NEWS

La proroga della sezione 702 del FISA: implicazioni per la privacy dei cittadini europei e il nuovo Data Privacy Framework

L'aggiornamento legislativo statunitense rappresentato dalla proroga della Sezione 702 del Foreign Intelligence Surveillance Act (FISA) merita un'analisi approfondita, specialmente alla luce delle sue ramificazioni per la privacy dei cittadini europei protetti dal Regolamento Generale sulla Protezione dei Dati (GDPR).

L'aggiornamento legislativo statunitense rappresentato dalla proroga della Sezione 702 del Foreign Intelligence Surveillance Act (FISA) merita un'analisi approfondita

La Sezione 702 autorizza le agenzie di intelligence americane a intercettare le comunicazioni di stranieri situati all'estero, dando luogo alla "sorveglianza di un obiettivo straniero" definibile come la capacità delle agenzie di intelligence degli USA di intercettare le comunicazioni di non cittadini statunitensi che si trovano fuori dagli Stati Uniti, senza necessità di un mandato per ciascun individuo.

Questa sorveglianza mira a raccogliere informazioni di intelligence rilevanti per la sicurezza nazionale, come dati su terrorismo o spionaggio. È soggetta all'approvazione e alla supervisione della Foreign Intelligence Surveillance Court (FISC), che verifica la conformità con le leggi e la Costituzione degli Stati Uniti, e prevede procedure stringenti per proteggere i dati incidentali che coinvolgono cittadini americani o residenti permanenti.

Questa disposizione, originariamente introdotta nel 2008, è stata concepita per colmare le lacune emergenti nell'era digitale, permettendo una sorveglianza efficace di soggetti considerati una minaccia per la sicurezza nazionale. Tuttavia, le operazioni di sorveglianza possono incidentalmente coinvolgere anche cittadini europei, creando un terreno di scontro potenziale con il GDPR, che impone rigidi limiti al trasferimento di dati personali al di fuori dell'Unione Europea.

Il Trans-Atlantic Data Privacy Framework, recentemente stipulato tra l'UE e gli USA, mira a superare le difficoltà introdotte dalla caduta del Privacy Shield, proponendo nuove garanzie per la protezione dei dati personali. Nonostante ciò, la persistente attuazione della Sezione 702 solleva questioni intricate sulla sua compatibilità con le promesse di questo nuovo accordo.

In virtù della Sezione 702, le autorità americane possono accedere a dati gestiti da compagnie statunitensi, inclusi quelli immagazzinati su piattaforme cloud, ampliando così il rischio di esposizione per i cittadini europei. Tale estensione ha suscitato reazioni negative da parte dei difensori della privacy, che vedono in queste misure un potenziale pericoloso per l'abuso.

Le statistiche rilasciate dal governo degli Stati Uniti indicano che nel solo 2016, la NSA e la CIA hanno eseguito migliaia di query utilizzando identificatori di persone statunitensi all'interno del database della Sezione 702, rivelando la vasta portata di questa sorveglianza. Secondo l’ultimo report disponibile del 2022 i servizi americani nel 2020, hanno effettuato 7.282 query per recuperare contenuti non minimizzati delle comunicazioni.

Questi dati, sebbene focalizzati sulla protezione della sicurezza nazionale, sollevano preoccupazioni significative quando si considerano le implicazioni per i cittadini europei, i quali potrebbero vedersi coinvolti in modo analogo. L'ampio raggio d'azione della Sezione 702, combinato con l'architettura di sorveglianza globale e la capacità di intercettare vaste quantità di comunicazioni, pone una sfida diretta alle normative europee sulla privacy.

Nonostante i protocolli di minimizzazione e le revisioni annuali da parte della Foreign Intelligence Surveillance Court (FISC), che mirano a proteggere le informazioni relative ai cittadini americani, la tutela per i cittadini non statunitensi rimane ambigua, e la protezione effettiva sotto il GDPR appare incerta.

Questa situazione esemplifica la tensione continua tra le necessità di sicurezza nazionale e i diritti fondamentali alla privacy. Mentre gli Stati Uniti sostengono la necessità di tali misure per contrastare minacce gravi come il terrorismo e la proliferazione di armi, l'Europa rimane vigile nella protezione dei diritti civili dei suoi cittadini, specialmente nel contesto della trasmissione transatlantica di dati personali.

In questo contesto complesso, il dibattito sulla privacy e sicurezza è destinato a continuare, con la sfida per l'Europa di mantenere la sovranità sui dati personali dei suoi cittadini mentre naviga nelle acque turbolente delle relazioni internazionali e delle esigenze di sicurezza globale. Questa intersezione tra legge e tecnologia richiede un equilibrio delicato, uno che dovrà essere costantemente valutato alla luce delle evoluzioni tecnologiche e delle dinamiche politiche internazionali.

Un punto di preoccupazione riguarda la potenziale sovrapposizione tra le operazioni consentite dalla Sezione 702 e i principi fondamentali del GDPR, che limitano il trasferimento di dati personali a paesi terzi, a meno che non sia garantito un livello adeguato di protezione. Nonostante il nuovo Trans-Atlantic Data Privacy Framework prometta rinnovate garanzie, le operazioni di sorveglianza permesse dalla Sezione 702 potrebbero non essere pienamente trasparenti, e quindi difficili da conciliare con le richieste di protezione dettate dall'Europa.

Inoltre, vi è la questione della ricaduta di tali sorveglianze sui diritti degli individui. La raccolta di "informazioni incidentali", che può includere dati di cittadini europei comunicati durante la sorveglianza di un obiettivo straniero, rimane un aspetto poco chiaro e potenzialmente problematico. Questo aspetto della sorveglianza può far emergere dubbi sulla validità delle protezioni promesse dal framework e sulla loro applicabilità pratica quando i dati transitano attraverso o sono conservati negli Stati Uniti.

Infine, la questione della responsabilità e del controllo. I meccanismi per contestare l'uso improprio dei dati o per ottenere la trasparenza su come i dati vengono gestiti e utilizzati dalle agenzie di intelligence rimangono complessi e spesso inaccessibili al cittadino medio. La distanza geografica, insieme alla complessità dei processi legali e amministrativi, può rendere difficile per i cittadini europei esercitare i diritti di cui godono teoricamente sotto il GDPR.

Tali dubbi e domande non sono meri esercizi accademici, ma riflettono preoccupazioni reali che possono influenzare la fiducia nell'ecosistema digitale globale. Il continuo dialogo tra UE e USA sarà cruciale per garantire che i progressi nella sicurezza nazionale non pregiudichino i diritti alla privacy individuale, in un equilibrio che deve essere costantemente ricercato e aggiornato in risposta alle mutevoli tecnologie e minacce.

Note sull'Autore

Paolo Romani Paolo Romani

Consulente Privacy e Sicurezza IT presso Delmiele Digital Agency, Delegato Federprivacy nella provincia di Lodi. Professionista certificato Privacy Officer e Consulente della Privacy (CDP) con TÜV Italia.

Prev Piattaforme online, per gli utenti che non vogliono essere profilati è necessaria una terza via in alternativa al modello «Pay or Ok»
Next L’utilizzo dell’Intelligenza Artificiale nei prodotti per la sicurezza sul lavoro: gli aspetti privacy da valutare

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy