C’è diffusa preoccupazione per le conseguenze del decreto legge 534 (emanato dal governo italiano il 24 dicembre 2003) che stabilisce, a carico dei fornitori di servizi di comunicazione elettronica, l’obbligo di conservazione fino a cinque anni dei dati di traffico dei servizi telefonici e internet trattati per finalità di fatturazione, ma utilizzabili per ispezione da parte di magistrati inquirenti, forze di polizia o altre funzioni di stato.
Il problema era stato segnalato da ALCEI nel suo comunicato del 23 dicembre 2003 La conservazione indiscriminata del traffico internet non serve ad arrestare i criminali e minaccia la libertà di imprese e cittadini – e ha poi dato luogo a vari rilievi e molteplici discussioni non solo in Italia, ma anche in ambito internazionale, dove il tema della data retention è oggetto da tempo di dibattiti e polemiche, per lo più in relazione a problemi di privacy.
Il tema merita un ulteriore approfondimento – e va collocato in una prospettiva più ampia, di cui questo è solo un episodio.
Quel decreto legge è nato, quasi casualmente, per l’affrettata decisione di modificare le conseguenze di un precedente decreto legislativo (il 196 del luglio 2003 – Testo Unico sul trattamento dei dati personali) che, per motivi di privacy, aveva disposto (peraltro con varie eccezioni) l’eliminazione dei dati archiviati dopo trenta mesi.
Il testo del nuovo decreto legge è confuso, disordinato e poco chiaro – ma nella sostanza non modifica lo stato di fatto precedente, se non per un allungamento obbligatorio del tempo di conservazione dei dati.
Il decreto legge, preso in sé, (e nell’ipotesi che rimanga tal quale e sia applicato con “buone intenzioni”) non è più preoccupante o vessatorio di altri provvedimenti emanati o in corso di emanazione sulle attività in rete. Ma se lo si osserva nel contesto, cioè nel processo di continua erosione dei diritti civili da tempo in atto, si rivela come ennesimo sintomo di un problema più generale – che non riguarda solo l’Italia.
Quando si parla di data retention i termini del dibattito si riassumono quasi sempre nel contrasto fra sostenitori della privacy e organismi investigativi. Se ci si limita a questo tema (importante, ma non l’unico né il principale) si perdono di vista sia i pericoli per altri, e non meno rilevanti, diritti individuali, sia il quadro più generale del rapporto fra dovere di protezione da parte dello Stato e rispetto dei diritti civili.
In particolare, sta emergendo prepotentemente la tendenza (già da molto tempo sviluppata in pratica, ma non ancora formalmente codificata) a trasformare il criterio di responsabilità dalla sanzione degli effetti di un comportamento a punizione di uno “status” considerato a priori come colpevole.
Cioè il concetto, in sé legittimo e corretto, di prevenzione si trasforma in sanzione arbitraria contro categorie, reali o immaginarie, di “presunti trasgressori”.
Non c’è dunque, il responsabile di un furto, ma “il ladro”. Non l’autore di un accesso abusivo a una rete, ma “il pirata” (definizione impropria e bizzarramente applicata anche ad attività, illecite o non, che nulla hanno a che vedere con omicidi, ladrocini ed estorsioni). Non «il soggetto che detiene immagini pornografiche prodotte mediante lo sfruttamento sessuale dei minori», ma “il pedofilo”.
In altri termini, si creano “modelli criminali” che vanno puniti non per quello che fanno, ma per quello che sono, o, meglio, che potrebbero essere. Senza nemmeno bisogno che il “modello” compia concretamente un atto illecito.
È evidente che queste definizioni, sostanzialmente vaghe, approssimate e arbitrarie, permettono a chiunque abbia poteri di controllo e sanzione di perseguitare, con una varietà di pretesti, chiunque sia sgradito, dissenziente o scomodo.
Il quadro, ovviamente, si aggrava in presenza di un problema drammatico e preoccupante come il terrorismo. Che mette in evidenza la necessità di una intelligente prevenzione – quanto la necessità (funzionale oltre che etica) di non scatenare arbitrarie e pericolose cacce alle streghe, di non cadere in “categorizzazioni” improprie – e di non intaccare, con il pretesto della minaccia terrorista, quei diritti umani e civili, e quelle libertà personali, di cui ci si dichiara difensori.
In questo contesto, la data retention (insieme ai criteri, inevitabilmente arbitrari, di analisi e classificazione dei contenuti) gioca un ruolo essenziale perché consente di creare tanti “modelli comportamentali” quante sono le necessità di chi indaga – come di chiunque altro, per qualsiasi altro motivo, ha accesso ai dati. E per di più, considerato che una conservazione generalizzata dei dati di traffico è estremamente onerosa sia dal punto di vista tecnico, sia da quello economico-gestionale, non è improbabile che si debba operare una scelta sui soggetti il cui traffico dovrà essere conservato. Aprendo così la strada a schedature di massa delle persone “sgradite” al potere. Che già esiste – ma con più massicce risorse tecniche non solo può essere enormemente potenziata, ma può anche creare infinite complicazioni per le inevitabili imperfezioni e arbitrarietà degli automatismi.
Sappiamo, per esperienza pratica, che la “profilazione” a fini commerciali funziona malissimo ed è molto meno efficace di altre, più civili, forme di dialogo e scelta degli interlocutori. Ma la leggenda, diffusa ad arte dai mercanti di dati, della sua efficacia ha prodotto non solo un comprensibile allarme, ma un esagerato allarmismo – per cui se da un lato si tenta di limitare la “profilazione” come strumento commerciale, dall’altro si immagina che sia uno strumento utile per le indagini – o per altri controlli e manipolazioni, tutt’altro che trasparenti e legittime, da parte dei centri di potere.
Con l’uso di strumenti inaffidabili quanto manipolabili si sviluppano indagini e processi (oltre a molte forme non giudiziarie di persecuzione) contro “identità virtuali” che possono facilmente essere create ad hoc secondo ogni sorta di pregiudizi o di intenzioni persecutorie. Con l’aggravante che le vittime non sanno come difendersi perché l’indagine “è fatta con il computer” e perché non c’è modo di sapere come siano stati generati i dati.
Così il mito di “infallibilità della macchina” si incrocia con una forma di “neo lombrosismo” che permette di creare ad libitum categorie di presunti “criminali tendenziali” o “tipologie predisposte” in cui può essere compresa qualsiasi persona, o categoria di persone, sia considerata scomoda o fastidiosa. Una specie di pogrom istituzionalizzato, senza neppure la trasparenza e la visibilità di un pregiudizio etnico o culturale pubblicamente dichiarato.
Inoltre, in ogni indagine “automatizzata” possono nascondersi pericoli di varia specie. Criteri impropri o arbitrari possono essere inseriti nel sistema in modo occulto e difficilmente rilevabile – e altrettanto “invisibili” distorsioni possono derivare dall’imperizia, o dall’intenzionale deformazione, di un operatore.
Una somma di intenzionali persecuzioni e di involontari errori (e con infinite complicazioni derivanti dalla “convergenza” dei due fattori) può produrre conseguenze così vaste e complesse che è preoccupante anche solo immaginarle.
Su questo tema dovremo ritornare, in una prospettiva piùestesa. Ma intanto, e come provvisoria conclusione, ritorniamo al caso specifico di questo decreto legge. È vero che si parla, nel decreto, di procedure “garantiste” sulla conservazione sull’accesso ai dati di traffico, ma senza alcuna chiara indicazione di come debbano essere realizzate. Per di più, se la creazione dei dati di traffico è intenzionalmente truccata, o casualmente inesatta, conservarli “correttamente” significa solo conservare sistematicamente dati sbagliati. E chiunque abbia un po’ di competenza in fatto di elaborazione elettronica sa che questo non è solo possibile, ma piuttosto frequente.
Insomma la necessità di sorveglianza per la difesa dei diritti civili e delle libertà individuali non riguarda solo la privacy. E va molto oltre il caso specifico di questo mal concepito decreto legge, che è solo un episodio di una serie lunga nel tempo, che tende continuamente a peggiorare.
