Cosa cambia con il regolamento “Chat Control”?
Il c.d. Regolamento “Chat Control” rappresenta la legittimazione ad un’attività già in parte diffusa nella pratica, consistente nello “scansionare” contenuti multimediali ( da questi sono esclusi gli audio) al fine di individuare possibili attività illecite. Il caso di specie, in particolare, riguarda la repressione del reato di pedopornografia, connesso poi ad una serie di altre attività simili o ad esso prodromiche. Per fare in modo che ci sia una diminuzione della diffusione di materiale illecito relativo a soggetti minori la Commissione Europea a deciso di prevedere parziali deroghe alla disciplina prevista in tema di comunicazioni elettroniche (c.d. Direttiva e-Privacy) per quanto riguarda la possibilità per gli internet service provider e gli OTT di verificare i contenuti multimediali inviati dagli utenti, al fine di individuare materiale pedopornografico e segnalarlo poi alle autorità competenti.
Queste novità, approvate il 6 luglio dal Parlamento Europeo, portano con sé una serie di conseguenze sia dal punto di vista pratico, che da quello giuridico, venendo in rilievo da un lato l’obiettivo di tutelare in maniera più stringente i soggetti minori coinvolti nel fenomeno della pedopornografia, dall’altro però la tutela della privacy e della riservatezza delle conversazioni degli utenti.
Quali quindi, i punti critici della riforma “Chat Control”? Vediamoli brevemente insieme.
Quali i “nuovi” poteri conferiti ai provider di comunicazione e agli OTT?
La Direttiva e-Privacy, tra le sue disposizioni, esplicitava il divieto generale di porre in essere, da parte di tali soggetti, attività di sorveglianza, intercettazione o conservazione di informazioni e/o materiale degli utenti. Unica deroga era rappresentata dal consenso esplicito del soggetto interessato oppure una specifica autorizzazione di legge.
Nello specifico, l’articolo 5, esplicita che, in merito alle comunicazioni e i servizi di comunicazione elettronica, sono vietati “l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni [..] ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente”.
Connesso a tale ultimo aspetto, l’articolo 15 prevede delle deroghe, qualora ciò costituisca una “misura necessaria, opportuna e proporzionata all’interno di una società democratica […] per la prevenzione, ricerca accertamento e perseguimento di reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica”. Alla luce, quindi, di tali previsioni, la deroga prevede la possibilità – e non ancora l’obbligo – per i provider di comunicazione e gli OTT ( i c.d. “Over The Top, cioè soggetti come i motori di ricerca o i fornitori di servizi diversi dai provider di comunicazione) di effettuare delle verifiche sui materiali inviati dagli utenti, e, qualora dovessero riscontrare materiale pedopornografico, segnalarlo alle autorità competenti.
Tutto questo, però, dovrebbe avvenire attraverso l’utilizzo di sistemi automatizzati, che dovrebbero utilizzare dei parametri prestabiliti per poi confrontarli con la miriade di contenuti inviati dagli utenti. Nel caso in cui, dal processo automatizzato dovessero riscontrarsi affinità, dovrà partire la segnalazione. Vediamo quindi, anche dal punto di vista pratico, quali potrebbero essere i problemi più rilevanti dell’utilizzo di queste tecniche di ricerca.
Regolamento “Chat Control” e GDPR: la privacy degli utenti passa in secondo piano?
Uno dei timori – più che legittimi – che sono scaturiti a seguito dell’approvazione del Regolamento “Chat Control” riguarda l’aspetto della tutela della privacy degli utenti: questo aspetto passerà in secondo piano?
Nel bilanciamento tra interessi opposti, quello per la repressione dei reati sembra essere prevalente rispetto alle garanzie di tutela nei confronti degli utenti dal punto di vista della loro privacy. Questo però solo se si raffronta il c.d. Regolamento “Chat Control” con la Direttiva e-Privacy. Quali le implicazioni, invece, in merito al GDPR? Sebbene, infatti, vi sia una parziale deroga delle disposizioni della direttiva sulle comunicazioni elettroniche, lo stesso non vale per le previsioni del GDPR, che rimane – ovviamente – invariato.
Questo cosa vorrà dire in termini pratici?
- In ossequio alle previsioni del GDPR, gli utenti interessati coinvolti nelle attività di “scansione del materiale”, dovranno essere debitamente informati, in maniera chiara e comprensibile ;
- Ci sarà il delicato tema dei trattamenti automatizzati. Secondo il GDPR, all’articolo 22, “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.” Sebbene vi sia una deroga che legittima gli Stati membri in caso di mantenimento di misure di tutela adeguate, tale aspetto rimane comunque uno dei punti più dibattuti, venendo in considerazione anche la categoria di soggetti interessati dal trattamento, i minori. Infatti, a completare tale quadro, si inserisce anche il considerando 71 del GDPR, il quale prevede che, per quanto concerne la misura del processo decisionale automatizzato, questa non dovrebbe riguardare un minore.
Si evince, quindi, dalla breve analisi effettuata, che il coordinamento tra il Chat Control ed il GDPR non appare così scontato, e potrebbe rappresentare un ulteriore limite alla reale applicazione della deroga prevista dalla Commissione Europea.
Quali sono le conseguenze sull’utilizzo della crittografia end-to-end?
Uno degli aspetti sicuramente più controversi è rappresentato dal rapporto tra le nuove deroghe e l’utilizzo della crittografia end-to end. Cosa succederà, infatti, alle conversazioni e/o agli scambi di materiali digitali protetti da tale tipologia di crittografia? In che modo il nuovo regolamento potrà ovviare a tale problematica? Gli intenti che guidano da un lato il “Chat Control” e dall’altro l’utilizzo di tale tipologia di crittografia appaiono più che mai antitetici e sembra davvero impossibile prospettare una “convivenza”. Una delle ipotesi che inizia a prendere piede riguarda la possibilità di “intercettare” le conversazioni appena prima dell’intervento della crittografia, creando così uno “spiraglio” dove poter andare comodamente a spiare. Questa ipotesi però apre diversi scenari possibili, tra cui quello più tragico: aprendo questa possibilità per nobili intenti, si apre allo stesso tempo anche per chi persegue fini tutt’altro che nobili. Rimane quindi da aspettare di vedere cosa nel concreto andrà fatto per conciliare due opposte esigenze, costituendo la crittografia end-to- end un limite “quasi” invalicabile alla reale applicazione delle nuove previsioni in tema di comunicazioni elettroniche.
Si potrà ancora tutelare la propria privacy?
In sintesi, con l’applicazione della deroga alla Direttiva e-Privacy, In caso di match positivo (contenuto ritenuto illegale dall’algoritmo) tra il materiale inviato dall’utente e i “modelli” ( probabilmente vi è l’intento di creare un vero e proprio database da cui partire), il provider di servizi dovrà verificare ed eventualmente segnalare il contenuto alle forze dell’ordine. I rischi per la privacy degli utenti sono legati in parte a fattori già ben noti, come la non affidabilità al 100% degli strumenti di intelligenza artificiale utilizzati al fine di individuare un determinato tipo di contenuto. La “macchina”, infatti, non possiede la capacità di discernimento tipica dell’uomo e potrebbe rischiare diversi buchi nell’acqua. Se vuoi sapere di più sui possibili rischi delle novità appena esposte e vuoi avere una consulenza personalizzata sul tema rivolgiti al nostro partner Studio FCLEX, da anni esperto del settore.
Redazione Diritto Dell’Informatica
