Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'
stampa articolo  esporta articolo in PDF

Un’interessante sentenza in materia di protezione dei dati personali

Un’interessante sentenza in materia di protezione dei dati personali
Adalberto Biasiotti
 Adalberto Biasiotti
 Privacy
28/09/2018: Una sentenza sulla legittimità di raccolta di metadati, afferenti a comunicazioni telefoniche, anche se tali dati sono protetti da tecniche di pseudo anonimizzazione.

La raccolta di grande quantità di dati afferenti a telecomunicazioni ha acquisito una rilevanza eccezionale, nell’occhio del pubblico, dopo le ormai famose rivelazioni di Edward Snowden, nel 2013, sulle attività di raccolta di questi dati da parte della National security agency.

 

Queste attività sono svolte in numerosi paesi del mondo e per solito sono gestite da servizi di intelligence.

 

In Germania, il servizio federale tedesco di intelligence (Bundesnachrichtendienst), svolge proprio questa attività, con riferimento a comunicazioni telefoniche svolte sia in Germania, sia dirette a paesi esteri.

 

Cominciamo a chiarire al lettore cosa si intende per metadati afferenti alle comunicazioni telefoniche.

 

È esplicitamente escluso il contenuto della telefonata stessa, mentre fra i metadati si possono elencare, ad esempio, l’ora in cui la telefonata è iniziata, l’ora in cui è finita, il numero di telefono del chiamante e del chiamato, la ubicazione approssimata dei telefoni cellulari, da cui è partita o è arrivata la telefonata, e via dicendo.

 

Utilizzando questi metadati, i servizi di intelligence possono ottenere importanti informazioni, come ad esempio creare dei profili di spostamento e movimento dei soggetti coinvolti, oltre a creare un registro di soggetti con i quali essi svolgono frequenti comunicazioni.

 

Al fine di raccogliere queste informazioni, i servizi di intelligence federali tedeschi gestiscono un file, chiamato VERAS – Verkehrsdatenanalysesystem. In questo archivio sono riposti i dati relativi appunto al traffico svolto tipicamente con l’esterno della Germania, per una durata di circa sei mesi; i metadati che derivano invece da comunicazioni via Internet e posta elettronica sono raccolti altrove.

 

I servizi di intelligence analizzano questi dati per mettere in evidenza profili particolari operativi legati a soggetti conosciuti o non conosciuti.

 

Pubblicità
Blumatica GDPR: Account Base - Canone 12 mesi
Il software completo per la gestione della protezione dei dati personali (privacy) ai sensi del GDPR 2016/679.
 

Per offrire un soddisfacente livello di protezione dei dati, questi dati sono protetti da tecniche di anonimizzazione. Ad esempio, un certo numero di cifre è sostituito da X, nei dati archiviati. Questa tecnica di anonimizzazione stata sviluppata secondo le indicazioni della legge federale sulla protezione dei dati. Occorre tuttavia precisare che la espressione anonimizzazione non è corretta, in quanto in realtà ci troviamo davanti a pseudo anonimizzazione. Ciò significa che, in caso di necessità, le agenzie di intelligence possono ricostruire integralmente i dati resi anonimi. È bene ricordare che già in passato l’autorità garante per la protezione dei dati personali aveva espresso delle perplessità sulla attività svolta dalle agenzie di intelligence ed ecco la ragione per la quale già in precedenza un interessato si era rivolto alla corte federale.

 

In questo caso però la corte aveva deciso che l’interessato in questione non aveva titolo a presentare un reclamo, in quanto non era provato che i suoi dati specifici fossero raccolti in questi archivi.

 

La seconda volta invece si è mossa la ONG Reporter senza frontiere, che riteneva ci si trovasse davanti a una violazione della protezione dei dati afferenti alle telecomunicazioni, perché questa raccolta di dati viene effettuata su larga scala e non era specificamente mirata a soggetti specifici.

 

È un po’ la teoria che utilizzano le aziende che raccolgono i Big data: raccogli tutti i dati possibili ed immaginabili e poi vedremo come utilizzarli in modo appropriato!

 

Sono certo che problemi di questo genere si presenteranno certamente anche in Italia ed ecco la ragione per la quale ritengo che questo procedimento, davanti al tribunale amministrativo federale, possa avere riflessi anche sull’attività svolta da agenzie di intelligence in altri paesi europei.

Ad esempio, proprio alla luce delle nuove indicazioni del regolamento europeo, la corte federale ha affermato che una forma di anonimizzazione, basata solamente sul mascheramento del numero del soggetto coinvolto, può essere ritenuta insufficiente, perché rimangono ancora altri elementi identificabili in altre parti di metadati.

 

Siamo quindi in presenza di un’interferenza con la segretezza, che dovrebbe essere garantita ad ogni comunicazione.

 

Ecco la ragione per la quale la corte ha ritenuto che i servizi federali di intelligence potrebbero comunque continuare a svolgere questa attività, ma a fronte della emissione di una legge speciale per la protezione della sicurezza della nazione.

 

Per contro, l’agenzia di intelligence federale aveva basato la sua attività su considerazioni generali, che, nell’opinione dei giudici, non erano sufficienti a giustificare la raccolta e l’analisi di questi dati.

 

È bene tuttavia ricordare che la sentenza in questione fa riferimento soltanto alla causa che era stata avanzata in forma specifica, e non è applicabile su scala generale.

Questa è la ragione per cui la organizzazione Reporter senza frontiere si sta attivando nuovamente per far estendere questo giudizio, limitato a pochi interessati, su una base più allargata.

 

In particolare, Reporter senza frontiere prevede di rivolgersi addirittura alla corte europea dei diritti umani, che in precedenza aveva però già rigettato una richiesta similare, nel 2014.

A mio avviso, questa sentenza dà delle indicazioni oltremodo interessanti ed importanti, perché ad oggi le indicazioni del regolamento, in termini di pseudo anonimizzazione, non sono ancora state trasformate in proposte concrete circa quali interventi, ed a che il livello di profondità, debbano essere attivati per poter affermare che un intervento di pseudo anonimizzazione sia realmente efficiente ed efficace.

 

Adalberto Biasiotti

 



Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.

Hai qualcosa da dire su questo articolo? Aggiungi ora il tuo commento


Ad oggi, nessun commento è ancora stato inserito.
Nome e cognome: (obbligatorio)
Email (se vuoi ricevere l'avviso di altri commenti)
Inserisci il tuo commento:(obbligatorio)

Leggi anche altri articoli sullo stesso argomento:

Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Forum di PuntoSicuro Entra

FORUM

Quesiti? Proponili nel FORUM!