Mancano due settimane all'entrata in vigore delle misure antiterrorismo
stabilite dal decreto-legge 27 luglio 2005, n.144 (modificato
con la legge 31 luglio 2005, n 155) e dal decreto del Ministro dell'interno 16 agosto 2005,
precisate dalla circolare del Ministero dell'interno n. 557/2005.
E i dubbi e le perplessità della prima ora sono confermati da una più meditata
lettura delle norme. Dai telegiornali della sera di mercoledì 7 settembre abbiamo appreso che i
ministri dell'interno dei Paesi UE, riuniti a Manchester, non hanno le idee chiare sulla conservazione
dei dati del traffico telefonico e telematico. Ma il nostro Pisanu non ha
manifestato incertezze e ha detto semplicemente che il signor Rossi deve accettare qualche
limitazione della sua privacy per avere maggiore sicurezza. Tutto qui?
Se il problema fosse solo questo non ci sarebbe nulla da ridire: la difesa dal
terrorismo vale bene una limitata compressione del diritto alla riservatezza.
In realtà i problemi sono molti e molto seri. Cerchiamo di sintetizzarli ora, riservandoci di
approfondire singoli aspetti nei prossimi numeri (in particolare per quanto
riguarda gli adempimenti per il rispetto delle norme sui dati personali nella conservazione dei
dati del traffico).
1. Per gli operatori ci sono disposizioni non chiare. Se è facile
applicare la misura che prevede la conservazione dei dati della posta
elettronica (basta conservare le intestazioni (header) dei messaggi -
cioè quei dati che normalmente non vengono visualizzati dai software più
diffusi, ma contengono tutta la storia del messaggio), archiviare le
informazioni "che consentono la tracciabilità degli accessi, nonché,
qualora disponibili, dei servizi" (art.
6) può costituire un problema di
non facile soluzione. Infatti i log generati dai server contengono una
enorme quantità di dati: basti pensare che per caricare una pagina il programma di navigazione invia una richiesta per
ogni elemento che la compone. Anche per una pagina semplice come questa che
state leggendo ci sono molte richieste al server (persino per i filetti
grafici!) e si generano file log di enormi dimensioni, pesanti da archiviare e
difficili da interpretare. Servono chiarimenti su quali dati vadano archiviati,
tenendo presenti le oggettive difficoltà di selezionarli.
2. L'art. 1 del regolamento obbliga gli operatori a mettere in piedi
una struttura così complessa che per i più piccoli può significare
semplicemente la chiusura dell'attività. Pensiamo a quanti internet point,
nelle nostre città, sono gestiti da una o due persone, per di più straniere.
Pensiamo alla difficoltà, per costoro, di predisporre e compilare
registri, redigere avvisi in più lingue: immaginiamo un gestore indiano che
deve esporre cartelli in italiano, polacco, romeno, spagnolo e arabo, con le
indicazioni previste dalla legge.
3. L'art. 2 del regolamento prescrive che gli operatori "devono
adottare le misure necessarie affinché i dati
registrati siano mantenuti, con modalità che ne garantiscano l'inalterabilità
e la non accessibilità da parte di persone non autorizzate". Come si fa?
Certo non basta adottare le "misure minime" previste dalla normativa
sui dati personali (compresa la predisposizione del "documento
programmatico sulla sicurezza") e per l'inalterabilità dei dati sono
indispensabili firma digitale e marca temporale. E la prima presenta qualche
difficoltà, quando i file da validare sono di grandi dimensioni. Ma
ogni quanto tempo i log devono essere "congelati"? Ogni ora? Ogni
giorno? Una volta alla settimana?
4. Non parliamo dei problemi pratici che incontreranno fornitori e
utenti dei servizi Wi-Fi. Problemi tali da frenare nuovamente la diffusione di questo
fondamentale settore, che in Italia è in gravissimo ritardo, a causa di
una normativa che è poco definire miope e che solo ora ci si appresta ad
aggiornare.
5. Tutto questo in una cornice allarmante: quella della
"autorizzazione di polizia" per svolgere l'attività, con il corredo
delle ispezioni e dell'acquisizione dei dati da parte delle forze dell'ordine.
Il che comporta la possibilità che i dati acquisiti con la finalità di
combattere il terrorismo vengano usati anche per procedimenti per la presunta
commissione di altri reati, come la violazione delle norme sul diritto d'autore.
Inoltre si deve valutare il fatto, non secondario, che la presenza di una sterminata quantità di archivi di
dati personali, nelle mani di titolari che non possono essere tutti onesti, rigorosi
e preparati, costituisce un rischio per la riservatezza degli utenti molto più
grave di quello bonariamente descritto dal nostro Ministro dell'interno.
Ma c'è di più.
Le attività di cui stiamo parlando costituiscono il motore stesso della
società dell'informazione: fornitura e acquisizione di servizi per via
telematica, scambio di corrispondenza, ricerca di informazioni. Sottoporre
queste attività ad una "autorizzazione di polizia" è intollerabile
in una società che si dice libera e democratica. Contravvenire all'obbligo
della richiesta di autorizzazione è un illecito punibile con l'arresto fino a
tre mesi o con sanzioni amministrative di migliaia di euro. "Autorizzazione
di polizia" significa che
"Gli ufficiali e gli agenti di pubblica sicurezza hanno facoltà di
accedere in qualunque ora nei locali destinati all'esercizio di attività
soggette ad autorizzazione di polizia" (art. 16 del testo unico delle leggi
di pubblica sicurezza).
Assoggettare a restrizioni di questo genere attività ormai quotidiane nella
nostra società è tipico dei Paesi dove non c'è una democrazia compiuta
(la Cina, per esempio). E' vero che il terrorismo internazionale è una minaccia
gravissima, incombente. Per combatterlo si deve arrivare a misure di questa
gravità?
Perché, nella sostanza, queste norme impongono pesanti limitazioni al
nostro essere cittadini nella società dell'informazione. Basta riflettere sul
fatto che i dati delle nostre "navigazioni" possono rivelare le nostre
idee politiche, le nostre tendenze sessuali, le nostre convinzioni religiose il
nostro stato di salute. Se si aggiungono gli header delle nostre e-mail,
si aggiunge la possibilità di ottenere la "mappa" completa dei nostri rapporti personali e di lavoro: è il caso di
dire "privacy addio".
Le domande che dobbiamo porre sono essenzialmente due: 1) tutto questo servirà a qualcosa?
2) C'è una proporzione tra i limiti imposti
alla libertà di ciascuno di noi e i risultati che è ragionevole
aspettarsi?
Viene alla memoria un'altra legislazione di emergenza,
quella che fu emanata negli "anni di piombo" della nostra Repubblica. Durante il sequestro di Aldo Moro ci furono milioni e
milioni di controlli personali, ma non un solo terrorista fu trovato con questo
sistema. Anche allora fu introdotto un controllo di polizia che riguardava i
sistemi informatici: si doveva notificare alla prefettura il possesso di
computer, archivi magnetici e stampanti. Non servì a nulla, per quanto risulta,
ma almeno era una semplice notificazione, non una richiesta di autorizzazione
all'uso di quegli strumenti. Sul piano delle libertà civili la differenza
è sostanziale.
Senza contare che le norme sono sempre aggirabili. Un piccolo esempio: la
circolare Pisanu chiarisce che anche gli alberghi che forniscono ai
clienti l'accesso telematico sono soggetti alle nuove disposizioni. Bene, ci
sono moltissimi alberghi che non offrono il servizio (e quindi non sono tenuti
al rispetto delle recenti norme), ma non per questo i
clienti devono rinunciare a collegarsi all'internet: basta staccare il cavetto
dal telefono della stanza e infilarlo nella presa del computer portatile...
Post-scriptum. In agosto ho vagabondato in Francia per due
settimane, sono stato in una decina di alberghi o bed & breakfast, ma
mai - mai! - ho dovuto esibire un documento d'identità. Eppure anche in Francia
c'è la minaccia del terrorismo, tanto che dopo gli attentati di Londra il
governo aveva reintrodotto i controlli alle frontiere interne della UE,
sospendendo gli accordi di Schengen.Così, almeno, fu detto. E qualcuno propose
che l'Italia seguisse la stessa strada. Ma, uscendo dall'Italia attraverso Ventimiglia
non c'era neanche un posto di controllo; rientrando dal Frejus il posto di
controllo si vedeva, ma dentro non c'era nessuno.
|