L’Accordo Commerciale Anti-Contraffazione, noto con l’acronimo di ACTA, è stato oggetto di un parere negativo da parte di EDPS, European Data Protection Supervisor, una sorte di Garante della Privacy europeo. Naturalmente trattasi di un parere, peraltro una replica di un analogo documento del 2010, non vincolante per la Commissione Europea né per il Parlamento. EDPS si era espresso nel 2010 solo sulla base delle indiscrezioni del testo dell’Accordo. Oggi che il testo è pubblico, ha potuto esplicitare meglio la precedente affermazione secondo cui

the introduction in ACTA of a measure that would involve the massive surveillance of Internet users would be contrary to EU fundamental rights and in particular the rights to privacy and data protection, which are protected under Article 8 of the European Convention on Human Rights and Articles 7 and 8 of the Charter of Fundamental Rights of the EU (l’introduzione in ACTA diuna misura che comporterebbe la sorveglianza di massa degli utenti di Internet, sarebbe in contrasto con i diritti fondamentali dell’Unione e in particolare i diritti alla privacy e alla protezione dei dati, che sono tutelati ai sensi dell’articolo 8 della Convenzione europea sui diritti dell’uomo e dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. EDPS – trad. propria).

L’analisi dell’Accordo da parte di EDPS parte dal presupposto che EDPS medesima riconosce la legittima preoccupazione di assicurare il rispetto del diritto d’autore in un contesto internazionale. ma le modalità previste per rafforzare la sua applicazione “non devono andare a scapito dei diritti fondamentali degli individui, e in particolare dei loro diritti alla tutela della privacy e dei dati”, cosa che invece potrebbe avvenire se ACTA venisse applicato dagli Stati membri nel testo in cui è stato approvato dal Consiglio nel Dicembre 2011 e firmato dalla Commissione in sede internazionale il 26 Gennaio 2012.

Il disposto normativo contenuto nel Capitolo II, Sezione 5, contiene due strumenti potenzialmente lesivi della privacy individuale. che sono nell’ordine:

1. un meccanismo mediante il quale i provider di servizi on-line possono essere obbligati da una competente autorità di rivelare l’identità di un abbonato sospetto, direttamente e immediatamente al titolare di un diritto;
2. la promozione di sforzi di cooperazione fra provider e detentori dei diritti per affrontare efficacemente le violazioni di marchi e diritti d’autore.

EDPS scive senza che, questi due strumenti, ognuno singolarmente o in combinato fra loro, potrebbero prefigurarsi come un sistema di monitoraggio dell’uso individuale di Internet, sia nell’intento di combattere le violazioni del copyright, sia nell’atto di prevenirle. In molti casi, inoltre, tale monitoraggio verrebbe condotto dallo stesso soggetto detentore del copyright o con l’ausilio di società terze, se non addirittura del medesimo ISP. Le misure che comportano il controllo generalizzato delle attività Internet degli utenti sono molto invasive della sfera privata degli individui. Il monitoraggio potrebbe interessare anche utenti non sospettati, utenti ignari di essere sotto controllo, di essere tracciati. Nessuna notifica è prevista nemmeno per i sospettati sottoposti al monitoraggio.

They may involve the monitoring of electronic communications exchanged over the Internet and the review of the content of individuals’ Internet communications, including emails sent and received, websites visited, files downloaded or uploaded, etc. Furthermore, such monitoring usually entails the systematic recording of data, including the IP address of suspected users. All this information can be linked to a particular individual through the ISP, who can identify the subscriber to whom the suspected IP address was allocated. It therefore constitutes personal data as defined in Article 2 of the Data Protection Directive 95/46/EC (Ciò può comportare il controllo delle comunicazioni elettroniche
scambiate su Internet e la verifica del contenuto delle comunicazioni degli individui, compresi e-mail inviate e ricevute, i siti web visitati, i file scaricati o caricati, ecc. Inoltre, tale controllo comporta di solito la registrazione sistematica di dati, incluso l’indirizzo IP degli utenti sospetti. Tutte queste informazioni possono essere collegate a un individuo particolare attraverso l’ISP, che può a sua volta identificare l’abbonato al quale il sospetto indirizzo IP è stato assegnato. Ciò costituisce pertanto violazione dei dati personali ai sensi dell’articolo 2 della direttiva 95/46/CE sulla protezione dei dati individuali – EDPS cit., trad. propria).

La legittimità di tali misure specifiche che interferiscono con i diritti fondamentali e le libertà individuali devono essere valutate alla luce dei criteri di cui all’articolo 8 (2) della Convenzione europea dei diritti dell’uomo 24 e l’articolo 52 della Carta dei diritti fondamentali dell’UE. Queste norme fondamentali richiedono che ogni limitazione dei diritti sia prevista dalla legge e sia altresì necessaria e proporzionata allo scopo legittimo perseguito, nonché devono essere conformi alla normativa sulla protezione dei dati, che, tra l’altro, richiede che esse siano fondate su una base giuridica valida. Affinché siano definite proporzionate, tali misure devono essere valutate “caso per caso” e devono essere sufficientemente dettagliate al fine di definire con precisione l’impatto che queste possono avere sulla sfera dei diritti individuali. La misura deve essere proporzionata in risposta a una violazione individuale dei diritti di proprietà intellettuale (e che può esistere soltanto dinanzi al fatto compiuto); una misura che mira a prevenire le violazioni dei diritti d’autore in via generale non sarebbe proporzionata.

Pertanto, per valutare la proporzionalità di tali misure di monitoraggio è necessario valutare a) la portata e la profondità delle attività di monitoraggio; b) l’ampiezza delle violazioni del copyright. Ne consegue che il monitoraggio generalizzato previa memorizzazione di dati su scala generale allo scopo di far rispettare il copyright, così come la scansione di Internet in quanto tale, o tutta l’attività nelle reti P2P, andrebbero al di là ciò è legittimo.

Such general monitoring is especially intrusive to individuals’ rights and freedoms when it is not well defined and there is no limitation to it, in scope, in time, and in terms of persons concerned28 . As a consequence, the indiscriminate or widespread monitoring of Internet user’ behaviour in relation to trivial, small-scale not for profit infringement would be disproportionate and in violation of Article 8 ECHR, Articles 7 and 8 of the Charter of Fundamental Rights, and the Data protection Directive (Tale monitoraggio generale è particolarmente intrusivo per i diritti e le libertà individuali quando non è ben definito e non vi è alcuna limitazione ad esso, in termini di ambito, nel tempo, e in termini di soggetti interessati. Di conseguenza, l’indiscriminato o viceversa capillare monitoraggio del comportamento degli utenti di Internet ‘in relazione a violazioni banali, su piccola scala, non per profitto, sarebbe sproporzionato e in violazione dell’articolo 8 della ECHR, articoli 7 e 8 della Carta dei diritti fondamentali, e la Direttiva sulla protezione dei dati – EDPS, cit., trad. propria).

Related articles

• European Data Protection Supervisor Slams ACTA on Privacy Grounds (michaelgeist.ca)
• ACTA Is A Threat To Privacy Says European Data Protection Supervisor (webpronews.com)
• La Quadrature du Net: EU Privacy Watchdog Slams ACTA. Again. (laquadrature.net)
• ACTA could threaten online privacy, EU watchdog says (sofiaecho.com)
• EU privacy body slams ACTA as ‘unacceptable’ (go.theregister.com)