rafforzare la protezione dei dati personali nel contesto della sorveglianza digitale da parte dei servizi segreti, aderendo alla Convenzione del Consiglio d’Europa sulla protezione dei dati, la ‘Convenzione 108+’, e promuovendo un nuovo strumento giuridico internazionale che fornisca garanzie efficaci e democratiche in questo campo”, si legge.
La sorveglianza americana sui nostri dati europei
Il riferimento chiaro è agli Stati Uniti. Ossia al fatto che tutti noi europei corriamo un grosso rischio di sorveglianza digitale anti-democratica (per i nostri standard) da parte dell’intelligence americana. Già: è una forte verità quella che l’organizzazione internazionale del Consiglio d’Europa, nata nel 1949 e con 47 Stati, dichiara ora nemmeno tanto implicitamente e che pochi cittadini conoscono; e che pochissimi media sono stati in grado di evidenziare.
Non è un caso che nelle prime righe della dichiarazione si citi Edward Joseph Snowden, l’informatico, attivista e whistleblower statunitense, ex tecnico della CIA che ha rivelato al mondo le intercettazioni di massa dell’intelligence americana. Proprio nei giorni scorsi la giustizia americana ha dimostrato che sono stati raccolti segretamente milioni di telefonate in maniera illegale violando il Foreign Intelligence Surveillance Act. Ovvero, nella raccolta dei dati utili per la prevenzione non si generano stringhe di dettaglio e si prendono i dati di tutti indistintamente creando il grande fratello universale in cui la nostra più semplice attività o vita familiare diventa parte di un progetto di sorveglianza globale.
Dopo la rottura del privacy shield
L’occasione di un riforma, a tutela dei nostri diritti, viene dalla sentenza Schrems II che invalida il privacy shield, si legge nella stessa dichiarazione congiunta.
“Questa decisione ha conseguenze che vanno al di là dei trasferimenti di dati UE-USA e offre l’opportunità di rafforzare il quadro universale di protezione dei dati”.
In effetti il privacy shield, che facilitava l’uso di dati di cittadini europei da parte di soggetti USA, è stato invalidato “a causa dell’insufficienti garanzie relative ai diritti umani nel contesto dell’accesso ai dati da parte dei programmi di sorveglianza del governo statunitense”, si legge. Le norme USA permettono una sorveglianza che per le nostre norme e i nostri valori è inaccettabile, abusiva. Problema: per la natura del mercato digitale globale, questa sorveglianza si estende anche a dati di cittadini europei.
Che fare: il ruolo del Consiglio d’Europa
Cosa andrebbe fatto: da una parte l’intelligence grazie a crescenti moli di dati frutto della digitalizzazione incrementale della società, avrà sempre più capacità di capire dove intervenire per anticipare le mosse di criminalità e malintenzionati, dall’altra questi strumenti dovranno essere, però, all’interno di un quadro regolatorio rigoroso. Che non dovrà più permettersi le maglie larghe del privacy shield, pur avendo a cuore gli interessi della sicurezza e degli scambi commerciali tra nazioni.
Ad esempio per quelli trasferiti fuori dall’Unione Europea uno strumento legale ed internazionale c’è ed è appunto la Convenzione 108+. Il Consiglio d’Europa è l’organo giusto, per la propria natura di organizzazione internazionale “dedicata alla promozione della democrazia, i diritti umani, l’identità culturale europea e la ricerca di soluzioni ai problemi sociali in Europa”.
In questo modo da una parte vi è il rafforzamento degli obblighi del titolare tra cui il principio di accountability, una maggiore trasparenza nei trattamenti, la valutazione preventiva dei rischi del trattamento, e dall’altra aumenta l’attenzione sui principi di privacy by design e by default, la notifica dei data breach. Questo comporta anche che l’ampliamento dei diritti degli interessati, compreso il diritto a non essere soggetto a decisioni puramente automatizzate, a conoscere la logica del trattamento e capirne il meccanismo.
La sfida per il futuro sui nostri dati
Con il passare degli anni, nel campo dell’intelligence, gli strumenti tecnologici sono dei supporti necessari alle analisi umane. Basti pensare alla Osint nelle attività investigative a supporto della Humint o delle analisi spedite da una macchina artificiale (PC, smartphone etc.) alla logica della mente umana che deve dedurne gli aspetti. Questo passaggio sta producendo nel tempo grande opportunità, ma lascia dietro di sé tante domande e dubbi irrisolti.
In particolare, il connubio artificiale/umano genera perplessità nella gestione dei dati. Se da una parte l’utilizzo di sistemi con basi di intelligence predittiva per catturare dei “reati in anticipo” si sta sempre più espandendo nel mondo (dagli USA all’Europa in particolar modo in Germania con aziende tipo le statunitensi PredPol, HunchLab, Palantir; la tedesca Precobs) portando dei frutti sperati, dall’altro oltre che inconvenienti da un punto di vista normativo, porta ad avere dei dubbi legittimi su come e dove vengono utilizzati tali dati.
Se, infatti, si stanno formando banche dati senza precedenti creando degli algoritmi che partendo da crimini precedenti sviluppano, in zone e luoghi specifici, un’attenzione più alta e proficua rispetto a crimini che possono ancora accadere in tali luoghi, dall’altra questa attività diventa una vera e propria profilazione delle persone che vengono, quindi, inquadrate, al pari dei luoghi, nel cosiddetto indice di “pericolosità”. Cosa vuol dire questo? Che, visto che tali sistemi funzionano prendendo la storicità delle azioni già accadute, oltre a determinare strani pregiudizi sui luoghi dove scegliere una casa, ad esempio, getta ombre pregiudizievoli sulla qualità stessa delle persone.
Ovvero anche prendendo dati più verticalizzati alla prevenzione, nella raccolta dei dati e delle tracce lasciate dalle persone in questi software o nei loro stessi social o cellulari, si innestano delle ripercussioni gravissime. In questi data base in cui vengono esposti luoghi e persone a rischio si innestano violenze ancor più cruente, perché portano le autorità a sospettare anche chi semplicemente cambia le proprie abitudini creando anche forti diseguaglianze razziali e sociali. Una previsione statistica, ad opera di machine learning e IA, effettua analisi con migliaia di dati con la hotspot analysis per diventare poi predictive policing ovvero segnalazione delle aree più a rischio. Questo metodo può diventare però poco efficace lasciando scoperte altre aree facendo migrare le comunità più pericolose anche su altre zone creando ulteriori problemi.
Se la digitalizzazione delle nostre società sta portando tanti benefici va anche capito come e dove inizia il controllo per la prevenzione e dove il controllo per la profilazione. Questa enorme crisi sanitaria ha ancora di più generato questo dubbio. Dubbio ancora più profondo se pensiamo a come gli USA vogliano corroborare questo metodo anche in Ue non tendono conto il Privacy Shield, accordo tra USA e Ue sula gestione della privacy.
Marco Santarelli, Chairman of the Research Committee IC2 Lab – Intelligence and Complexity Adjunct Professor Security by Design Expert in Network Analysis and Intelligence Chair Critical Infrastructures Conference
