Articolo di Ella Jakubowska pubblicato sul sito di EDRi del 15 dicembre 2021 e condiviso con licenza CC-BY 4.0 (il ché comporta la libertà di di condividerlo e adattarlo, purché ne venga citata la fonte).
Nel luglio 2021, il Parlamento europeo e il Consiglio dell’UE hanno concordato regole temporanee per consentire ai servizi di posta elettronica e messaggistica di scansionare le comunicazioni online private di tutti. Nel 2022 la Commissione Europea proporrà una versione a lungo termine di queste regole. Nella prima puntata di questa serie di blog EDRi sul rilevamento “CSAM” online, esploriamo la storia del file e perché è rilevante per i diritti digitali di tutti.
Avviso sui contenuti: discussione sull’abuso e lo sfruttamento sessuale dei minori
Nel luglio 2021, i ministri degli Stati membri dell’Unione Europea (UE) hanno raggiunto un accordo con il Parlamento Europeo per approvare una nuova legge, creando un’eccezione temporanea (deroga) da alcune parti della Direttiva ePrivacy del 2002. Questa deroga consente ai servizi di comunicazione elettronica, come i servizi di chat o webmail, di condurre la scansione automatizzata delle comunicazioni private di tutti , in ogni momento, invece di limitare la sorveglianza ai veri sospetti e in linea con il giusto processo. Tali pratiche generalizzate di scansione possono costituire una forma di sorveglianza di massa. Rappresentano un serio rischio per i diritti fondamentali di tutti perché trattano ciascuno di noi come sospetto.
La deroga scadrà nell’agosto 2024 e la Commissione Europea intende sostituirla con una versione a lungo termine che proporrà nel 2022 . L’obiettivo presunto di queste deroghe è consentire alle aziende di rilevare il “CSAM” online (materiale pedopornografico). Eppure la deroga temporanea consente alle aziende di condurre la scansione di massa dei messaggi privati e delle chat di tutti, invece di limitare la sorveglianza a coloro nei quali vi sia un sospetto ragionevole e legittimo. Peggio ancora, la Commissione ha indicato che la legge a lungo termine potrebbe rendere obbligatoria la scansione generalizzata delle comunicazioni personali di tutti . Se approvate, misure così radicali e sproporzionatamente invasive farebbero probabilmente molto più male che bene.
Come ha sottolineato Alexander Hanff , sopravvissuto agli abusi sui minori e difensore della privacy , il problema è stato strumentalizzato dalle aziende che spingono la loro tecnologia redditizia e dai politici che hanno fatto una “reazione a scatti”. Hanff continua dicendo che i politici hanno proposto misure eccessivamente ampie senza considerare i gravi rischi delle loro proposte per gli stessi sopravvissuti che pretendono di proteggere, né l’impatto negativo sulla società in generale.
L’obiettivo di EDRi per questo fascicolo, pertanto, è garantire che qualsiasi proposta per rilevare la CSAM online sia in linea con gli obblighi dell’UE in materia di diritti fondamentali, in particolare che le misure siano legittime, mirate, nonché chiaramente e oggettivamente proporzionate all’obiettivo dichiarato. Per capire meglio cosa sta succedendo oggi, diamo uno sguardo ad alcuni atti rilevanti della legislazione dell’UE:
2002: la Direttiva ePrivacy
La Direttiva ePrivacy è l’ unico strumento dell’UE che contiene tutele specifiche per il diritto di tutti alla vita privata e alla riservatezza delle comunicazioni, come sancito dall’articolo 7 della Carta dei diritti fondamentali dell’UE. Doveva essere aggiornato in un nuovo regolamento e-privacy nel 2017, come controparte del più noto regolamento generale sulla protezione dei dati (GDPR). Ma (forse ironicamente, vista la velocità con cui è stata approvata la deroga) ePrivacy è nel limbo sin dal 2017 , con i legislatori incapaci di concordare il modo migliore per aggiornare le sue regole all’ambiente digitale di oggi.
L’adozione della Direttiva ePrivacy nel 2002 è stata una pietra miliare importante nella prevenzione della sorveglianza di tutte le nostre comunicazioni private senza un motivo legittimo e legittimo e garanzie adeguate. La direttiva è stata approvata dai legislatori dell’UE in riconoscimento della necessità vitale di proteggere la nostra privacy. Come spiega l’Alto Commissario delle Nazioni Unite per i diritti umani, Michelle Bachelet :
“il diritto alla privacy gioca un ruolo fondamentale nell’equilibrio di potere tra lo Stato e l’individuo ed è un diritto fondamentale per una società democratica”.
La Direttiva ePrivacy è così importante perché riconosce che la privacy e la riservatezza delle comunicazioni non sono valori astratti. Piuttosto, la privacy è un diritto alla base del fatto che ciascuno di noi può votare liberamente alle elezioni, denunciare la corruzione e gli abusi di potere, accedere all’assistenza sanitaria e parlare liberamente con i nostri amici e familiari. La riservatezza è ciò che consente a giornalisti, medici, avvocati e difensori dei diritti umani di svolgere il proprio lavoro.
2011: la Direttiva CSEA
Nell’ambito di un diverso filone politico, nel dicembre 2011 gli organi co-legislativi dell’UE hanno adottato ufficialmente la direttiva sullo sfruttamento e gli abusi sessuali sui minori (CSEA). Affrontare l’archiviazione, la diffusione e l’amplificazione online di CSAM è un argomento serio e cupo, sostenuto da complesse questioni sociali e criminali. La Commissione Europea e il Consiglio d’Europa sottolineano che l’UE ha l’obbligo legale di proteggere i giovani dagli abusi. Tuttavia, come rilevato in un recente rapporto indipendente commissionato dal Consiglio d’Europa , la Direttiva CSEA, che è stato il primo grande sforzo legale dell’UE per affrontare la CSAM online, non ha avuto successo.
Solo la metà degli Stati membri dell’UE ha adottato misure cruciali per garantire che le pagine web contenenti o diffondono CSAM siano prontamente rimosse (articolo 25, direttiva CSEA). Inoltre, una recente indagine in Germania ha fornito un agghiacciante esempio della mancanza di azione per rimuovere CSAM anche dopo che le autorità sono state allertate della sua esistenza. I giornalisti hanno rivelato un gran numero di foto e video di abusi sui minori vecchi di anni che sono rimasti online per molti anni dopo essere stati denunciati, perché la polizia tedesca non ha le “risorse umane” per rimuovere questi contenuti illegali.
Se le forze di polizia europee non hanno le risorse di base per rimuovere il CSAM traumatico che è già là fuori – e che le hotline come INHOPE richiedono che debbano essere rapidamente rimosse come priorità assoluta per evitare di vittimizzare nuovamente i sopravvissuti – allora come intendono affrontare un forte aumento del volume di CSAM online che verrà rilevato a seguito dell’ampliamento delle pratiche di scansione? Inoltre, dobbiamo chiederci perché – visti i problemi con la Direttiva CSEA – la Commissione Europea ha scelto di non dare priorità all’applicazione della rimozione del CSAM anche dopo che le autorità sono state avvisate, e ha invece scelto, tramite la deroga, di concentrarsi sulla sorveglianza delle comunicazioni personali di ogni persona ?
2018-2020: il nuovo ambito di applicazione del Codice Europeo delle Comunicazioni Elettroniche
Avanti veloce fino al 2018, quando la ” rifusione ” di una legge separata, il Codice europeo delle comunicazioni elettroniche (EECC), ha ampliato la definizione di “servizio di comunicazioni elettroniche”. Questa espansione ha fatto sì che da dicembre 2020 alcune regole della Direttiva ePrivacy si applicassero a servizi come Facebook Messenger e WhatsApp, ai servizi di posta elettronica basati sul Web e persino alle chat nelle app di appuntamenti .
Questa avrebbe dovuto essere una buona cosa: queste modifiche all’EECC hanno impedito alle società private che forniscono servizi di comunicazione elettronica di curiosare nelle conversazioni private di tutti. Proprio come la polizia non può intercettare tutti i nostri telefoni o aprire la nostra posta a meno che non abbiano buone ragioni per sospettarci di un crimine abbastanza grave da giustificare una tale interferenza, né le aziende dovrebbero essere autorizzate a intercettare i messaggi di tutti, tutto il tempo.
2020-21: la deroga temporanea ePrivacy
Tuttavia, con l’avvicinarsi dell’applicazione dell’ambito di applicazione ampliato dell’EECC nel dicembre 2020, la Commissione europea ha dovuto affrontare forti pressioni da parte delle società che traggono profitto dalla vendita di strumenti di scansione automatizzata per ritagliarsi un’eccezione alle regole della direttiva ePrivacy. La Commissione europea ha voluto approvare una deroga temporanea per consentire alle aziende di continuare a scansionare volontariamente le comunicazioni private di tutti entro la fine del 2020. Ciò sarebbe seguito da una deviazione a lungo termine dalle protezioni della direttiva ePrivacy contro lo snooping di massa. Anche le celebrità sono intervenute, con Ashton Kutcher e Demi Moore che avrebbero consigliato alla Commissione di sbrigarsi.
Tuttavia, come ha avvertito lo stesso garante della protezione dei dati dell’UE , la proposta della Commissione europea mancava di un impegno adeguato con le prove, la proporzionalità e la legalità, che sono alcune delle pietre miliari del regime dei diritti umani dell’UE. La proposta è stata criticata anche dal Consiglio d’Europa, da gruppi per i diritti digitali come EDRi e da membri del Parlamento europeo (eurodeputati), che hanno chiesto più tempo per rafforzare le salvaguardie nella proposta della Commissione.
La Commissione ha giustificato la propria fretta affermando che ePrivacy aveva creato un’emergenza perché le aziende non potevano più scansionare i messaggi privati delle persone per CSAM. Questa è stata una grande sorpresa per noi: fino a questo punto, non c’erano state informazioni pubbliche sul fatto che tale scansione di tutti i nostri messaggi privati (sì, incluso il tuo) stesse avvenendo! Puoi leggere di più su alcune delle (tante) questioni con la deroga temporanea – che è stata approvata nel luglio 2021 ed è entrata in vigore nell’agosto 2021 – nell’analisi di EDRi qui . I deputati hanno paragonato il processo a un “ricatto morale” , sottolineando che le pratiche delineate nella deroga temporanea potrebbero non essere legittime ai sensi del GDPR e sarebbero probabilmente invalidate se portate in tribunale .
2022: in attesa della deroga ePrivacy di lungo termine
Ora che abbiamo esaminato la storia delle misure CSAM online nella legislazione dell’UE, fai attenzione alla prossima puntata di questa serie. Lì esamineremo le questioni chiave relative alla deroga ePrivacy a lungo termine, attualmente prevista per l’8 marzo 2022 , e come garantire che tutte le misure dell’UE per affrontare la CSAM online siano conformi alle norme sui diritti fondamentali.
Articolo di Ella Jakubowska pubblicato sul sito di EDRi del 15 dicembre 2021 e condiviso con licenza CC-BY 4.0 (il ché comporta la libertà di di condividerlo e adattarlo, purché ne venga citata la fonte).
Nel luglio 2021, i ministri degli Stati membri dell’Unione Europea (UE) hanno raggiunto un accordo con il Parlamento Europeo per approvare una nuova legge, creando un’eccezione temporanea (deroga) da alcune parti della Direttiva ePrivacy del 2002. Questa deroga consente ai servizi di comunicazione elettronica, come i servizi di chat o webmail, di condurre la scansione automatizzata delle comunicazioni private di tutti , in ogni momento, invece di limitare la sorveglianza ai veri sospetti e in linea con il giusto processo. Tali pratiche generalizzate di scansione possono costituire una forma di sorveglianza di massa. Rappresentano un serio rischio per i diritti fondamentali di tutti perché trattano ciascuno di noi come sospetto.
La deroga scadrà nell’agosto 2024 e la Commissione Europea intende sostituirla con una versione a lungo termine che proporrà nel 2022 . L’obiettivo presunto di queste deroghe è consentire alle aziende di rilevare il “CSAM” online (materiale pedopornografico). Eppure la deroga temporanea consente alle aziende di condurre la scansione di massa dei messaggi privati e delle chat di tutti, invece di limitare la sorveglianza a coloro nei quali vi sia un sospetto ragionevole e legittimo. Peggio ancora, la Commissione ha indicato che la legge a lungo termine potrebbe rendere obbligatoria la scansione generalizzata delle comunicazioni personali di tutti . Se approvate, misure così radicali e sproporzionatamente invasive farebbero probabilmente molto più male che bene.
Come ha sottolineato Alexander Hanff , sopravvissuto agli abusi sui minori e difensore della privacy , il problema è stato strumentalizzato dalle aziende che spingono la loro tecnologia redditizia e dai politici che hanno fatto una “reazione a scatti”. Hanff continua dicendo che i politici hanno proposto misure eccessivamente ampie senza considerare i gravi rischi delle loro proposte per gli stessi sopravvissuti che pretendono di proteggere, né l’impatto negativo sulla società in generale.
L’obiettivo di EDRi per questo fascicolo, pertanto, è garantire che qualsiasi proposta per rilevare la CSAM online sia in linea con gli obblighi dell’UE in materia di diritti fondamentali, in particolare che le misure siano legittime, mirate, nonché chiaramente e oggettivamente proporzionate all’obiettivo dichiarato. Per capire meglio cosa sta succedendo oggi, diamo uno sguardo ad alcuni atti rilevanti della legislazione dell’UE:
2002: la Direttiva ePrivacy
La Direttiva ePrivacy è l’ unico strumento dell’UE che contiene tutele specifiche per il diritto di tutti alla vita privata e alla riservatezza delle comunicazioni, come sancito dall’articolo 7 della Carta dei diritti fondamentali dell’UE. Doveva essere aggiornato in un nuovo regolamento e-privacy nel 2017, come controparte del più noto regolamento generale sulla protezione dei dati (GDPR). Ma (forse ironicamente, vista la velocità con cui è stata approvata la deroga) ePrivacy è nel limbo sin dal 2017 , con i legislatori incapaci di concordare il modo migliore per aggiornare le sue regole all’ambiente digitale di oggi.
L’adozione della Direttiva ePrivacy nel 2002 è stata una pietra miliare importante nella prevenzione della sorveglianza di tutte le nostre comunicazioni private senza un motivo legittimo e legittimo e garanzie adeguate. La direttiva è stata approvata dai legislatori dell’UE in riconoscimento della necessità vitale di proteggere la nostra privacy. Come spiega l’Alto Commissario delle Nazioni Unite per i diritti umani, Michelle Bachelet :
La Direttiva ePrivacy è così importante perché riconosce che la privacy e la riservatezza delle comunicazioni non sono valori astratti. Piuttosto, la privacy è un diritto alla base del fatto che ciascuno di noi può votare liberamente alle elezioni, denunciare la corruzione e gli abusi di potere, accedere all’assistenza sanitaria e parlare liberamente con i nostri amici e familiari. La riservatezza è ciò che consente a giornalisti, medici, avvocati e difensori dei diritti umani di svolgere il proprio lavoro.
2011: la Direttiva CSEA
Nell’ambito di un diverso filone politico, nel dicembre 2011 gli organi co-legislativi dell’UE hanno adottato ufficialmente la direttiva sullo sfruttamento e gli abusi sessuali sui minori (CSEA). Affrontare l’archiviazione, la diffusione e l’amplificazione online di CSAM è un argomento serio e cupo, sostenuto da complesse questioni sociali e criminali. La Commissione Europea e il Consiglio d’Europa sottolineano che l’UE ha l’obbligo legale di proteggere i giovani dagli abusi. Tuttavia, come rilevato in un recente rapporto indipendente commissionato dal Consiglio d’Europa , la Direttiva CSEA, che è stato il primo grande sforzo legale dell’UE per affrontare la CSAM online, non ha avuto successo.
Solo la metà degli Stati membri dell’UE ha adottato misure cruciali per garantire che le pagine web contenenti o diffondono CSAM siano prontamente rimosse (articolo 25, direttiva CSEA). Inoltre, una recente indagine in Germania ha fornito un agghiacciante esempio della mancanza di azione per rimuovere CSAM anche dopo che le autorità sono state allertate della sua esistenza. I giornalisti hanno rivelato un gran numero di foto e video di abusi sui minori vecchi di anni che sono rimasti online per molti anni dopo essere stati denunciati, perché la polizia tedesca non ha le “risorse umane” per rimuovere questi contenuti illegali.
Se le forze di polizia europee non hanno le risorse di base per rimuovere il CSAM traumatico che è già là fuori – e che le hotline come INHOPE richiedono che debbano essere rapidamente rimosse come priorità assoluta per evitare di vittimizzare nuovamente i sopravvissuti – allora come intendono affrontare un forte aumento del volume di CSAM online che verrà rilevato a seguito dell’ampliamento delle pratiche di scansione? Inoltre, dobbiamo chiederci perché – visti i problemi con la Direttiva CSEA – la Commissione Europea ha scelto di non dare priorità all’applicazione della rimozione del CSAM anche dopo che le autorità sono state avvisate, e ha invece scelto, tramite la deroga, di concentrarsi sulla sorveglianza delle comunicazioni personali di ogni persona ?
2018-2020: il nuovo ambito di applicazione del Codice Europeo delle Comunicazioni Elettroniche
Avanti veloce fino al 2018, quando la ” rifusione ” di una legge separata, il Codice europeo delle comunicazioni elettroniche (EECC), ha ampliato la definizione di “servizio di comunicazioni elettroniche”. Questa espansione ha fatto sì che da dicembre 2020 alcune regole della Direttiva ePrivacy si applicassero a servizi come Facebook Messenger e WhatsApp, ai servizi di posta elettronica basati sul Web e persino alle chat nelle app di appuntamenti .
Questa avrebbe dovuto essere una buona cosa: queste modifiche all’EECC hanno impedito alle società private che forniscono servizi di comunicazione elettronica di curiosare nelle conversazioni private di tutti. Proprio come la polizia non può intercettare tutti i nostri telefoni o aprire la nostra posta a meno che non abbiano buone ragioni per sospettarci di un crimine abbastanza grave da giustificare una tale interferenza, né le aziende dovrebbero essere autorizzate a intercettare i messaggi di tutti, tutto il tempo.
2020-21: la deroga temporanea ePrivacy
Tuttavia, con l’avvicinarsi dell’applicazione dell’ambito di applicazione ampliato dell’EECC nel dicembre 2020, la Commissione europea ha dovuto affrontare forti pressioni da parte delle società che traggono profitto dalla vendita di strumenti di scansione automatizzata per ritagliarsi un’eccezione alle regole della direttiva ePrivacy. La Commissione europea ha voluto approvare una deroga temporanea per consentire alle aziende di continuare a scansionare volontariamente le comunicazioni private di tutti entro la fine del 2020. Ciò sarebbe seguito da una deviazione a lungo termine dalle protezioni della direttiva ePrivacy contro lo snooping di massa. Anche le celebrità sono intervenute, con Ashton Kutcher e Demi Moore che avrebbero consigliato alla Commissione di sbrigarsi.
Tuttavia, come ha avvertito lo stesso garante della protezione dei dati dell’UE , la proposta della Commissione europea mancava di un impegno adeguato con le prove, la proporzionalità e la legalità, che sono alcune delle pietre miliari del regime dei diritti umani dell’UE. La proposta è stata criticata anche dal Consiglio d’Europa, da gruppi per i diritti digitali come EDRi e da membri del Parlamento europeo (eurodeputati), che hanno chiesto più tempo per rafforzare le salvaguardie nella proposta della Commissione.
La Commissione ha giustificato la propria fretta affermando che ePrivacy aveva creato un’emergenza perché le aziende non potevano più scansionare i messaggi privati delle persone per CSAM. Questa è stata una grande sorpresa per noi: fino a questo punto, non c’erano state informazioni pubbliche sul fatto che tale scansione di tutti i nostri messaggi privati (sì, incluso il tuo) stesse avvenendo! Puoi leggere di più su alcune delle (tante) questioni con la deroga temporanea – che è stata approvata nel luglio 2021 ed è entrata in vigore nell’agosto 2021 – nell’analisi di EDRi qui . I deputati hanno paragonato il processo a un “ricatto morale” , sottolineando che le pratiche delineate nella deroga temporanea potrebbero non essere legittime ai sensi del GDPR e sarebbero probabilmente invalidate se portate in tribunale .
2022: in attesa della deroga ePrivacy di lungo termine
Ora che abbiamo esaminato la storia delle misure CSAM online nella legislazione dell’UE, fai attenzione alla prossima puntata di questa serie. Lì esamineremo le questioni chiave relative alla deroga ePrivacy a lungo termine, attualmente prevista per l’8 marzo 2022 , e come garantire che tutte le misure dell’UE per affrontare la CSAM online siano conformi alle norme sui diritti fondamentali.
Link alla seconda parte della guida